Как защитить и очистить сайт от вирусов

Вирус — это вредоносный код, который используется злоумышленниками для нанесения ущерба как пользователям, так и владельцам сайтов. Он может не только полностью блокировать функциональность сайта, удаляя важные файлы или зашифровывая базы данных, но и предоставлять злоумышленникам полный контроль над сайтом и его содержимым.

Часто сайты, инфицированные вирусами, просто перестают функционировать. Иногда на таких сайтах начинают появляться спам-ссылки на запрещенные ресурсы, странные баннеры или редиректы со страниц. Последние два случая особенно опасны, поскольку если заражение не обнаружить сразу, поисковые системы могут наложить санкции на ваш сайт и исключить его из результатов поиска.

Как предотвратить заражение сайта

На специализированных ресурсах часто рекомендуют использовать сложные пароли и регулярно обновлять плагины и CMS. Однако, к сожалению, это не защищает от уязвимостей в самом коде.

К сожалению, гарантированно предотвратить появление вирусов невозможно: сайты постоянно подвергаются атакам, находятся новые уязвимости, появляются новые способы заражения сайта и сервера.

На большинстве сайтов, вредоносный код проникает через уязвимости в предустановленных плагинах или загруженных из официальных маркетплейсов.

1. Регулярно обновляйте CMS, плагины и темы, чтобы устранить известные уязвимости, которые могут быть эксплуатированы злоумышленниками. Важно отслеживать релизы новых версий и устанавливать их без задержек.
   Приобретайте и используйте только официальные и надежные плагины и темы. Использование нелицензионных или сторонних расширений может привести к заражению сайта вредоносным кодом. Перед тем как установить новый плагин, изучите его рейтинг, прочитайте отзывы и обратите внимание на количество скачиваний.
2. Настройка безопасности сервера. Установите и настройте брандмауэр (Web Application Firewall — WAF). Это поможет блокировать вредоносный трафик и защитить сайт от атак типа SQL-инъекций и XSS. Популярные WAF-решения включают Sucuri и Cloudflare.
   
   Следует отметить, что данная услуга относится к серверному администрированию, и мы не занимаемся установкой WAF или аналогичных систем. Для этих целей существуют специализированные агрегаторы. Самостоятельная установка подобных систем не рекомендуется, да и вряд ли удастся осуществить её успешно. Рекомендуется обращаться к проверенным и популярным компаниям, специализирующимся на таких услугах.
   
   Ограничьте доступ по SSH и FTP, разрешив вход только с доверенных IP-адресов. Используйте ключи SSH вместо паролей для повышения безопасности. Настройте двухфакторную аутентификацию для дополнительной защиты учетных записей администратора. Регулярно проверяйте актуальность паролей у лиц, у которых есть доступ к SSH и FTP.
3. Регулярные проверки и сканирование. Используйте инструменты для регулярного сканирования сайта на наличие уязвимостей и вредоносного кода. Сервисы, такие как SiteLock или VirusTotal, помогут вам в этом. Автоматические сканеры могут выявить проблемы на ранней стадии и предупредить вас о возможной угрозе.
   
   У многих хостинг-провайдеров часто есть встроенные антивирусные программы, либо в панели управления, либо интегрированные, как, например, у Beget (beget.com). В случае с Timeweb (timeweb.com), проверка на вирусы осуществляется по запросу через тикет в службу поддержки. Рекомендуется отправить тикет хостеру с просьбой о проверке на вирусы, так как большинство хостеров заинтересованы в этом и готовы помочь. Если же они не могут помочь, то мы всегда готовы предложить свою помощь.

Что делать, если сайт взломан

Если ваш сайт был взломан, важно действовать быстро и методично. Выполните следующие шаги, чтобы минимизировать ущерб и вернуть сайт в рабочее состояние.

1. Сохраняем текущую версию сайта

Первым делом необходимо сохранить текущую версию сайта, создав полный бэкап. Это можно сделать любым доступным способом: обратиться за помощью к хостеру, выполнить необходимые действия самостоятельно на хостинге или воспользоваться инструментами CMS сайта. Полученный бэкап следует сохранить в удобном для вас месте.

2. Проверяем наличие бэкапа

Чтобы настройка бэкапа сайта была эффективной, следует настроить его регулярное выполнение за разные промежутки времени (например, ежемесячный, еженедельный и ежедневный бэкапы) и сохранять их в различных местах: на хостинге, внутри Битрикса, на отдельном сервере, в облачном хранилище или локально (на компьютере или флешке). 

Часто бэкап можно запросить у хостера, написав тикет с вопросом о возможности его восстановления (это идеальный первый шаг, если нет возможности подключить техническую поддержку). Каждый случай индивидуален, но в идеале следует восстанавливать бэкап двух-трехдневной давности, когда сайт еще функционировал нормально.

Создание резервной копии базы данных действительно важно. Самостоятельно сохранить файлы базы данных может быть затруднительно из-за ее сложности. Если это интернет-магазин, лучше вручную сохранить актуальные заказы или сделать их выгрузку, чтобы иметь возможность связаться с клиентами и отправить их заказы. Если заказы или лиды хранятся в системах, таких как Битрикс24 или МойСклад, это еще лучше.

3. Проверяем компьютер на вирусы

Убедитесь, что устройства, с которых вы работаете с сайтом, не заражены. В противном случае, они могут повторно инфицировать сайт:

• Скачайте и установите антивирусное ПО, такое как Kaspersky, Bitdefender или Malwarebytes.
• Проведите полное сканирование системы и удалите найденные угрозы.

4. Меняем пароли

Смените все пароли для доступа к сайту, включая админ-панель, базы данных и FTP. Используйте сложные и уникальные пароли для каждого аккаунта:

• Зайдите в панель управления хостингом и измените пароли всех пользователей базы данных.
• Смените пароли для FTP/SFTP доступа.
• Для изменения паролей администраторов CMS рекомендуется использовать интерфейс управления или функцию «забыл пароль», доступную в большинстве современных CMS. Это позволяет каждому пользователю административной панели безопасно и самостоятельно обновить свой пароль. Попытки изменения паролей через базу данных не рекомендуются без соответствующих навыков.

5. Ищем уязвимость

Проведите аудит сайта, чтобы обнаружить потенциальные уязвимости, которые могли использоваться злоумышленниками:

• Воспользуйтесь инструментами для обнаружения уязвимостей, например, WPScan для сайтов на WordPress или Nessus для широкого спектра анализа безопасности. Для сайтов на 1С Битрикс есть инструмент поиск троянов  — https://dev.1c-bitrix.ru/learning/course/index.php
• Изучите серверные журналы для выявления любых подозрительных активностей или попыток несанкционированного доступа.
• Осмотрите все установленные плагины и темы, проверьте наличие известных уязвимостей и убедитесь, что все они обновлены до последних версий.

6. Удаляем вирусы с сайта

После обнаружения уязвимостей и зараженных файлов, приступайте к их удалению:

• Ручное удаление: откройте каждый подозрительный файл и удалите вредоносный код. Обратите внимание на необычные файлы и изменения в известных файлах.
• Автоматическое удаление: используйте специальные плагины и инструменты для очистки, такие как Sucuri или Wordfence для WordPress.

7. Проверяем сайт

После удаления вирусов и исправления уязвимостей, убедитесь, что сайт снова безопасен:

• Проведите повторное сканирование сайта на наличие вредоносного кода.
• Тестируйте все основные функции сайта, чтобы убедиться, что они работают корректно.
• Проверьте журнал сервера, чтобы удостовериться в отсутствии новых попыток взлома.
• Рекомендуется мониторить сайт в течение одной-двух недель, ежедневно просматривая журнал сервера и лог сайта. Если логирование не настроено, установите его с помощью хостинг-провайдера. Это позволит своевременно обнаруживать и устранять возможные проблемы.

Что нужно делать, даже если сайт не взломан

1. Регулярные резервные копии:
   • Делайте бекапы сайта и базы данных регулярно. Храните копии в разных местах: на сервере, в облаке и локально. Автоматизируйте процесс резервного копирования с помощью плагинов или скриптов.
   • Важно обращать внимание на размер сайта и бэкапа, сравнивая их, а также следить за свободным местом в том месте, куда сохраняются бэкапы. Часто проблемы с бэкапами возникают из-за недостатка свободного места на хостинге, что приводит к повреждению файлов.
2. Мониторинг и анализ трафика:
   • Установите инструменты для мониторинга трафика и активности на сайте. Это поможет выявить подозрительную активность на ранней стадии. Google Analytics и серверные журналы могут дать представление о необычных всплесках трафика или подозрительных IP-адресах.
   • Используйте системы обнаружения вторжений (IDS) для анализа входящего трафика и выявления потенциальных угроз. IDS, такие как OSSEC или Snort, могут автоматически уведомлять вас о подозрительных действиях на сайте.
3. Обучение и политика безопасности:
   • Обучайте сотрудников основам кибербезопасности, правильному использованию, хранению и передаче паролей, методам распознавания фишинговых атак и т.д. Проводите регулярные тренинги и обновляйте знания сотрудников по мере появления новых угроз.
   • Не передавайте пароли через социальные сети и мессенджеры, используйте сложные пароли вместо простых, таких как «1234». Не храните пароли на рабочем столе, на бумажке или в других ненадежных местах. Ознакомьтесь с общими правилами безопасности в интернете. Для передачи паролей и важных данных можно использовать сервисы, такие как https://privatebin.net/.
   • Разработайте и внедрите политику безопасности, включающую правила доступа, управление правами пользователей и процедуры реагирования на инциденты. Определите, кто имеет доступ к важным данным и функциям сайта, и регулярно пересматривайте эти права.

Как оперативно почистить сайт от вирусов 

Если сайт полностью перестал работать, что часто связано с обнаружением вирусов, следует выполнить следующие шаги: 

1. Сначала напишите тикет хостинг-провайдеру с просьбой восстановить сайт и подумайте о своих клиентах и заказах, сохранив их в резервном месте или попросив хостера не трогать базу данных.
2. Затем проведите очистку сайта от вирусов с помощью антивирусного ПО, а после — вручную. На этом этапе рекомендуется обратиться к специалистам, чтобы избежать случайного удаления нужных файлов.
3. Далее обновите ядро сайта (CMS), плагины, шаблоны, модули и, если возможно, версию PHP.

После всех выполненных работ отслеживайте активность на сайте в течение одной-двух недель.

Учитывая, что нельзя полностью обезопасить сайт от появления вирусов, важно понимать, что меры предосторожности, которые мы перечислили, помогут уменьшить возможность и быстрее справиться с последствиями заражения.