Сайт взломан. Кто виноват и что делать?

Ежедневно взламывают тысячи сайтов. Редко когда владелец грамотно оценивает риски и осознанно относится к проблеме безопасности своего сайта. Обычно до момента взлома сайт считается неуязвимым, а у владельца остается 100% уверенность, что беда обойдет его стороной.

Сегодня мы поговорим о том, что делать, если сайт взломали или на сайте появился вирус (последнее в большинстве случаев является следствием взлома). А также поделимся простыми и эффективными советам по минимизации рисков взлома.

Взлом сайта могут обнаружить по прямым или косвенным признакам как владелец сайта, так и посетители или хостер. Часто при взломе сайта владелец начинает обвинять хостинг в некачественном администрировании сервера или недостаточной защите аккаунта. Не нужно спешить искать крайних, так как практика показывает, что подавляющее большинство взломов происходит как раз по вине владельца сайта, который не следовал элементарным правилам безопасной работы в сети. Более того, в случае проблем с сайтом правильная организация взаимодействия с хостингом поможет владельцу оперативно решить проблему и избежать повторного взлома, так как хостер заинтересован в бесперебойной работе доверенного ему сайта и его безопасности.

Итак, если ваш сайт взломали, незамедлительно выполните следующие действия:
  1. Перед тем как восстанавливать сайт из бэкапа, cоберите информацию о взломе, чтобы вы или специалисты смогли провести анализ и разобраться, как именно сайт скомпрометировали:
    • запросите в тех. поддержке хостинга журналы (логи) веб-сервера за весь доступный временной интервал. Запрашивать нужно следующие логи: access_log, error_log - это логи веб-сервера, лог ftp подключений и файловых операций, лог ssh подключений и файловых операций по sftp, лог операций в панели управления хостингом,
    • опишите проблему с сайтом, чтобы зафиксировать дату и, желательно, ориентировочное время. Также зафиксируйте все найденные сбои в работе (такие как замена главной страницы; спам-ссылки и страницы, на которых они появились; мобильный/поисковый редирект; срабатывание десктопного антивируса или антивируса поисковой системы; посторонние файлы, которые вы не загружали).
    • если достаточно дискового пространства, заархивируйте текущую взломанную версию сайта в .tar.gz архив до каких-либо изменений.
    На основе собранной информации вы можете попробовать самостоятельно определить способ взлома. Например, по дате изменений файла .htaccess и анализу ftp лога можно понять, что взлом сайта произошел по ftp. Это значит, что у вас украли/перехватили/подобрали пароль от ftp. Если самостоятельно провести анализ и диагностику вы не можете, обратитесь к специалистам по лечению и защите сайтов.
  2. Проверьте все рабочие компьютеры, с которых выполнялось подключение к сайту, коммерческим антивирусом с обновляемыми базами. Это позволит определить наличие троянов или кейлоггеров на компьютере.
  3. Смените пароль от хостинга, от ftp и от административной панели сайта. Пароли должны быть сложными, содержать заглавные, маленькие буквы и цифры, а также быть длинными (не менее 7 символов).
  4. Если сайт перестал работать, восстановите его, используя резервную копию.

После того как работа сайта восстановлена важно выполнить ряд действий для защиты сайта от взлома:

  1. Выполните сканирование сайта на наличие хакерских скриптов бесплатными сканерами (AI-BOLIT, ClamAv, Maldet). Удалите найденные вредоносные скрипты.
    Кстати, часто антивирусы или сканеры вредоносного кода уже интегрированы в панели хостинга, вы можете воспользоваться готовыми решениями. Например, в панели ISPmanager Lite и Plesk есть Revisium Antivirus. Уточните этот момент у вашего хостера.
  2. Обновите версию CMS до последней доступной на сайте официального разработчика. Если выходили обновления и патчи для модулей и плагинов CMS, их также необходимо установить.
  3. Установите защиту на сайт:
    1. изолируйте сайты друг от друга: если на хостинге не поддерживается изоляция сайтов, разместите сайты на разных аккаунтах,
    2. установите плагины мониторинга сайта и контроля за изменениями файлов (контроль целостности),
    3. закройте доступ в админ-панель сайта дополнительным паролем или авторизацией по ip адресу,
    4. сделайте все системные файлы и папки, которые не изменяются, ”только для чтения”,
    5. отключите ненужные php функции в файле php.ini,
    6. запретите вызов php скриптов в папках загрузки файлов, кэш- и временных папках через .htaccess или в настройках nginx.
Данные меры сделают невозможной эксплуатацию уязвимостей скриптов и существенно повысят уровень безопасности вашего сайта.

Если самостоятельно выполнить данные действия вы затрудняетесь, обратитесь к специалистам по лечению и защите сайтов.

Важно отметить, что выполнение перечисленных действий не защитит сайт от взлома на 100%, так как всегда остается “человеческий фактор” в лице администраторов сайта, контент-менеджеров, seo-специалистов и веб-разрабочиков, которым для выполнения определенных работ предоставляется доступ к сайту или хостингу. Вам, как владельцу сайта, нужно грамотно организовать взаимодействие с этими специалистами, чтобы минимизировать риски взлома и заражения сайта:

  1. Разграничьте и ограничьте административный доступ к сайту.
    У каждого специалиста должен быть свой аккаунт с необходимым минимальным набором привилегий. Действия администраторов должны логироваться (записываться в журнал действий). То же касается и доступов по ftp/ssh к хостингу.
  2. Установите сложные пароли и регулярно меняйте их для администраторов сайта и хостинга.
  3. Используйте безопасное подключение к сайту (sftp вместо ftp).
  4. Все специалисты, которые работают с сайтом, должны гарантировать отсутствие вирусов на своих рабочих компьютерах и использовать антивирусные решения с регулярно обновляемыми базами при работе в сети.

Помните, что вопрос безопасности сайта требует постоянного внимания, а защита сайта не бывает удобной, так как приходится постоянно искать баланс между способами эффективной защиты сайта и удобством его администрирования. Но даже простое следование описанным выше рекомендациям значительно снижает риск взлома и заражения сайта.

Наши услуги ИБ

Акция «2 по цене 1»
Подключите 2 сайта к услуге "Сайт под наблюдением" всего за 5000 2500 / мес. Скидка 50% только в июле.
Акция действует только до 30 июля.
При подключении услуги "Сайт под наблюдением" для одного сайта, второй на том же аккаунте подключается бесплатно. Последующие сайты на аккаунте — 1500 руб в месяц за каждый сайт.
Новинка! Антивирус для ISPmanager Lite
Антивирус для Plesk Onyx