Как понять, что ваш сайт на WordPress взломали и что делать дальше

Важно: «взлом» здесь означает неавторизованное изменение файлов, добавление вредоносного кода или получение доступа к учётным записям администратора.

Быстрая справка

• WordPress — система управления контентом (CMS). Используется для сайтов и блогов.
• Вредоносный код может быть внедрён через плагины, темы, уязвимости сервера или скомпрометированные учётные записи.

1. Вы не узнаёте свой сайт

Вы заходите на сайт и видите нечто другое: новый логотип, непривычные изображения, или контент, которого не должно быть. Это явный признак вмешательства.

Что проверять прямо сейчас

• Просмотрите публичную страницу в режиме инкогнито браузера.
• Сравните текущие файлы темы с резервной копией или копией из репозитория разработчика.
• Проверьте файл footer.php и header.php — злоумышленники часто вставляют ссылки и скрипты туда.

Типичные проявления

• Появились явные рекламные блоки или ссылки на сомнительные сайты.
• В футере добавлены внешние ссылки с ключевыми словами.
• На сайт подключаются внешние скрипты неизвестных доменов.

Почему это опасно

• Вредоносный код может показываться только поисковым роботам (cloaking), что ухудшит SEO.
• Подключение сторонних скриптов замедляет сайт и ставит под угрозу безопасность посетителей.

Примеры мест в файловой структуре, где искать подозрительный код

• wp-content/themes/ВАША_ТЕМА/
• wp-content/plugins/
• wp-config.php
• .htaccess

Простой grep‑поиск по серверу (пример для SSH):

# ищем строки с base64 или eval в файлах PHP
grep -R --include="*.php" -n "base64_decode\|eval\|gzinflate" .

Важно: такие выражения иногда легитимны, но часто используются злоумышленниками.

2. Не получается войти в админку

Если вы не можете авторизоваться, это может быть из‑за забытых паролей, но чаще это следствие вмешательства: администратора удалили или сменили пароль.

Проверки и быстрые шаги

• Попробуйте восстановить пароль через форму «Забыли пароль». Если письмо не приходит, посмотрите лог почтового сервера.
• Если есть доступ к базе данных (phpMyAdmin, Adminer), проверьте таблицу wp_users на наличие лишних админ‑учёток.
• Если у вас есть SSH и WP‑CLI, создайте нового администратора:

wp user create incident_admin admin@example.com --role=administrator --user_pass="S3cureP@ssw0rd"

Если админка недоступна, но сервер доступен

• Поменяйте все пароли (хостинг, базы данных, FTP/SFTP, панели управления).
• Включите двуфакторную аутентификацию для всех администраторов.

Почему взломщики так поступают

Они хотят удержать контроль над сайтом. Удалив ваш доступ, злоумышленники с меньшей вероятностью будут обнаружены и удалены.

3. Резкое падение трафика

Падение посещаемости может быть следствием нескольких причин. Если сайт служит перенаправщиком на чужие ресурсы, посетители будут уводиться, а поисковые системы заметят проблему.

На что обращать внимание

• Сравните данные в Google Analytics (или другом аналитическом инструменте) за несколько периодов.
• Проверьте страницы входа на предмет редиректов. Тестируйте с разных устройств и без авторизации.
• Проверьте через Search Console на наличие предупреждений о безопасности (Security Issues).

Характерные схемы

• Частичные редиректы: залогиненные пользователи видят сайт нормально, случайные посетители перенаправляются.
• Cloaking: поисковые роботы видят чистую версию, пользователи — заражённую.

Примечание

Иногда трафик падает из-за обновлений алгоритмов поисковых систем. Но при сопутствующих признаках (изменённый дизайн, спам) это скорее взлом.

4. Со вашего домена отправляется спам

Если пользователи жалуются, что получают фишинговые письма якобы от вашего сайта, вероятно, злоумышленники используют почтовую инфраструктуру хостинга или внедрили скрипт отправки писем.

Что проверить

• Логи почты на хостинге — источники и частота отправки.
• Файлы в корне сайта и в папках плагинов на предмет скриптов, использующих mail(), wp_mail() или внешние SMTP‑клиенты.
• Настройки SPF/DKIM/DMARC для вашего домена.

Последствия

• Репутация домена падает — письма от вашего домена будут попадать в спам.
• Почтовые провайдеры (например, Gmail) могут временно блокировать отправку писем.

5. Появились новые пользователи

Создание учётных записей злоумышленниками — распространённая тактика. Они могут подготовить бэкдор‑аккаунты заранее.

Проверки

• Проверьте роли новых пользователей и даты создания.
• Удалите все неизвестные учётные записи с правами администратора.
• Включите ручное подтверждение регистрации или запретите регистрацию, если она не нужна.

Рекомендация

Ограничьте права новых пользователей и регулярно проводите аудит списка учётных записей.

Что делать прямо сейчас — пошаговый план действий (инцидентный план)

1. Изолируйте сайт

• Переведите сайт в режим обслуживания (maintenance) или временно отключите его. Это уменьшит риск дальнейшего распространения вредоносного контента.

2. Снимите полную копию

• Сохраните файлы сайта и дамп базы данных для последующего анализа и при необходимости — как доказательство.

3. Свяжитесь с хостером

• Сообщите о взломе. Хостер может помочь временно заморозить аккаунт, проанализировать логи и удалить доступные веб‑шеллы.

4. Смените пароли и ключи

• Пароли для всех админов, SFTP/FTP, базы данных и панели управления.
• Обновите секретные ключи в wp-config.php (AUTH_KEY, SECURE_AUTH_KEY и др.).

5. Проведите сканирование

• Используйте антивирусные и специализированные сканеры для WordPress (например, Wordfence, Sucuri, или командные утилиты).

6. Восстановление

• Откатитесь к последней чистой резервной копии. Если её нет, проведите ручную очистку — удалите неизвестные файлы, проверьте темы и плагины.

7. После восстановления

• Примените апдейты к ядру WordPress, теме и плагинам.
• Проверьте доступы и настройте защиту (бэкапы, 2FA, ограничение по IP для wp-admin).

Критерии приёмки

• Сайт возвращает ожидаемое содержимое для неавторизованных пользователей.
• В журналах нет подозрительной активности за последние 48–72 часа.
• Отправка почты проходит через проверенные SMTP и письма не попадают в спам массово.

Мини‑методология расследования (коротко)

1. Сбор информации: логи, резервные копии, список установленных плагинов и тем.
2. Идентификация точки входа: старые плагины, уязвимая тема, скомпрометированные FTP‑учётные записи.
3. Устранение: удаление бэкдоров, обновление/замена уязвимых компонентов.
4. Восстановление: откат и проверка целостности.
5. Жёсткая защита: настройка мониторинга и политики доступа.

Контрольный список по ролям

Владелец сайта

• Сменить пароли и уведомить команду.
• Связаться с провайдером хостинга.

Разработчик

• Проанализировать файлы и базу данных.
• Убрать вредоносные вставки, проверить права на файлы.

Системный администратор

• Проверить логи сервера и процессы.
• Обновить OS, PHP и сервисы сервера.

Менеджер сообщества

• Проинформировать пользователей о возможной утечке данных и дать рекомендации (сменить пароли, игнорировать подозрительные письма).

Шаблон отчёта об инциденте

Заполняйте этот шаблон для внутреннего аудита и взаимодействия с хостером.

Быстрые рекомендации по укреплению защиты

• Всегда обновляйте WordPress, темы и плагины.
• Удаляйте неиспользуемые плагины и темы.
• Используйте плагины безопасности с функциями брандмауэра и сканирования.
• Настройте двухфакторную аутентификацию для всех админов.
• Ставьте сложные пароли и используйте менеджер паролей.
• Включите регулярное резервное копирование и храните копии вне хостинга.
• Настройте правила в .htaccess для ограничения доступа к wp‑admin, wp‑config.php и к файлам плагинов.

Пример ограничения доступа по IP для wp‑admin (в .htaccess):

    Require ip 203.0.113.0


    Order deny,allow
    Deny from all
    Allow from 203.0.113.0

Замените IP на доверенный адрес вашей команды.

Решающее дерево для принятия действий

flowchart TD
  A[Обнаружен подозрительный признак] --> B{Сайт доступен?}
  B -- Да --> C{Админка доступна?}
  B -- Нет --> D[Связаться с хостером и снять дамп]
  C -- Да --> E[Создать бэкап и сканировать файлы]
  C -- Нет --> D
  E --> F{Найдены бэкдоры?}
  F -- Да --> G[Изолировать, сменить пароли, удалить вредоносные файлы]
  F -- Нет --> H[Откат к чистой резервной копии]
  G --> I[Проверить повторно, поставить защиту и мониторинг]
  H --> I
  I --> J[Сообщить пользователям и закрыть инцидент]

1‑строчный глоссарий

• Бэкдор — скрытый доступ или скрипт, позволяющий вернуться на сайт после очистки.
• Cloaking — показ разного контента для пользователей и поисковых роботов.
• SPF/DKIM/DMARC — записи DNS, помогающие защитить почту от подделки.

Когда предложенные меры не помогут

• Если взломщик получил контроль над хостинг‑аккаунтом или сервером, иногда требуется полная переустановка окружения и перенос на новый хост.
• При утечке персональных данных имеет смысл сообщить пользователям и, при необходимости, уведомить регуляторов по требованиям законодательства о защите данных.

Важно: не удаляйте логи и не перезаписывайте сервер, пока не сделали хотя бы один бэкап для расследования.

Изображения в статье:

Источник изображения: stokkete / Depositphotos

Короткое резюме

Если вы заметили незнакомый дизайн, потерю доступа, падение трафика, массовую отправку писем или новые учётные записи — действуйте быстро. Изолируйте сайт, сохраните копии, свяжитесь с хостером, восстановите чистую версию и усилите защиту.

Ключевые действия: создать бэкап, сменить все пароли, проверить плагины и темы, включить 2FA и настроить регулярные резервные копии.