У взлома сайта почти никогда нет красивого драматичного момента, где все сразу ясно. Обычно все скучнее — сайт вроде работает, но что-то «не так». Появились странные ссылки. Хостинг шлет письма. В админке кто-то был ночью. А вы думаете: может, баг? Может, плагин чудит? Может, само пройдет? Не-а.
Если у вас сайт на WordPress — корпоративный, блог, лендинг или маленький интернет-магазин — лучше поймать проблему в самом начале. Потому что потом прилетает по полной: SEO падает, юзеры ловят редиректы на мусорные страницы, формы не доходят, а иногда хостинг просто выключает сайт.
Ниже — 7 признаков, по которым обычно видно, что сайт, скорее всего, уже трогали чужие руки.
1. Сайт начал редиректить людей на странные страницы
Это один из самых частых симптомов. Вы открываете сайт — все нормально. А клиент пишет, что его перекинуло на казино, «инвест-платформу» или страницу с кривым APK-файлом. Знакомо? Такое часто делают хитро: редирект работает не для всех, а только для мобильных, только из Google или только для новых посетителей.
На самом деле это классика малвари в WordPress. Вредоносный код прячут в functions.php, header.php, .htaccess или вообще в базе данных. Иногда еще веселее — заражают какой-нибудь старый плагин и оттуда уже дергают внешний скрипт.
Что проверить прямо сейчас:
- откройте сайт с телефона и с компьютера
- зайдите в режиме инкогнито
- проверьте несколько внутренних страниц, не только главную
- посмотрите исходный код — нет ли подозрительных внешних скриптов
Если редирект есть хотя бы у части посетителей — это уже не «мелкий баг». Это повод разбираться срочно. Если сами ковырять не хотите, вот страница с помощью, когда сайт взломан — там как раз про очистку и восстановление.
2. В поиске Google у вас внезапно мусорные страницы
Очень мерзкий признак. Вы ищете свой сайт в Google, а там не только ваши страницы, но и что-то вроде:
«Купить виагру дешево»
«Online casino bonus»
«Cracked software download»
Причем на самом сайте вы этого не видите. Почему так? Потому что взломщики часто делают скрытые SEO-страницы. Для обычного посетителя одна версия, для поисковика — другая. Это называют клоакингом. Звучит заумно, а по сути схема простая — поисковику подсовывают спам, чтобы качать трафик на чужую фигню.
Проверьте запрос в духе site:вашдомен.ru и быстро станет понятно, чисто у вас или уже нет. Если страниц внезапно стало в 10 раз больше, а названия какие-то левые — дело плохо.
И да, после очистки сайта этот мусор сам мгновенно не исчезнет. Потом еще придется отправлять страницы на переобход и чистить индекс. Это как раз та часть, о которой многие забывают.
3. Хостинг шлет предупреждения про вирусы, спам или нагрузку
Вот такие письма игнорировать нельзя вообще. Если хостинг пишет, что у вас подозрительные файлы, массовая рассылка писем или процесс жрет CPU — это уже почти сирена.
Иногда причина правда банальная: кривой плагин, битый кэш, неудачный импорт товаров. Но часто под этим сидит взлом. Например:
- скрипт рассылает спам через форму или SMTP
- на сайте лежит веб-шелл — маленький бэкдор для удаленного доступа
- кто-то майнит ресурсы сервера или гоняет брутфорс через ваш сайт
Для маленького бизнеса это особенно неприятно. Интернет-магазин может лежать полдня просто потому что хостер временно ограничил аккаунт. А вы в этот момент теряете заказы, а не «абстрактный трафик».
Кстати, нормальное регулярное обслуживание WordPress обычно стоит сильно дешевле, чем один такой инцидент. Особенно если сайт приносит заявки каждый день.
4. В админке появились новые пользователи или странная активность
Смотрите список юзеров. Правда, это занимает две минуты. Если там вдруг появился admin2, wpmanager, support-system или какой-нибудь email, который вообще не ваш — плохой знак.
Но бывает и тоньше. Новый пользователь не создан, зато у старого админа сменился email. Или кто-то поставил плагин, который вы не устанавливали. Или менялись файлы темы ночью в 03:17, хотя все спали. Вот это все уже похоже на компрометацию.
Что сделать:
- Проверьте всех пользователей с правами администратора.
- Смените пароли — WordPress, хостинг, FTP/SFTP, базу данных, почту.
- Включите 2FA. Для малого бизнеса это не «паранойя», а базовая гигиена.
На практике включение двухфакторки занимает минут 10-15. Денег часто не стоит вообще, зато режет кучу тупых атак на вход.
5. Сайт стал резко тормозить, хотя вы ничего не меняли
Не любой тормозной сайт взломан, конечно. WordPress может еле дышать и без хакеров — из-за 47 плагинов, старого PHP 7.4, убитой базы и дешевого хостинга. Но если вчера все было более-менее, а сегодня страницы открываются по 8-12 секунд, стоит насторожиться.
Почему так бывает при взломе? Потому что вредоносные процессы тоже едят ресурсы. Скрытые скрипты, запросы к внешним серверам, генерация спам-страниц, массовые попытки логина, криво вставленный JS — все это грузит сайт. Иногда админка при этом виснет первой. Тоже симптом.
Честно говоря, многие владельцы сайтов тут теряют время. Начинают оптимизировать картинки, ставят еще один кэш-плагин, отключают шрифты. А проблема вообще в бэкдоре в uploads. Видел такое не раз.
6. Браузер или Google помечает сайт как опасный
Вот это уже красная лампа. Если Chrome показывает «Этот сайт может быть взломан» или «Опасный сайт», значит кто-то кроме вас уже заметил проблему. И клиенты тоже заметят. Большая часть просто закроет вкладку. Без разговоров.
Обычно до такого доходит, когда на сайте уже нашли фишинг, малварь или вредоносные загрузки. После очистки придется не только убрать код, но и отправить сайт на повторную проверку в Google Search Console. А это иногда занимает день, иногда несколько.
И да — пока висит это предупреждение, реклама, продажи и доверие проседают очень больно. Для магазина или сайта услуг это почти стоп-кран.
7. Файлы меняются сами по себе
Самый технарский признак, но очень показательный. Если вы или ваш подрядчик не обновляли сайт, а файлы темы, ядра или плагинов вдруг отличаются от оригинала — значит, кто-то там копался. Особенно подозрительно, когда появляются файлы с названиями вроде:
wp-class-old.php
functions-old1.php
index.php в странной папке
.ico файл, внутри которого вообще PHP-код
Короче, мусор часто маскируют под обычные файлы. Поэтому руками «на глаз» искать тяжело. Тут уже нужны сканер, сравнение контрольных сумм и нормальная проверка уязвимостей. Если тема важна, почитайте еще статью как проверить WordPress на вирусы без паники — там как раз про первые шаги. И еще полезно держать под рукой материал что делать сразу после взлома сайта, потому что в первые часы люди обычно делают самые дорогие ошибки.
Что делать, если нашли хотя бы 1-2 признака
Не надо сразу удалять полсайта. И не надо обновлять все подряд вслепую — серьезно, чо попало можно только добить. Сначала зафиксируйте ситуацию.
Нормальный порядок такой:
- Сделайте полный бэкап файлов и базы.
- Смените все пароли.
- Проверьте пользователей и права доступа.
- Отключите подозрительные плагины и темы, если понимаете последствия.
- Просканируйте сайт и сверяйте файлы с оригиналом.
- Обновите WordPress, плагины и тему после очистки, не до.
Если у вас магазин на WooCommerce, лучше не тянуть вообще. Там ставки выше: личные данные, заказы, письма клиентам, оплаты. Один вечер простоя может стоить больше, чем месяц нормальной поддержки.
Итог
Взлом WordPress редко выглядит как киношная катастрофа. Чаще это набор мелких странностей — редиректы, мусор в поиске, тормоза, новые юзеры, письма от хостинга. По одному признаку еще можно сомневаться. По двум-трем — уже нет, надо лезть и проверять.
Самая здравая стратегия простая: держать сайт обновленным, делать бэкапы, следить за входами в админку и не копить мертвые плагины годами. Скучно? Да. Зато сайт живой и деньги не утекают в никуда.
И вот это, кстати, весь смысл безопасности — не магия, а регулярная рутина. Работает лучше всего.