Взлом и заражение сайтов вирусами — довольно частое явление. Зараженный ресурс — это источник проблем при выдаче результатов поиска в браузере и угроза для компьютеров посетителей. Кроме того, на «инфицированном» сайте злоумышленники могут настроить рассылку спама или расположить нежелательный контент. Все эти факторы могут негативно сказаться на позициях проекта в поиске, безопасности ваших клиентов и репутации бизнеса.
Далее мы рассмотрим популярные способы заражения, меры предосторожности и действия в том случае, если ваш сайт уже заражен.
Определение заражения
Так выглядит предупреждение браузера о том, что сайт представляет угрозу
Понять, заражен ли сайт — довольно просто. Ваш ресурс может оказаться в «черных списках» поисковых систем или в других базах, куда помещены небезопасные или подозрительные сайты. Чтобы сразу узнать об этом, мы советуем добавить проект в Google Search Console и в Яндекс.Вебмастер. Так вы получите соответствующее уведомление, если ваш сайт в результатах поиска отобразится, как не внушающий доверия. При входе на «инфицированный» ресурс основные браузеры показывают предупреждение, то же касается некоторых антивирусов, которые (но, к сожалению, не все и не всегда) сообщают о наличии вируса.
В коде страниц можно самостоятельно обнаружить чужеродный код. Обычно он содержит в себе теги <script> или <iframe> и, как правило, находится либо в самом начале или в конце страницы, либо сразу за тегом <body>. Кроме «инжектированного» (вставленного) кода, на сайте могут появиться и отдельные хакерские скрипты, такие как веб-шеллы, бэкдоры и т. д. Все чаще «доброжелатели» подменяют файл .htaccess, вставляя в него строки с редиректом — перенаправлением на вредоносный сайт.
Способы заражения
Большинство людей, попав в это неприятное положение, предполагают, что проблема на стороне хостинга, но на самом деле это далеко не так. Самым распространенным источником заражения является вирусное ПО, ворующее учетные данные (например, для доступа по FTP), а также уязвимые CMS и их плагины.
Цель «троянского коня» — захватить данные для доступа и присвоить управление
В первом случае сайты заражаются приблизительно по следующему принципу. Гуляя по интернету, человек заходит на сайт взломщика или уже зараженный сайт, в который встроен код, устанавливающий на компьютер посетителя вредоносную программу — «троянского коня». Эта программа «живет» в компьютере незаметно для пользователя и отправляет пароли доступа по FTP своему владельцу. Имея пароль FTP-доступа, злоумышленник вставляет в код главной страницы сайта (или всех страниц сразу) специально сформированный HTML-код, который может как заражать вирусами компьютеры посетителей, так и перенаправлять их на другие сайты, показывать рекламные блоки и т. п.
Все это происходит в автоматическом режиме, и поэтому, даже если владелец пострадавшего сайта удалит код со своих страниц и сменит пароль на FTP, пароль будет снова украден, а вредоносный код вставлен на сайт уже на следующий день.
Во втором случае, используя «дыры» в старых версиях CMS и плагинах, взломщики загружают так называемый веб-шелл и с его помощью становятся за пульт управления базами данных, файлами и даже паролями, что в итоге приводит к самым неприятным и даже фатальным последствиям для сайта.
Важно понимать, что безопасность проекта целиком зависит от вас, и никаких «вирусов, живущих на хостинге» не существует. Поэтому вам самим необходимо предпринимать необходимые действия по предотвращению заражений.
Меры безопасности
Комплекс мер заранее купирует «болезнь» сайта и компьютера
Простые правила, приведенные ниже, помогут предупредить «заболевание» ваших сайтов и компьютера. Желательно придерживаться их всегда и рекомендовать своим знакомым и коллегам:
- Откажитесь от использования функции сохранения паролей в вашем FTP-клиенте. Вирус ворует пароли, используя именно этот функционал популярных FTP-клиентов.
- Используйте защищенный FTPS или SFTP. Мы настоятельно рекомендуем отдать предпочтение безопасным соединениям (подробнее здесь), чтобы предотвратить доступ третьих лиц к вашим данным.
- Разрешите доступ по FTP к своему аккаунту только с известных вам IP-адресов. Как это сделать, описано здесь. Но мы советуем выключать доступ по FTP и включать его только временно по необходимости (инструкция для сайтов на виртуальном хостинге и облачном для CMS).
- Не стоит использовать нелицензионные CMS и их плагины. В них могут быть отключены обновления или даже встроены программы-шпионы и бэкдоры для несанкционированного управления сайтом. Используйте версии CMS и расширения, скачанные только с официальных сайтов или с популярных сайтов-каталогов.
- Следите за обновлениями используемой CMS и всегда вовремя устанавливайте их. Если в CMS нет автоматического оповещения об обновлениях, можно подписаться на новости на официальном сайте.
- Своевременно обновляйте плагины для CMS. Для забытого автором плагина лучше найти альтернативу. Отключите или лучше удалите те расширения, что вам не нужны. Уделите особое внимание плагинам, которые связаны с приемом информации от пользователей сайта: например, для обратной связи или загрузки файлов и т. д.
- Следите за выходом патчей безопасности («заплаток») для CMS и их расширений. Со временем в коде могут обнаружиться различные уязвимости, но, благодаря обновлениям, их можно исправить.
- Периодически заходите и проверяйте ваши сайты антивирусом. Это можно сделать в разделе «Антивирус» контрольной панели хостинга и в разделе «Управление / Антивирус» для проекта на «Джино.Спектре».
- Откажитесь от использования старых версий Internet Explorer (IE) и регулярно обновляйте версии браузеров, которые вы используете.
- Пользуйтесь антивирусом и файрволом (брандмауэром), загружайте обновления безопасности от Microsoft, обновляйте антивирусные базы и проверяйте свой компьютер.
- Не используйте одинаковые и простые пароли. Избегайте односложности и проявите фантазию — придумайте разные пароли для входа в контрольную панель «Джино», для доступа по FTP, SSH и к базам данных.
- Не открывайте вложения в письмах, пришедших вам по электронной почте от неизвестных людей, не переходите по ссылкам, указанным в таких письмах, и не загружайте присланные незнакомцами файлы.
- Не пользуйтесь возможностью запоминания паролей в браузере. Не облегчайте жизнь злоумышленникам — старайтесь запоминать свои пароли или используйте специальные программы — менеджеры паролей.
Придерживаясь вышеописанных правил, вы обезопасите свой компьютер и сайт от взлома и тем самым сохраните ценную информацию.
Если же взлом сайта все-таки не удастся предотвратить, — на «Джино» действует отлаженная система обнаружения подозрительной активности, которая следит за выполняющимися скриптами и проверяет их на наличие характерных признаков вредоносного кода. В случае нахождения совпадений система заблокирует такой скрипт.
Что делать, если ваш сайт заражен?
Если вам не повезло, и ваш сайт все-таки заражен, выполните приведенные ниже действия, причем именно в той последовательности, в которой они изложены:
- Закройте доступ по FTP к вашему аккаунту. Как это сделать, описано здесь.
- Удалите все сохраненные учетные записи соединений из вашего FTP-клиента и создайте их заново, не используя функцию сохранения пароля.
- Обновите свои антивирусные базы. Если у вас нет антивируса, установите его.
- Проверьте компьютер и удалите найденные вирусы. Если никаких вирусов не найдено, удостоверьтесь, что антивирусные базы обновлены или попробуйте другой антивирус.
- Смените все свои пароли для доступа по FTP, в контрольную панель «Джино» и к базам данных.
- Запустите проверку в разделе «Антивирус» контрольной панели хостинга или в разделе «Управление / Антивирус» для проекта на «Джино.Спектре». Также рекомендуется провести проверку несколькими доступными в сети скриптами-сканерами вирусов, чтобы увидеть полную картину.
- Удалите код, который был вставлен в страницы вашего сайта без вашего ведома, или восстановите файлы из резервной копии, предварительно убедившись, что она не заражена. Если вы не уверены, что произвели очистку до конца, обратитесь к специалистам техподдержки.
- Обновите версию CMS и ее плагины, удалите расширения, которыми не пользуетесь и те, что устарели.
Если доступ к сайту по FTP производился с нескольких компьютеров, то действия со 2 по 6 пункты надо повторить на каждом из них.
К большому сожалению, панацею от всевозможных вирусов пока не изобрели. С каждым днем методы кибервзлома становятся все более и более изощреннее. Но вы всегда можете своими силами сделать ваш проект защищенным и надежным, следуя правилам безопасности и вовремя наводя порядок на сайте и компьютере.
Подводим итоги
- Преобладающие причины появления вирусов на сайте — это кража пароля от FTP и «бреши» в CMS и плагинах.
- Всегда делайте выбор в пользу FTP с шифрованием и избегайте сохранения паролей в FTP-клиентах. Доступ по FTP лучше включать только когда это нужно, или ограничить по IP-адресам.
- Позаботьтесь об обновлениях CMS и плагинов, избавляйтесь от ненужных и заброшенных разработчиками дополнений и не пользуйтесь пиратским ПО.
- Используйте Google Search Console и Яндекс.Вебмастер, чтобы сразу узнавать о проблемах с сайтом.
- Время от времени полезно проверять ваш сайт на наличие угроз антивирусом.