Вебмастеру постоянно приходится сталкиваться с разными трудностями. Одни из них довольно легко решаются, другие вызывают массу проблем. Мы надеемся, что последние будут обходить вас стороной, но в жизни всякое случается.
Так, иногда ваш интернет ресурс может стать жертвой хакерской атаки. Поэтому мы и хотим рассказать, что делать если взломали сайт или блог.
Основная цель, конечно, это максимально быстро восстановить свой проект, чтобы он продолжал исправно работать.
Напомним, что узнать о том, что с вашим сайтом что-то не так, можно в панели вебмастера Яндекс или Google, в соответствующих разделах. Там появятся предупреждения. Но, скорость обновления информации довольно низкая, поэтому вы можете сами догадаться раньше об заражении своего сайта.
Если на сайт внедрено вредоносное ПО, в результатах поиска он отмечается как зараженный, чтобы защитить других пользователей.
Мы рекомендуем вам выполнить следующие действия независимо от платформы и типа заражения:
Вам необходимо предотвратить заражение компьютеров других посетителей сайта и не допустить его злонамеренного использования хакерами.
- Немедленно приостановите работу сайта. Сделайте все, что от вас зависит, чтобы вредоносное ПО не распространилось дальше.
- Обратитесь к провайдеру хостинга. Если атака затронула другие сайты этого провайдера, возможно, он уже начал устранять эту проблему.
- Смените пароли всех пользователей и аккаунтов (например, пароли для доступа к FTP, пароли аккаунта администратора и аккаунтов системы управления контентом). Проверьте своих пользователей, поскольку хакер мог создать новые аккаунты.
Если у вас есть доступ к серверу, настройте его так, чтобы он выдавал код статуса 503. Лучше временно закрыть сайт, чем блокировать его от сканирования с помощью файла robots.txt.
После блокировки сайта необходимо определить область и масштаб ущерба. Советуем выполнить следующие действия:
- Посетите страницу мониторинга безопасности веб-ресурсов для вашего сайта, чтобы узнать подробную информацию о результатах, полученных автоматическими сканерами Google или Яндекс.
- Проверьте свой компьютер обновленной антивирусной программой, чтобы найти и удалить внедренное вредоносное ПО. Проверьте весь контент (не ограничиваясь текстовыми файлами), поскольку вредоносное содержание часто встраивается в изображения.
- Запросите удаление всех лишних адресов, которые хакеры добавили вам на сайт.
- Сообщите о фишинговых страницах специалистам поисковых систем.
- Если у вас есть другие сайты, проверьте и их на предмет возможного взлома.
Если у вас есть доступ к серверу, выполните дополнительные действия:
- Проверьте, использовалось ли на вашем сайте открытое перенаправление.
- Проверьте файл .htaccess (если используете Apache) или другие механизмы управления доступом на наличие изменений вредоносного характера.
- Просмотрите журналы сервера, чтобы узнать, когда произошел взлом (но имейте в виду, что хакеры могут их изменять). Изучите подозрительные действия, например, неудачные попытки входа, поданные команды (в особенности от пользователя root), а также операции неизвестных аккаунтов.
Чтобы очистить сайт, удалите добавленные страницы, спам и подозрительный код, обнаруженный с помощью антивирусных программ или страницы «Вредоносные программы». Если имеются резервные копии контента, полностью удалите их и замените последней копией (предварительно проверив её на отсутствие постороннего содержания). Проверьте, насколько успешно выполнена очистка, с помощью инструмента Просмотреть как Googlebot в Search Console.
Если у вас есть доступ к серверу, выполните следующие действия:
- Установите последние версии программных пакетов. Рекомендуется переустановить ОС из надежного источника, чтобы полностью удалить любые изменения, которые могли быть внесены хакером. Кроме того, нужно переустановить или обновить блог-платформы, системы управления контентом и любое другое ПО.
- Убедившись в том, что ваш сайт очищен, смените пароли ещё раз.
- Возобновите работу сайта в Интернете. Измените конфигурацию своего сервера, чтобы он не выдавал код статуса 503, и выполните другие действия, необходимые для безвредной работы сайта.
- Если вы с помощью инструмента удаления URL блокировали адреса страниц, которые теперь очищены и могут быть показаны в результатах поиска, отзовите эти запросы с помощью того же инструмента.
Убедившись, что вредоносный код полностью удален, вы можете запросить повторную проверку своего сайта средствами поисковой системы.
Если вредоносное ПО не обнаружится, то в результатах поиска не будет отображаться предупреждение о вашем сайте.
После получения подтверждения о том, что ваш сайт очищен, предупреждение о наличии вредоносного ПО в результатах поиска может быть снято с вашего сайта в течение суток.