Короткий план

Зафиксируйте симптомы, сохраните копию файлов и базы, остановите опасный трафик, проверьте пользователей и доступы, свяжитесь с хостингом, потом чистите сайт и закрывайте точку входа. Не откатывайте бэкап вслепую и не удаляйте подозрительные файлы до копии.

Как понять, что сайт действительно взломали

Взлом не всегда выглядит как чёрный экран с надписью. Чаще сайт продолжает открываться, но часть посетителей уже видит другое поведение: редирект, всплывающую рекламу, спам-страницы, странные ссылки или предупреждение браузера.

  • Сайт перенаправляет на чужой сайт, казино, рекламу или страницу с "призами".
  • Поисковик или браузер показывает предупреждение: сайт может угрожать безопасности.
  • В выдаче появились чужие страницы: японские символы, лекарства, казино, займы, взрослый контент.
  • В админке CMS появились неизвестные пользователи, новые публикации, странные виджеты или неизвестные плагины.
  • Почта, формы или оплата начали вести себя иначе: заявки пропали, письма уходят в спам, статусы заказов не меняются.
  • Хостинг ограничил сайт или написал о вредоносных файлах, превышении нагрузки, рассылке или жалобах.

Если симптом воспроизводится не всегда, это не значит, что проблемы нет. Вредоносный код часто срабатывает только для мобильных пользователей, только для переходов из поиска, только один раз на посетителя или только для новых IP-адресов.

Первые 60 минут: что делать по порядку

Цель первого часа - не вылечить всё вручную, а остановить ущерб и сохранить данные для нормального восстановления. Ниже - порядок, который подходит владельцу малого бизнеса без глубоких технических навыков.

Время Действие Зачем
0-5 минут Остановить хаотичные правки и записать, что увидели Чтобы не стереть следы и не потерять исходную картину
5-15 минут Собрать симптомы: URL, скриншоты, устройство, источник перехода Чтобы понять, что именно заражено и как воспроизвести проблему
15-25 минут Сохранить копию файлов, базы данных и доступных логов Чтобы была страховка и материал для поиска точки входа
25-35 минут Ограничить публичный ущерб: maintenance, 503-страница, пауза рекламы Чтобы посетители не попадали на вредоносный код и фишинг
35-45 минут Проверить пользователей, панели и доступы Чтобы убрать чужие аккаунты и понять, какие пароли менять
45-60 минут Выбрать путь восстановления: очистка, чистый бэкап, помощь хостинга Чтобы не откатывать сайт вслепую и не вернуть дыру обратно

0-15 минут: зафиксируйте проблему

Сначала соберите факты. Это кажется медленным, но экономит часы: многие заражения проявляются выборочно, и без точных условий специалист видит "у меня всё нормально", пока клиенты продолжают уходить на чужие страницы.

  • запишите адрес страницы, где заметили проблему;
  • скопируйте чужой URL, куда перекидывает или где открывается спам;
  • укажите устройство: телефон, компьютер, браузер, мобильный интернет или Wi-Fi;
  • отметьте источник: прямой заход, переход из Яндекса, Google, рекламы, соцсетей;
  • сделайте скриншот или короткую запись экрана;
  • сохраните письма от хостинга, Google Search Console, Яндекс Вебмастера и рекламных кабинетов.

Шаблон сообщения специалисту

"Сайт example.ru с телефона при переходе из Яндекса редиректит на чужой домен. По прямой ссылке с моего компьютера открывается нормально. Хостинг сегодня прислал письмо о вредоносном файле. Неделю назад обновляли плагин оплаты. Доступ к хостингу и CMS есть, бэкап за вчера есть."

15-25 минут: сохраните копию до очистки

Перед удалением файлов нужна полная копия текущего состояния: файлов сайта, базы данных, конфигов и логов. Да, копия будет заражённой. Это нормально: она нужна как страховка и как материал для диагностики.

Важно

Не начинайте лечение с кнопки "удалить вирус" в панели хостинга, если нет отдельной копии. Автоматическая чистка может стереть файлы, по которым видно, как злоумышленник попал на сайт.

Минимум, который стоит сохранить: архив файлов сайта, дамп базы, список пользователей CMS, список FTP/SSH-пользователей, последние access/error-логи веб-сервера, письма от хостинга и поисковых систем. Если хостинг даёт возможность сделать снапшот аккаунта - используйте её.

25-35 минут: ограничьте ущерб для клиентов

Если сайт показывает вредоносный код, фишинг, редирект или просит вводить данные на чужой странице, публичный доступ лучше временно ограничить. Это не "убить SEO", а нормальная аварийная мера. Google в своих материалах по восстановлению взломанных сайтов рекомендует выводить сайт из публичной раздачи через временную 503-страницу, а не пытаться спрятать проблему через robots.txt.

  • поставьте maintenance-страницу или попросите хостинг отдать временный HTTP 503 с чистого места;
  • приостановите рекламу, если она ведёт на заражённый домен;
  • если работает интернет-магазин, временно отключите оплату и личный кабинет, пока не ясно, затронуты ли данные;
  • не отправляйте клиентов "проверить, откроется ли у них" - можно подвергнуть их риску;
  • если нужен короткий текст для клиентов, пишите нейтрально: "На сайте ведутся технические работы, заявки принимаем в Telegram/почте".

35-45 минут: проверьте доступы и пользователей

Пароли менять нужно, но не точечно и не с заражённого компьютера. Если злоумышленник уже оставил web shell на сервере, один новый пароль от админки не решит проблему. Если пароль меняется с заражённого устройства, его могут украсть повторно.

  • проверьте администраторов CMS и удалите неизвестных пользователей;
  • проверьте пользователей хостинга, FTP, SSH, базы данных, почты и домена;
  • посмотрите владельцев и пользователей в Google Search Console и Яндекс Вебмастере;
  • отзовите старые API-ключи, токены, webhook-ключи и пароли приложений, если они могли попасть в код;
  • после фиксации состояния смените все пароли с чистого устройства и включите 2FA там, где возможно.

45-60 минут: выберите безопасный путь восстановления

Есть три сценария, и у каждого свой риск. Нельзя автоматически считать бэкап спасением: если бэкап сделан после взлома или уязвимость осталась, сайт снова заразится.

Ситуация Что делать Главный риск
Есть чистый свежий бэкап Восстановить на staging или после снапшота, обновить CMS/плагины, закрыть вход, сменить доступы Вернуть сайт вместе со старой уязвимостью
Есть только старый бэкап Сравнить с текущими файлами, перенести чистые данные аккуратно, проверить базу Потерять заказы, заявки, контент и настройки
Бэкапа нет Чистить текущий сайт, искать web shell, лишние файлы, заражённые шаблоны, записи в базе Удалить симптом, но оставить точку входа

Чего не делать при взломе сайта

Большинство ошибок происходит из желания быстро "нажать что-нибудь". В аварии лучше двигаться медленнее, но с контролем.

  • не удаляйте подозрительные файлы до копии сайта и логов;
  • не откатывайте бэкап поверх текущего сайта без понимания даты взлома;
  • не обновляйте все плагины вслепую, если сайт уже нестабилен - сначала копия;
  • не публикуйте доступы в общих чатах и не пересылайте пароли без менеджера паролей;
  • не отправляйте сайт на перепроверку в Google или Яндекс до полной очистки;
  • не считайте, что "если редирект пропал, значит всё чисто" - вредоносный код может срабатывать выборочно.

Если сайт уже взломали и нужно безопасно восстановить работу

Начнём с диагностики: сохраним текущее состояние, найдём вредоносный код и точку входа, объясним план очистки. Первичная диагностика заражения - от 7 500 ₽.

Удалить вирус с сайта Написать в Telegram Оставить заявку

Если поисковик уже поставил предупреждение, сначала нужно вылечить сайт, а потом отправлять его на повторную проверку. Google Search Console просит описать проблему, меры по очистке и доказательства, что действия сработали. Ранний запрос без исправления проблемы обычно только затягивает снятие метки.

В Яндексе проверьте разделы Вебмастера, связанные с безопасностью и нарушениями. В Google откройте отчёт "Проблемы безопасности" в Search Console. Если рекламные объявления были отклонены из-за вредоносного ПО или фишинга, сначала очищают сайт и только потом проходят модерацию заново.

Официальные ориентиры, с которыми стоит свериться

Для владельца бизнеса эти материалы могут быть тяжёлыми, но они полезны как чек-лист, если сайт уже получил предупреждение:

Частые вопросы владельца сайта

Нужно ли сразу отключать сайт?

Если сайт уводит посетителей, показывает фишинг, чужую рекламу или предупреждение безопасности, да - публичный ущерб лучше остановить. Но корректнее делать это через временную 503-страницу или maintenance-режим, а не через удаление файлов наугад.

Можно ли просто восстановить бэкап?

Можно, если бэкап точно чистый и после восстановления закрыта уязвимость. Если причина была в старом плагине, украденном пароле или лишнем пользователе, простой откат вернёт сайт в состояние, где его снова можно взломать.

Что делать, если нет доступа к хостингу?

Начните с восстановления прав владельца: доступ к почте владельца домена, аккаунту хостинга, договору или платежам. Без законных прав владельца нельзя безопасно чистить сайт и менять серверные настройки.

Когда сайт можно возвращать в рекламу?

Когда вредоносный код удалён, точка входа закрыта, предупреждения не воспроизводятся, чистые страницы доступны поисковым роботам, а Search Console/Яндекс Вебмастер не показывают новых критичных проблем. После этого можно возвращать рекламу постепенно.

Что сделать после очистки, чтобы взлом не повторился

После восстановления начинается вторая часть работы: не дать сайту вернуться в то же состояние. Минимальный набор:

  • обновить CMS, темы, плагины, модули оплаты и интеграции;
  • удалить неиспользуемые плагины, темы, тестовые файлы и старые копии сайта;
  • проверить администраторов CMS, хостинга, панелей вебмастера и домена;
  • включить регулярные бэкапы и хранить хотя бы одну копию вне хостинга;
  • настроить мониторинг изменений файлов и базовую проверку доступности;
  • составить короткий регламент: кто отвечает, где доступы, как быстро отключить опасный трафик.

Если коротко

При взломе сайта первый час нужен не для героической ручной чистки, а для контроля: сохранить доказательства и копию, закрыть опасный трафик, проверить доступы, выбрать безопасный сценарий восстановления. Лечение считается законченным только когда удалён вредоносный код, закрыта точка входа и сайт готов к перепроверке поисковиков.

Рядом по теме

Если нужно уточнить симптом

Все чек-листы
Редирект Сайт перенаправляет на чужой сайт Если взлом проявляется не постоянно, а только с телефона, из поиска или для новых посетителей. Услуга Удалить вирус с сайта Диагностика и очистка после взлома: вредоносный код, редиректы, спам-страницы, доступы и перепроверка. Оплата Не работает оплата на сайте Если после взлома или обновления перестали проходить платежи, чеки, webhook или статусы заказов.