Что делать, если ваш сайт взломали: пошаговый план действий
Не секрет, какой стресс может испытать владелец онлайн-проекта, если обнаружит, что помимо него и доверенных лиц на веб-страницах стали хозяйничать «потусторонние силы». В подобной ситуации на второй план отходят размышления о причинах непрошенного вторжения. Важно быстро осмыслить ситуацию: сайт взломан, что делать теперь. Самое основное – быстро разобраться, что успели натворить злоумышленники. Это может быть кража чувствительных данных, рассылка спама, масса других неприятностей, от которых может пострадать деловая репутация бизнеса.
Сегодня хотим предложить нашим читателям своеобразный чек-лист – что предпринять, если online-бизнес стал мишенью злоумышленников.
Как узнать о взломе сайта
На несанкционированное вторжение могут указывать прямые и косвенные признаки. Они очевидны самому хозяину ресурса, его посетителям или провайдеру:
- антивирусная программа на ПК предупреждает о наличии вредоносного элемента;
- заметно снизилась посещаемость;
- ссылки на веб-страницах ведут на чужие площадки;
- произошла замена контента (и хорошо, если на относительно приличный);
- поисковики помечают проект в поисковой выдаче как не рекомендованный к посещению;
- обозреватели прямо сообщают о вирусной составляющей.
Здесь перечислены не все «симптомы» зараженного веб-ресурса, но всегда нужно настораживаться, когда выявляются нетипичные действия, жалобы пользователей, проблема с управлением.
Что делать, если сайт взломан
Теперь предлагаем разобраться, что делать, если сайт взломан, чтобы уменьшить ущерб, локализовать дальнейшие попытки хакеров использовать площадку в своих целях.
Заблокируйте доступы и предотвратите дальнейший ущерб
Рекомендуется сразу заблокировать возможные доступы на сайт. Это необходимо, чтобы больше никто не смог на него войти, пока не устранены уязвимости. Не стоит волновать пользователей неприятной информацией, давать повод поисковым системам делать отметки о зараженности вашего «детища».
Один из методов провести блокировку – добавить определенное правило в .htaccess ресурса, который может подвергнуться взлому.
Это поможет проверять IP-адреса визитеров, сравнивать их с 2 адресами, указанными через RewriteCond. Доступ получают пользователи с соответствующих адресов, количество их может быть разным. Для всех остальных будет выводиться фраза 503 Service Unavailable.
Измените все пароли для защиты системы
Для этого понадобится специальный документ, включающий в себя имеющиеся пароли от самого сервера и т. д. Например, от:
- хостинг-аккаунта;
- панели управления сервером;
- FTP, SSH;
- различных приложений;
- баз данных;
- email.
При работе с новыми паролями необходимо тщательно продумывать степень их сложности, количество символов, их разнообразие. Рекомендуется:
- использовать не менее 8-9 символов;
- сочетать строчные, заглавные буквы латиницы;
- применять специальные символы (например, $, %), цифры;
- исключить всякую логичность в расстановке, применении всех составляющих.
При необходимости можно использовать онлайн-сервисы для генерации надежных вариантов.
Установите заглушку на сайт для безопасности посетителей
Пока проводятся восстановительные работы, следует провести настройку заглушки с ответом 200. Она пойдет с комментариями, что проводятся технические работы, скоро все нормализуется. Как это сделать:
- создается HTML-page заглушки с выше указанной информацией;
- в .htaccess добавляется код:
Это поможет «спрятать» веб от пользователей, пока он недоработан, закрыть возможность знакомиться с контентом, избежать санкций от роботов.
Запишите все детали инцидента
Создайте текстовый файл, чтобы задокументировать все проводимые «спасательные» операции. Это поможет ясно понять, что необходимо предпринять на конечной фазе анализа, как предвосхитить атаки мошенников в будущем. В документ можно включить:
- краткий рассказ о том, что случилось, как было обнаружено;
- перечень пострадавших ресурсов;
- журнал детализации по времени, датам;
- список адресов, которые подозреваются во взломе;
- копии обнаруженного подозрительного кода;
- перечисление полезных кодов, статей и т. д.;
- скрины пострадавших страничек;
- переписку с хостинг-провайдером, техподдержкой.
Такие записи фиксируют важные сведения, которые можно будет использовать для изучения, предоставления доказательств.
Свяжитесь с хостинг-провайдером для получения помощи
Полезная практика – обращение к провайдеру, чтобы узнать о возможных «братьях по несчастью». Помимо этого, специалисты хостинга могут порекомендовать, что можно сделать в такой ситуации, проинформируют о сроках восстановления работы сервера.
Проверьте сайт на вирусы и уязвимости
Необходимо внимательно перепроверить ПК тех людей, которые имели доступ к проекту, на наличие вирусов. Есть вариант, что взлом произошел через ваш компьютер, если пароли были сохранены в браузере. Не исключена «засылка» трояна, который нащупал их в десктопе.
Проверку можно осуществить с помощью таких, например, инструментов, как ClamAv, LMD. Если при исследовании было что-то найдено, вредонос срочно надо удалить. После выявления «чужаков», удаления всех подозрительных файлов, рекомендуется выявить, устранить уязвимости. Без этого нет смысла делать загрузку новых файлов, восстанавливать БД.
Найдите причины взлома и устраните их
Что делать, если сайт взломан? Определить причину. Чаще всего это:
- Спрятавшаяся уязвимость в действующей версии CMS. Следует систематически проводить обновление, так как мошенники могут взять на вооружение ставшие известными слабые места популярных платформ.
- Уязвимости в темах, плагинах CMS. Вирусы часто обитают во взломанных платных версиях. В связи с этим, специалисты советуют обращаться к официальным плагинам.
- Наличие вредоносного кода на ПК, с которого осуществляется управление вебом. Чувствительные данные, пароли могут быть похищены посредством шпионов-вирусов, поэтому важно оборудовать свои устройства антивирусными программами и постоянно обновлять их базу.
Очистите сайт от вредоносного кода и подозрительных файлов
Одним из несложных решений проблемы считается восстановление веб-площадки с помощью резервной копии. Просто нужно убедиться, что все ее составляющие не заражены вирусами.
Вредоносные элементы вполне реально убрать самим или воспользоваться «Антивирусом», позволяющим осуществить автоматическое лечение.
Обновите CMS, плагины и темы для устранения уязвимостей
Один из последних этапов – обновление CMS, всевозможного ПО, патчей и т. д. Все программы, которые потеряли свою актуальность, не используются долгое время, должны быть удалены. Тоже самое касается неофициальных версий. Их лучше заменить на официальные.
Создавайте резервные копии для предотвращения повторного ущерба
Одно из требований безопасности контента, самой платформы – наличие актуальной, проверенной резервной копии. Без нее существует риск безвозвратно лишиться определенной части информации. Если есть проблема в систематических самостоятельных бэкапах, то это можно поручить хостеру. Некоторые из них практикуют ночное фиксирование файловой системы, чтобы при взломе сайта его можно было быстро восстановить.
Рекомендуется сделать бэкап системы после самого инцидента. Это поможет в дальнейшем проанализировать общую картину.
Заключение
Мы рассмотрели, что делать, если сайт взломан. Но, чтобы этого избежать, лучше периодически проводить работу по повышению безопасности своего проекта:
- менять пароли каждые полгода;
- не забывать о резервном копировании;
- использовать надежные CMS, ПО, делать их обновления;
- пользоваться безопасными протоколами.
Эти меры уменьшат риск взлома.
