Пароль админки изменили: как вернуть доступ и проверить сайт на взлом

Если пароль админки изменили без вашего участия, это уже не просто проблема входа. Нужно вернуть доступ, понять, кто изменил пароль, проверить пользователей и убедиться, что на сайте не появились скрытые изменения.

Коротко: после восстановления пароля важно проверить логи, роли пользователей, файлы и способы повторного входа.

Когда это становится заметно

• старый пароль от админки перестал подходить
• на почту пришло уведомление о смене пароля
• в CMS появился неизвестный пользователь
• часть настроек сайта изменилась без согласования
• после восстановления доступ снова пропадает

Почему так происходит

Пароль мог изменить реальный пользователь, старый подрядчик, бот через слабый пароль или злоумышленник через уязвимость. Пока причина не ясна, нельзя ограничиваться одной сменой пароля.

• общий аккаунт использовали несколько человек
• пароль был простым или повторялся на других сервисах
• почта администратора тоже скомпрометирована
• в CMS есть уязвимый модуль или старая версия
• на сервере остался доступ бывшего подрядчика

Что я проверяю в первую очередь

• список пользователей и их роли
• историю входов, IP и время смены пароля
• почту администратора и настройки восстановления
• файлы, измененные рядом с датой проблемы
• доступы FTP, SSH, панели хостинга и базы данных

Как привожу сайт в порядок

Сначала возвращаю управляемый доступ, затем проверяю, не осталось ли у постороннего способа снова зайти на сайт.

• восстанавливаю доступ через безопасный способ: CMS, базу или панель
• убираю неизвестных пользователей и лишние роли
• меняю пароли и проверяю почту владельца
• проверяю файлы и настройки на скрытые изменения
• даю рекомендации по отдельным аккаунтам для подрядчиков

Что подготовить перед обращением

• адрес админки и CMS
• доступ к хостингу или базе данных
• почту владельца сайта
• примерное время, когда пароль перестал работать

Сроки и результат

Восстановить доступ часто можно быстро, за 30-60 минут. Полная проверка после подозрительной смены пароля занимает дольше, потому что нужно исключить повторный захват.

Вопрос-ответ

Можно ли просто сбросить пароль через почту?

Если почта надежная, да. Но после этого все равно стоит проверить пользователей и логи.

Нужно ли удалять всех пользователей?

Не всегда. Нужно убрать неизвестных и лишних, а рабочие аккаунты оставить с правильными ролями.

Вы можете сделать это без доступа в админку?

Да, если есть доступ к хостингу, серверу или базе данных.

Нужна похожая задача?

Напишите в Telegram @rabotator_support: пришлите адрес сайта, что именно видит пользователь и когда началась проблема. Я посмотрю ситуацию, объясню план работ и скажу срок до старта.