Главная Статьи Оптимизация сайта

Как проверить сайт на вирусы и взлом

Взломанный сайт редко выглядит взломанным: внешне всё работает, а под капотом уже раздаётся вредонос, льётся спам или подмешивается чужая реклама. Замечают обычно поздно — когда падают позиции, письма перестают доходить или браузер начинает пугать посетителей красным экраном. Разберём, как проверить сайт вовремя, где именно прячется зараза и что делать, если она уже внутри.

Почему это важно и как теряют время

Между заражением и первыми заметными последствиями обычно проходят дни или недели. Всё это время сайт работает «как обычно», а вредонос делает своё: рассылает спам, ворует данные форм, крутит редиректы на чужие ресурсы, встраивает скрытые ссылки для чёрного SEO. Чем дольше это длится, тем тяжелее последствия — от вылета из выдачи до попадания домена в чёрные списки. Поэтому проверка на взлом — не разовая акция после ЧП, а гигиена, которую стоит проводить регулярно.

Признаки, что сайт заражён

Чаще всего о взломе сообщают косвенные симптомы, а не сам код. Вот на что смотреть:

Предупреждение в браузере или поиске. «Этот сайт может нанести вред компьютеру» в выдаче или красный экран Chrome — почти верный признак.
Резкое падение позиций и трафика. Поисковики понижают или исключают заражённые сайты. Как это выглядит — в статье про фильтры поисковых систем.
Письма с домена уходят в спам. Взломанный сайт часто рассылает спам, из-за чего домен попадает в чёрные списки.
Чужой контент и редиректы. Появились страницы про казино/аптеку, посетителей перекидывает на левые сайты (особенно с мобильных или из поиска).
Странности в коде и файлах. Незнакомые файлы, свежие даты изменения там, где вы ничего не трогали, непонятные скрипты в подвале страниц.
Скачки нагрузки и трафика. Хостинг жалуется на превышение лимитов, в логах всплеск обращений к незнакомым файлам — сервер могли впрячь в рассылку или атаки.
Как заражение развивается во времени 🕳️ Уязвимость старый плагин, пароль 💉 Взлом залит вредонос 🚩 Симптомы спам, редиректы 📉 Последствия вылет из ТОПа, блэклист чем раньше поймать — тем левее в цепочке и тем дешевле лечение
Задача проверки — поймать заражение до правой части цепочки, где начинаются потери трафика и репутации.

Как проверить: по шагам

  1. Проверьте через SEO-анализ. Комплексная проверка сайта заодно ловит подозрительные внешние скрипты, редиректы и проблемы безопасности. Начните с анализа сайта — он покажет заголовки безопасности, редиректы и внешние ресурсы страницы, которых там быть не должно.
  2. Загляните в Яндекс Вебмастер и Search Console. У обоих есть раздел безопасности: если поисковик нашёл вредоносный код, он прямо об этом напишет с примерами заражённых страниц. Это самый авторитетный источник — смотреть в первую очередь.
  3. Проверьте домен по чёрным спискам. Листинг в спам-базах — частый спутник взлома. Проверка по чёрным спискам покажет, не попал ли домен или IP в базы.
  4. Посмотрите исходный код страниц. Откройте главную и пару внутренних, гляньте исходник (Ctrl+U): чужие <script> с незнакомых доменов, скрытые ссылки (мелкий или невидимый текст), вставки <iframe> — признаки заражения.
  5. Сравните выдачу для разных посетителей. Многие вредоносы показывают вредонос только ботам поиска или мобильным пользователям (клоакинг). Посмотрите сохранённую копию страницы в поиске и откройте сайт с телефона из поисковой выдачи — редиректы часто срабатывают именно так.
  6. Проверьте файлы на сервере. Отсортируйте файлы по дате изменения — свежие правки там, где вы ничего не меняли, подозрительны. Особое внимание к index-файлам, .htaccess и папкам загрузок, куда часто заливают шеллы.
🛠
Быстрый старт диагностики: SEO-анализ сайта (безопасность, редиректы, внешние скрипты), проверка чёрных списков и проверка заголовков безопасности.

Где чаще всего прячется вредонос

ГдеЧто искать
index.php / шаблоны темыОбфусцированный код: eval(), base64_decode(), длинные строки из случайных символов
.htaccessПравила редиректа на чужие домены, особенно с условием по User-Agent или Referer
Папки загрузок (uploads)PHP-файлы там, где должны быть только картинки, — типичное место для веб-шелла
База данныхСкрытые ссылки и скрипты в контенте страниц, лишние пользователи-администраторы
Подвал / шапка сайтаВставленные счётчики и скрипты с незнакомых доменов

Как обычно взламывают

Понимание причины помогает и найти дыру, и не повторить. Типичные векторы:

Отсюда и базовая профилактика: своевременные обновления, сильные уникальные пароли, минимум сторонних скриптов и плагинов, регулярные бэкапы.

Что делать, если сайт взломан

⚠️ Главное правило лечения: недостаточно убрать вредонос — нужно закрыть дыру, через которую он попал. Иначе заражение вернётся за считанные дни, и всё начнётся заново.
  1. Снимите бэкап «как есть» — для расследования, — и найдите чистую резервную копию до заражения.
  2. Смените все пароли: админка CMS, хостинг, FTP/SSH, база данных, почта на домене.
  3. Удалите вредоносный код или разверните чистый бэкап, затем обновите CMS и все расширения до актуальных версий.
  4. Закройте дыру, через которую вошли: проверьте права на файлы, удалите неиспользуемые плагины и лишних администраторов, обновите уязвимый компонент.
  5. Запросите перепроверку в Яндекс Вебмастере и Search Console, а если домен попал в чёрные списки — подайте заявку на удаление (delisting) после лечения.

Если своими силами не выходит, вредонос лучше вычищать со специалистом: недолеченный сайт быстро заражается снова и тянет за собой и позиции, и репутацию домена.

Коротко

Взлом чаще виден по симптомам, чем по коду: предупреждения браузера, падение позиций, спам с домена, чужой контент и редиректы. Проверяют сайт через SEO-анализ, разделы безопасности в Вебмастере и Search Console, чёрные списки и просмотр исходного кода и файлов. Прячется вредонос обычно в index-файлах, .htaccess, папках загрузок и базе. При заражении — сменить пароли, вычистить код или развернуть чистый бэкап, закрыть уязвимость и запросить перепроверку. Главное — не просто убрать вредонос, а закрыть дыру, иначе он вернётся.

Частые вопросы

Как понять, что сайт взломан?
По симптомам: предупреждение о вредоносном сайте в браузере или выдаче, резкое падение позиций и трафика, спам с вашего домена и попадание в чёрные списки, чужие страницы про казино или аптеку, редиректы на левые сайты, незнакомые файлы и свежие правки там, где вы ничего не меняли.
Как бесплатно проверить сайт на вирусы?
Прогоните сайт через SEO-анализ (он ловит подозрительные скрипты, редиректы и проблемы безопасности), проверьте разделы безопасности в Яндекс Вебмастере и Google Search Console, посмотрите домен по чёрным спискам и вручную изучите исходный код страниц на чужие скрипты и iframe.
Где чаще всего прячется вредоносный код?
В index-файлах и шаблонах темы (обфусцированный код с eval и base64_decode), в .htaccess (редиректы на чужие домены), в папках загрузок (PHP-файлы среди картинок — веб-шелл), в базе данных (скрытые ссылки, лишние администраторы) и в подвале сайта (чужие скрипты).
Почему из-за взлома падают позиции сайта?
Поисковики защищают пользователей: заражённые сайты понижают в выдаче или исключают из неё, помечают предупреждением. Плюс взломанный сайт часто рассылает спам и попадает в чёрные списки — репутация падает по всем фронтам сразу.
Что делать, если сайт заражён вирусом?
Снимите бэкап для расследования, смените все пароли (CMS, хостинг, FTP, база), удалите вредоносный код или разверните чистую копию, обновите CMS и расширения, обязательно закройте уязвимость, через которую вошли, и запросите перепроверку в Вебмастере и Search Console.
Как чаще всего взламывают сайты?
Через устаревшую CMS или плагин с известной уязвимостью, слабый или утёкший пароль, заражённый шаблон из сомнительного источника, а на виртуальном хостинге — через соседний уязвимый сайт на том же аккаунте. Профилактика: обновления, сильные пароли, минимум сторонних скриптов.