Заражение сайта вредоносным кодом — серьезная проблема, требующая немедленной реакции. Когда браузер показывает предупреждение "Этот сайт может быть опасен" или посетители жалуются на перенаправления на подозрительные ресурсы, очевидно что сайт взломан. Процесс очистки должен быть тщательным и последовательным, иначе вредоносный код вернется через несколько дней. По опыту работы с клиентами Sayt.uz можем сказать, что чаще всего malware проникает через устаревшие плагины, слабые пароли или необновленную CMS.
Подтверждение заражения
Признаки заражения сайта разнообразны: предупреждение в Google Search Console в разделе "Security Issues", блокировка браузером с красным экраном, перенаправление посетителей на рекламные сайты, появление незнакомого текста на главной странице. Первым делом проверьте сайт через VirusTotal или Sucuri SiteCheck — эти инструменты сканируют сайт извне и определяют тип заражения. Также изучите серверные логи: в access.log обычно сохраняется информация о том, когда и с какого IP произошел взлом.
Резервная копия и закрытие доступа
Перед началом очистки обязательно сделайте полный бэкап. Даже зараженная копия может понадобиться позже как доказательство. Архивируйте файлы и базу данных отдельно, сохраните в безопасном месте. Затем переведите сайт в режим обслуживания или заблокируйте доступ через .htaccess. Это защитит посетителей от вредоносного кода и предотвратит более жесткие санкции со стороны Google. Для WordPress подойдет плагин WP Maintenance Mode, для обычных сайтов — статическая заглушка на сервере.
Сканирование Wordfence и Sucuri
Для WordPress самые эффективные инструменты очистки — Wordfence и Sucuri Scanner. Wordfence даже в бесплатной версии сравнивает core-файлы с оригинальными копиями из репозитория Wordpress.org и выявляет измененные. Sucuri проверяет файлы на наличие известных сигнатур вредоносного кода. Используйте оба инструмента — каждый имеет свои сильные стороны. Когда появится список подозрительных файлов, не удаляйте их сразу — иногда легитимные файлы помечаются как false positive.
Ручная проверка файлов
Автоматические сканеры не находят весь вредоносный код, поэтому ручная проверка обязательна. Получите список файлов, измененных за последние 30-60 дней: через SSH командой find или через FTP-клиент с сортировкой по дате. Обратите внимание на незнакомые PHP-файлы, особенно в папке uploads — там должны быть только изображения. Код с функциями eval(), base64_decode(), gzinflate() часто оказывается вредоносным. Внимательно проверьте .htaccess — правила перенаправления или подозрительные RewriteRule могут быть следами взлома.
Практика Sayt.uz
На хостинге Sayt.uz модуль ImunifyAV автоматически сканирует файлы каждого сайта. Если обнаружен malware, клиент получает уведомление в личном кабинете, а наша техподдержка связывается в течение 24 часов. Автоматические ежедневные бэкапы хранятся 14 дней, поэтому откат к чистому состоянию обычно выполняется одной кнопкой. Клиентам также предлагается премиум-вариант ImunifyAV+, который автоматически очищает вредоносный код и закрывает уязвимости. Команда поддержки Sayt.uz поможет в любой сложной ситуации.
Смена паролей и закрытие уязвимостей
После очистки смените все пароли: админ WordPress, FTP/SSH, пользователь базы данных, хостинг-панель, email-аккаунты. Злоумышленник мог проникнуть через одну слабую точку и затем скомпрометировать остальные. Обновите все плагины, темы и саму CMS до последних версий. Удалите неиспользуемые плагины — каждый лишний компонент расширяет поверхность атаки. Включите двухфакторную аутентификацию и измените URL входа в админку с /wp-admin на что-то другое.
Снятие с черного списка Google
После очистки запросите повторную проверку через Google Search Console. В разделе "Security Issues" нажмите "Request Review" и кратко опишите, как был очищен вредоносный код и какие меры предприняты. Google обычно проверяет сайт в течение 24-72 часов. Параллельно проведите ту же процедуру в Яндекс.Вебмастер. Предупреждения браузеров могут исчезать в течение нескольких дней.