Ежедневно взламывают тысячи сайтов. Редко когда владелец грамотно оценивает риски и осознанно относится к проблеме безопасности своего сайта. Обычно до момента взлома сайт считается неуязвимым, а у владельца остается 100% уверенность, что беда обойдет его стороной. 

Сегодня мы поговорим о том, что делать, если сайт взломали или на сайте появился вирус (последнее всегда является следствием взлома). А также поделимся простыми и эффективными советам по минимизации рисков взлома. 

О том, почему просто восстановить сайт из бекапа не лучший вариант, рассказано в этой статье

Взлом сайта могут обнаружить по прямым или косвенным признакам как владелец сайта, так и посетители или хостинг-провайдер. Часто при взломе сайта владелец начинает обвинять хостинг в некачественном администрировании сервера или недостаточной защите аккаунта. Не нужно спешить искать крайних, так как практика показывает, что подавляющее большинство взломов происходит как раз по вине владельца сайта, который не следовал элементарным правилам безопасной работы в сети. Более того, в случае проблем с сайтом правильная организация взаимодействия с хостингом поможет владельцу оперативно решить проблему и избежать повторного взлома, так как хостер заинтересован в бесперебойной работе доверенного ему сайта и его безопасности. 

Итак, если ваш сайт взломали, незамедлительно выполните следующие действия: 

1. Соберите информацию о взломе, чтобы провести анализ и разобраться, как именно это произошло: 

• просмотрите журналы (логи) веб-сервера и ftp-сервера за весь доступный временной интервал (существуют два вида логов: access_log и error_log). Такие логи мы можем Вам предоставить по запросу.  
• опишите проблему с сайтом, чтобы зафиксировать дату и, желательно, время. Также зафиксируйте все найденные сбои в работе (такие как замена главной страницы; спам-ссылки и страницы, на которых они появились; мобильный редирект; срабатывание десктопного антивируса или антивируса поисковой системы).

На основе собранной информации вы можете самостоятельно определить способ взлома. Например, по дате изменений файла .htaccess и анализу ftp лога можно понять, что взлом сайта произошел по ftp. Это значит, что у вас украли пароль от ftp. Если самостоятельно провести анализ и диагностику вы не можете, обратитесь к специалистам по лечению и защите сайтов.  

2. Проверьте все рабочие компьютеры, с которых выполнялось подключение к сайту, коммерческим антивирусом с обновляемыми базами. 
3. Смените пароль от хостинга, от ftp и от административной панели сайта. Пароли должны быть сложными, содержать заглавные, маленькие буквы и цифры, а также быть длинными (не менее 7 символов).
4. Если сайт перестал работать, восстановите его, используя резервную копию. 

После того как работа сайта восстановлена важно выполнить ряд действий для защиты сайта от взлома: 

1. Выполните сканирование сайта на наличие хакерских скриптов бесплатными сканерами (AI-BOLIT (можете написать нам, мы проверим её специальной версией Айболит для хостеров), ClamAv). Удалите найденные вредоносные скрипты. Подробнее в статье "Проверка сайта на уязвимости и вирусы"
2. Обновите версию cms до последней доступной на сайте официального разработчика. Если выходили обновления и патчи для модулей и плагинов cms, их также необходимо установить. 
3. Установите защиту на сайт: 

• установите плагины мониторинга сайта и контроля за изменениями файлов,
• закройте доступ в админ-панель сайта дополнительным паролем или авторизацией по ip адресу,
• сделайте все системные файлы и папки, которые не изменяются, ”только для чтения”,
• отключите ненужные php функции в файле php.ini,
• запретите вызов php скриптов в папках загрузки файлов, кэш- и временных папках.

  
Данные меры сделают невозможным эксплуатацию уязвимостей скриптов и существенно повысят уровень безопасности вашего сайта.

Если самостоятельно выполнить данные действия вы затрудняетесь, обратитесь к специалистам по лечению и защите сайтов. 

Важно отметить, что выполнение перечисленных действий не защитит сайт от взлома на 100%, так как всегда остается “человеческий фактор” в лице администраторов сайта, контент-менеджеров, seo-специалистов и веб-разрабочиков, которым для выполнения определенных работ предоставляется доступ к сайту или хостингу. Вам, как владельцу сайта, нужно грамотно организовать взаимодействие с этими специалистами, чтобы минимизировать риски взлома и заражения сайта: 

1. Разграничьте и ограничьте административный доступ к сайту. У каждого специалиста должен быть свой аккаунт с необходимым минимальным набором привилегий. Действия администраторов должны логироваться (записываться в журнал действий). То же касается и доступов по ftp/ssh к хостингу. Если будет необходимо обратитесь к нам, мы можем проанализировать логи доступа к FTP
2. Установите сложные пароли и регулярно меняйте их для администраторов сайта и хостинга. 
3. Используйте безопасное подключение к сайту (sftp вместо ftp) (это возможно, к примеру, через FileZilla)
4. Все специалисты, которые работают с сайтом, должны гарантировать отсутствие вирусов на своих рабочих компьютерах и использовать антивирусные решения с регулярно обновляемыми базами при работе в сети. 

Помните, что вопрос безопасности сайта требует постоянного внимания, а защита сайта не бывает удобной, так как приходится постоянно искать баланс между способами эффективной защиты сайта и удобством его администрирования. Но даже простое следование описанным выше рекомендациям значительно снижает риск взлома и заражения сайта. 

Материал подготовлен специалистами компании «Ревизиум», которую мы часто рекомендуем нашим Клиентам при возникновении проблем. Об услугах компании вы можете узнать на их сайте