Если сайт взломали, главное — не паниковать и не удалять все подряд. Нужно сохранить следы, закрыть опасные доступы, понять масштаб и восстановить работу без потери нормальных данных.

Признаки взлома разные: редиректы на чужие сайты, неизвестные файлы, спам-страницы, предупреждение Яндекса, новые администраторы, массовая рассылка или падение сайта.

Кому полезна эта статья

Статья для владельцев сайтов, которые заметили подозрительные изменения, предупреждения поисковиков или чужой код на сайте.

Что обычно ломается

  • устаревшая CMS или плагин
  • слабый пароль администратора
  • загруженный вредоносный файл
  • уязвимость формы или старого кода
  • открытые права на файлы
  • скомпрометированный FTP/SSH-доступ

Как быстро сузить причину

  1. Сделать копию текущего состояния для анализа.
  2. Сменить пароли и проверить администраторов.
  3. Найти вредоносные файлы и точки входа.
  4. Очистить код и базу без удаления полезного контента.
  5. Обновить CMS, закрыть уязвимость и проверить сайт поисковиками.

Что не стоит делать наугад

  • удалять сайт без копии
  • восстанавливать старый бэкап без закрытия уязвимости
  • оставлять старые пароли
  • чистить только видимый редирект

Как я подхожу к задаче

Я отношусь к взлому как к расследованию: нужно не только убрать вредоносный код, но и понять, как он появился, иначе сайт заразится снова.

  1. Сначала фиксирую симптом и проверяю, где именно обрывается сценарий.
  2. Смотрю логи, сетевые запросы, настройки CMS или сервера, а не угадываю по внешнему виду.
  3. Делаю минимальную правку, чтобы восстановить работу без лишнего риска.
  4. Проверяю результат на реальном пользовательском сценарии.
  5. Кратко объясняю причину и что лучше сделать для профилактики.

Что подготовить

  • адрес сайта или конкретной страницы
  • скриншот ошибки или точный текст сообщения
  • что меняли перед появлением проблемы
  • доступ к админке, хостингу, серверу или сервису, если он нужен
  • понимание срочности: восстановить быстро или разобраться глубже

Сроки

Легкое заражение2-4 часа
CMS с множеством файлов1 день
Повторный взлом или спам-страницыпосле анализа

Вопрос-ответ

Можно ли просто восстановить бэкап?

Можно, но если не закрыть уязвимость и не сменить доступы, взлом может повториться.

Нужно ли писать в Яндекс после чистки?

Если было предупреждение, после чистки нужно отправить сайт на перепроверку.

Можно ли сохранить контент?

Да, задача чистки — удалить вредоносное и сохранить нормальные страницы, товары и заявки.

Итог

После взлома важно не только очистить сайт, но и закрыть причину. Иначе восстановление будет временным, а риск повторного заражения останется.

Если нужно быстро решить похожую задачу, напишите в Telegram: @rabotator_support. Посмотрю ситуацию, уточню доступы и скажу, какой вариант исправления будет самым аккуратным.