Сайт заражён вирусом: что делать прямо сейчас и как удалить вредоносный код
Пошаговый план действий, если сайт начал редиректить, попал в чёрный список Google или хостер прислал письмо о вредоносном коде. Что сделать самому за час, а где нужен специалист.
Заражение сайта вирусом — это не «когда-нибудь, может быть», а вопрос времени для любого проекта на популярной CMS. WordPress, Битрикс, Joomla, OpenCart — все они регулярно становятся целью массовых атак. Хорошая новость: 90% заражений лечатся за несколько часов, если действовать правильно. Плохая: одно неверное движение в первые сутки может удвоить ущерб.
Как понять, что сайт действительно заражён
Симптомы заражения почти всегда одни и те же. Если совпадает хотя бы один — пора проверять.
- Сайт открывается, но через 1–3 секунды редиректит на казино, аптеку или сомнительную рекламу.
- В Chrome красная страница «Этот сайт может нанести вред вашему компьютеру».
- В Яндекс.Вебмастере или Search Console пришло уведомление о вредоносном коде.
- Хостер прислал письмо с темой «Обнаружен вредоносный код» или временно заблокировал сайт.
- В выдаче Google под доменом появились страницы про виагру, кредиты, казино — на чужих языках.
- В админке появился новый пользователь с правами администратора, которого вы не создавали.
- Резкое падение позиций или трафика без видимых причин.
- Антивирус на компьютере срабатывает при заходе на сайт.
Что делать в первый час: чек-лист
Первый час критичен. Чем дольше работает зараженный сайт, тем больше у поисковиков накапливается данных о нём как о вредоносном — и тем дольше потом снимать санкции.
- Смените пароли: админка сайта, FTP/SSH, база данных, панель хостинга, почта домена.
- Включите двухфакторную аутентификацию везде, где можно.
- Сделайте полную копию сайта «как есть» (файлы + БД) — она нужна для диагностики, не для восстановления.
- НЕ удаляйте подозрительные файлы вручную — без этого не понять, как именно вас взломали.
- НЕ восстанавливайте старый бэкап «на авось» — точка входа, скорее всего, есть и в нём.
- Закройте сайт от индексации на время лечения, если он сильно заражён (заглушка 503).
Типичные виды заражений и как они выглядят
| Тип | Симптомы | Где прячется | Сложность лечения |
|---|---|---|---|
| Редирект на сторонний сайт | Открывается у части посетителей или только с поиска | .htaccess, header.php, БД (wp_options) | Низкая |
| Скрытый дорвей | В индексе сотни левых страниц на чужих языках | Отдельные папки, инжект в БД | Средняя |
| Веб-шелл (бэкдор) | Симптомов нет, пока не используют для атаки | Файлы с обфусцированным кодом, eval(base64) | Высокая |
| Майнер криптовалют | Сайт тормозит у посетителей, греется CPU | JS в подвале, через CDN | Низкая |
| Кража данных карт | Незаметно для админа, утечка через JS | Inject в скрипты оплаты | Высокая |
| Спам-рассылка с домена | Жалобы хостера, домен в спам-листах | PHP-скрипт + cron | Средняя |
Что нельзя делать (типичные ошибки)
- Удалять заражённые файлы вручную, не разобравшись в источнике. Шелл-бэкдор обычно лежит в десятках копий — пропустите одну, через сутки заражение вернётся.
- Откатываться на бэкап двухнедельной давности без анализа. Если взлом случился раньше — вы просто перезапустите процесс заражения.
- Просить «знакомого верстальщика» — лечение требует понимания CMS, серверной части и логов хостинга.
- Молчать и ждать, что «само пройдёт». Поисковики ставят пометку «опасный сайт» за часы, снимают — за дни и недели.
- Менять пароли только в админке, забывая про FTP и БД. Если у злоумышленника есть FTP-доступ, новая админка ничего не даст.
Как лечит профессионал: процесс изнутри
Чтобы было понимание, за что вы платите при заказе лечения, вот реальный процесс.
- Диагностика: сканеры (AI-Bolit, ImunifyAV, MalCare) плюс ручной анализ логов веб-сервера и FTP за период до заражения.
- Поиск точки входа: уязвимый плагин, утечка пароля, дыра в кастомном коде, заражение через соседа на shared-хостинге.
- Снятие слепка: полный архив файлов и дамп БД до начала лечения — на случай спорных моментов.
- Удаление вредоносного кода: чистка файлов, инжектов в БД, левых cron-задач, новых пользователей-админов.
- Сверка с эталонными файлами CMS: подменённые файлы ядра заменяем на оригинал из официального дистрибутива.
- Закрытие уязвимостей: обновление CMS и плагинов, смена всех паролей, ограничение доступа к админке по IP, установка WAF.
- Заявка на пересмотр в Google Search Console и Яндекс.Вебмастер — снятие пометки «опасный сайт».
- Установка мониторинга: ежедневное сканирование и алерты на изменение критических файлов.
Сколько это стоит и сколько занимает
| Случай | Цена | Срок |
|---|---|---|
| Типовой WordPress/Битрикс/Joomla, одно заражение | от 15 000 ₽ | 4–24 часа |
| Многократное заражение, нет бэкапа | от 30 000 ₽ | 1–3 дня |
| Магазин с интеграциями и кастомной CMS | от 50 000 ₽ | 2–5 дней |
| Снятие санкций Google + Яндекс | входит в работы | 1–7 дней |
| Мониторинг и защита после лечения | от 5 000 ₽/мес | постоянно |
Как защититься, чтобы не повторилось
- Регулярные обновления CMS и плагинов — 60% заражений происходят через известные уязвимости со старой версии.
- Сильные пароли + 2FA на всех точках входа.
- Резервные копии ежедневно, хранение на отдельном сервере минимум 30 дней.
- WAF (Cloudflare, Imunify) на уровне хостинга или CDN.
- Удаление неиспользуемых плагинов, тем, старых установок CMS в подпапках.
- Ограничение доступа к /wp-admin, /bitrix/admin, /administrator по IP или через basic-auth.
- Ежемесячный аудит безопасности на больших проектах.
Если нужна срочная помощь
Берём заражённые сайты в работу в день обращения. Бесплатная диагностика — за 1–3 часа, лечение типового случая — за 4–24 часа, гарантия 30 дней. Снимаем санкции Google и Яндекса, ставим мониторинг, чтобы взлом не повторился. Опишите симптомы — скажем, что делать в первую очередь, даже если работать будете не с нами.
Часто задаваемые вопросы
Как быстро вы беретесь за заражённый сайт?+
В работу берём в день обращения, в течение 1–3 часов. Типовое заражение лечим за 4–24 часа, сложные случаи — за 1–3 дня. Бесплатная диагностика занимает 1–2 часа.
Сколько стоит вылечить сайт от вируса?+
Типовое заражение WordPress, Битрикс или Joomla — от 15 000 ₽. Многократное заражение без бэкапа — от 30 000 ₽. Магазин с интеграциями и кастомной CMS — от 50 000 ₽. Точную цену называем после бесплатной диагностики.
Что делать прямо сейчас, пока я жду специалиста?+
Смените пароли админки, FTP/SSH, базы данных и панели хостинга. Включите 2FA. Не удаляйте подозрительные файлы — они нужны для диагностики. Не восстанавливайте старый бэкап вслепую: точка входа может быть и в нём.
Дадите гарантию, что сайт не заразится снова?+
Даём гарантию 30 дней: если в этот срок сайт заразится тем же способом — лечим бесплатно. Для долгой защиты предлагаем мониторинг от 5 000 ₽/мес: ежедневное сканирование, WAF, обновления CMS.