Сайт не обновлялся несколько месяцев, и антивирусы начали его блокировать. Что делать? Универсальное руководство. Представьте распространённую ситуацию: сайт работает на популярной CMS или на кастомном движке, обновления давно откладывались, а безопасность воспринималась как второстепенная задача. И вот внезапно клиенты начинают сообщать, что браузеры и антивирусы блокируют ваш ресурс, предупреждая о вредоносном коде. Это надёжный признак того, что сайт заражён и используется злоумышленниками для встроенных скриптов, скрытых редиректов или даже фишинга.
Первый шаг — убедиться, что проблема реальна. Для этого удобно использовать внешние сервисы, которые показывают категорию угроз и репутацию домена. Обычно в таких случаях проверяют ресурс через Google Transparency Report, VirusTotal, Sucuri или через аналогичные инструменты безопасности. Дополнительно стоит открыть сайт в инкогнито или через VPN, чтобы исключить возможность локальных проблем или выборочного заражения. Проверка обычно помогает выявить:
- наличие вредоносных скриптов;
- редиректы, которые видны не всем пользователям;
- подозрительные обращения к внешним серверам;
- предупреждения от поисковых систем и сетей безопасности.
После подтверждения заражения сайт желательно временно изолировать. Это не столько мера паники, сколько защита пользователей от возможных вредоносных действий. На практике изоляция означает перевод сайта в режим обслуживания, ограничение административного доступа только с доверённых IP-адресов и блокировку FTP или SSH для всех, кроме администратора. Если используется CDN, полезно на время включить максимально строгий режим фильтрации. Изоляция предотвращает:
- дальнейшее распространение вредоносного кода,
- автоматическое заражение посетителей,
- повторную установку вредоносных файлов злоумышленником.
Перед началом очистки необходимо снять аварийные бэкапы. Это важный шаг, который часто игнорируют. Бэкап должен включать файлы сайта, базу данных, серверные логи и любые журналы CMS. Такой бэкап пригодится для анализа причин взлома — он позволит восстановить хронологию и обнаружить точку входа злоумышленника.
Следующим этапом становится диагностика заражения. Вредоносный код может появляться по множеству причин: из-за уязвимых плагинов, устаревшей CMS, неправильных прав доступа, слабых паролей или ошибки в конфигурации серверного ПО. На практике следы взлома проявляются в виде неизвестных файлов, обфусцированного JavaScript-кода, подменённых системных модулей или вредоносных вставок в базе данных. Обычно вредоносные элементы можно обнаружить в:
- каталоге загрузок,
- статических JS/CSS файлах,
- .htaccess или web.config,
- cron-задачах,
- скрытых PHP-скриптах в неожиданных местах.
Когда источник заражения определён, можно приступать к очистке. Часто это включает перезаливку чистого ядра CMS или фреймворка, переустановку модулей, удаление подозрительного кода из базы данных и проверку прав доступа. На VPS или выделенных серверах обязательно используют системные сканеры вроде ClamAV или Imunify для поиска вредоносных компонентов на уровне операционной системы.
После успешной очистки требуется сменить все пароли и ключи: административные учётные записи, базы данных, FTP/SSH, API-токены, JWT-секреты и любые критически важные параметры конфигурации. Этот шаг минимизирует риск повторного взлома.
Завершив работы, сайт отправляют на пересмотр в Google Search Console и другие системы, которые ставят метки безопасности. Обычно через один-два дня предупреждения исчезают.
Такое заражение неприятно, но не критично, если действовать последовательно: подтвердить угрозу, изолировать ресурс, собрать бэкапы, провести анализ, выполнить очистку и укрепить защиту. Это позволяет не только вернуть сайт к работе, но и существенно повысить его устойчивость к будущим атакам.
Ну а если не смогли справиться, то обращайтесь за консультацией - помогу!