Все статьи
Безопасность 23 май 2026 12 мин Александр Петров

Сайт заражён вирусом: что делать прямо сейчас и как удалить вредоносный код

Пошаговый план действий, если сайт начал редиректить, попал в чёрный список Google или хостер прислал письмо о вредоносном коде. Что сделать самому за час, а где нужен специалист.

Заражение сайта вирусом — это не «когда-нибудь, может быть», а вопрос времени для любого проекта на популярной CMS. WordPress, Битрикс, Joomla, OpenCart — все они регулярно становятся целью массовых атак. Хорошая новость: 90% заражений лечатся за несколько часов, если действовать правильно. Плохая: одно неверное движение в первые сутки может удвоить ущерб.

Как понять, что сайт действительно заражён

Симптомы заражения почти всегда одни и те же. Если совпадает хотя бы один — пора проверять.

  • Сайт открывается, но через 1–3 секунды редиректит на казино, аптеку или сомнительную рекламу.
  • В Chrome красная страница «Этот сайт может нанести вред вашему компьютеру».
  • В Яндекс.Вебмастере или Search Console пришло уведомление о вредоносном коде.
  • Хостер прислал письмо с темой «Обнаружен вредоносный код» или временно заблокировал сайт.
  • В выдаче Google под доменом появились страницы про виагру, кредиты, казино — на чужих языках.
  • В админке появился новый пользователь с правами администратора, которого вы не создавали.
  • Резкое падение позиций или трафика без видимых причин.
  • Антивирус на компьютере срабатывает при заходе на сайт.

Что делать в первый час: чек-лист

Первый час критичен. Чем дольше работает зараженный сайт, тем больше у поисковиков накапливается данных о нём как о вредоносном — и тем дольше потом снимать санкции.

  • Смените пароли: админка сайта, FTP/SSH, база данных, панель хостинга, почта домена.
  • Включите двухфакторную аутентификацию везде, где можно.
  • Сделайте полную копию сайта «как есть» (файлы + БД) — она нужна для диагностики, не для восстановления.
  • НЕ удаляйте подозрительные файлы вручную — без этого не понять, как именно вас взломали.
  • НЕ восстанавливайте старый бэкап «на авось» — точка входа, скорее всего, есть и в нём.
  • Закройте сайт от индексации на время лечения, если он сильно заражён (заглушка 503).

Типичные виды заражений и как они выглядят

ТипСимптомыГде прячетсяСложность лечения
Редирект на сторонний сайтОткрывается у части посетителей или только с поиска.htaccess, header.php, БД (wp_options)Низкая
Скрытый дорвейВ индексе сотни левых страниц на чужих языкахОтдельные папки, инжект в БДСредняя
Веб-шелл (бэкдор)Симптомов нет, пока не используют для атакиФайлы с обфусцированным кодом, eval(base64)Высокая
Майнер криптовалютСайт тормозит у посетителей, греется CPUJS в подвале, через CDNНизкая
Кража данных картНезаметно для админа, утечка через JSInject в скрипты оплатыВысокая
Спам-рассылка с доменаЖалобы хостера, домен в спам-листахPHP-скрипт + cronСредняя
Что обычно встречаем при диагностике

Что нельзя делать (типичные ошибки)

  • Удалять заражённые файлы вручную, не разобравшись в источнике. Шелл-бэкдор обычно лежит в десятках копий — пропустите одну, через сутки заражение вернётся.
  • Откатываться на бэкап двухнедельной давности без анализа. Если взлом случился раньше — вы просто перезапустите процесс заражения.
  • Просить «знакомого верстальщика» — лечение требует понимания CMS, серверной части и логов хостинга.
  • Молчать и ждать, что «само пройдёт». Поисковики ставят пометку «опасный сайт» за часы, снимают — за дни и недели.
  • Менять пароли только в админке, забывая про FTP и БД. Если у злоумышленника есть FTP-доступ, новая админка ничего не даст.

Как лечит профессионал: процесс изнутри

Чтобы было понимание, за что вы платите при заказе лечения, вот реальный процесс.

  • Диагностика: сканеры (AI-Bolit, ImunifyAV, MalCare) плюс ручной анализ логов веб-сервера и FTP за период до заражения.
  • Поиск точки входа: уязвимый плагин, утечка пароля, дыра в кастомном коде, заражение через соседа на shared-хостинге.
  • Снятие слепка: полный архив файлов и дамп БД до начала лечения — на случай спорных моментов.
  • Удаление вредоносного кода: чистка файлов, инжектов в БД, левых cron-задач, новых пользователей-админов.
  • Сверка с эталонными файлами CMS: подменённые файлы ядра заменяем на оригинал из официального дистрибутива.
  • Закрытие уязвимостей: обновление CMS и плагинов, смена всех паролей, ограничение доступа к админке по IP, установка WAF.
  • Заявка на пересмотр в Google Search Console и Яндекс.Вебмастер — снятие пометки «опасный сайт».
  • Установка мониторинга: ежедневное сканирование и алерты на изменение критических файлов.

Сколько это стоит и сколько занимает

СлучайЦенаСрок
Типовой WordPress/Битрикс/Joomla, одно заражениеот 15 000 ₽4–24 часа
Многократное заражение, нет бэкапаот 30 000 ₽1–3 дня
Магазин с интеграциями и кастомной CMSот 50 000 ₽2–5 дней
Снятие санкций Google + Яндексвходит в работы1–7 дней
Мониторинг и защита после леченияот 5 000 ₽/меспостоянно
Ориентиры по лечению

Как защититься, чтобы не повторилось

  • Регулярные обновления CMS и плагинов — 60% заражений происходят через известные уязвимости со старой версии.
  • Сильные пароли + 2FA на всех точках входа.
  • Резервные копии ежедневно, хранение на отдельном сервере минимум 30 дней.
  • WAF (Cloudflare, Imunify) на уровне хостинга или CDN.
  • Удаление неиспользуемых плагинов, тем, старых установок CMS в подпапках.
  • Ограничение доступа к /wp-admin, /bitrix/admin, /administrator по IP или через basic-auth.
  • Ежемесячный аудит безопасности на больших проектах.

Если нужна срочная помощь

Берём заражённые сайты в работу в день обращения. Бесплатная диагностика — за 1–3 часа, лечение типового случая — за 4–24 часа, гарантия 30 дней. Снимаем санкции Google и Яндекса, ставим мониторинг, чтобы взлом не повторился. Опишите симптомы — скажем, что делать в первую очередь, даже если работать будете не с нами.

Часто задаваемые вопросы

Как быстро вы беретесь за заражённый сайт?+

В работу берём в день обращения, в течение 1–3 часов. Типовое заражение лечим за 4–24 часа, сложные случаи — за 1–3 дня. Бесплатная диагностика занимает 1–2 часа.

Сколько стоит вылечить сайт от вируса?+

Типовое заражение WordPress, Битрикс или Joomla — от 15 000 ₽. Многократное заражение без бэкапа — от 30 000 ₽. Магазин с интеграциями и кастомной CMS — от 50 000 ₽. Точную цену называем после бесплатной диагностики.

Что делать прямо сейчас, пока я жду специалиста?+

Смените пароли админки, FTP/SSH, базы данных и панели хостинга. Включите 2FA. Не удаляйте подозрительные файлы — они нужны для диагностики. Не восстанавливайте старый бэкап вслепую: точка входа может быть и в нём.

Дадите гарантию, что сайт не заразится снова?+

Даём гарантию 30 дней: если в этот срок сайт заразится тем же способом — лечим бесплатно. Для долгой защиты предлагаем мониторинг от 5 000 ₽/мес: ежедневное сканирование, WAF, обновления CMS.

Читайте также

Понравилась статья?

Подпишитесь на блог или обсудите ваш проект.

Обсудить проект