Сколько стоит восстановление сайта после взлома и что входит в работу
Взлом сайта редко ограничивается одной изменённой страницей. Злоумышленник может загрузить вредоносный код, создать скрытого администратора, изменить базу данных, настроить переадресацию посетителей, разместить спамные страницы или получить доступ к серверу.
Даже после удаления подозрительного файла проблема может появиться снова, если не найти способ проникновения. Поэтому восстановление сайта после взлома включает не только удаление вирусов, но и диагностику, очистку файлов и базы данных, восстановление доступа, устранение уязвимости и базовую защиту от повторной атаки.
В этой статье разберём, сколько стоит лечение сайта от вирусов, какие работы входят в восстановление и в каких случаях стоимость рассчитывается отдельно.
Как понять, что сайт взломали
Владелец сайта не всегда сразу замечает заражение. Главная страница может открываться нормально, а вредоносный код будет запускаться только для посетителей из поисковых систем, мобильных устройств или определённых регионов.
На возможный взлом указывают следующие признаки:
- сайт перестал открываться
- появилась ошибка 500, 502 или 503
- посетителей перенаправляет на посторонний ресурс
- в поиске появились неизвестные страницы
- браузер предупреждает об опасном сайте
- антивирус блокирует переход
- изменились файлы шаблона
- появились неизвестные администраторы
- рассылается спам с доменной почты
- резко увеличилась нагрузка на сервер
- изменились заголовки и описания страниц
- в коде обнаружены непонятные конструкции
- на сайте появились ссылки на казино, лекарства или финансовые проекты
- не работает вход в административную панель
- хостинг заблокировал сайт из-за вредоносной активности
Google относит размещённый без разрешения владельца контент к взломанному содержимому. Такой контент может использоваться для поискового спама, переадресаций, фишинга или распространения вредоносных файлов.
Сколько стоит восстановление сайта после взлома
От 30 000 ₽
- диагностика заражения;
- поиск вредоносного кода;
- очистка файлов и базы данных;
- восстановление доступа.
Базовое восстановление
- создание резервной копии;
- проверка пользователей;
- устранение причины взлома;
- проверка основных функций.
Крупные работы
- переустановка сервера;
- восстановление сложного кода;
- полный аудит безопасности;
- массовая очистка сайтов.
Моя стоимость восстановления сайта после взлома начинается:
В базовую стоимость входит диагностика заражения, поиск вредоносного кода, очистка сайта, восстановление доступа, устранение очевидной причины взлома и проверка основных функций.
Точная цена определяется после первичного осмотра файлов, базы данных, журналов сервера и административной панели.
Стоимость может увеличиться, если:
- заражено несколько сайтов
- вредоносный код находится в файлах и базе данных
- отсутствует чистая резервная копия
- изменено большое количество файлов
- заражены системные файлы сервера
- сайт использует самописную CMS
- обнаружено несколько способов проникновения
- злоумышленник получил полный доступ к серверу
- повреждена база данных
- требуется ручное восстановление программного кода
- сайт заблокирован хостингом или поисковыми системами
- необходимо срочное восстановление
- нужно переносить проект на новый сервер
Что входит в восстановление сайта от 30 000 рублей
Базовое восстановление включает комплекс работ, направленных на возвращение сайта в рабочее и безопасное состояние.
Первичная диагностика
На первом этапе определяется масштаб проблемы.
Проверяются:
- доступность сайта
- административная панель
- файлы проекта
- база данных
- дата изменения файлов
- журналы PHP, Nginx или Apache
- пользователи CMS
- активные дополнения и модули
- задания cron
- конфигурационные файлы
- правила .htaccess
- подозрительные переадресации
- неизвестные процессы
- уведомления хостинга
- сообщения поисковых систем
Диагностика помогает понять, заражён только сайт или злоумышленник получил более широкий доступ к серверу.
Создание резервной копии перед очисткой
Перед началом лечения создаётся копия текущего состояния сайта.
Сохраняются:
- файлы
- база данных
- конфигурация
- журналы ошибок
- подозрительные файлы для дальнейшего анализа
Даже заражённую версию нельзя удалять без сохранения. Она может потребоваться для поиска способа проникновения, сравнения файлов и восстановления отдельных данных.
Для защиты от серьёзных инцидентов рекомендуется хранить резервные копии отдельно от основного сервера и периодически проверять возможность восстановления. CISA отдельно отмечает важность изолированных резервных копий и регулярного тестирования их целостности.
Поиск вредоносного кода
Проверка сайта на вирусы не должна ограничиваться автоматическим сканером.
Злоумышленники могут маскировать вредоносный код под:
- системный файл CMS
- кеш
- изображение
- библиотеку JavaScript
- файл шаблона
- дополнение
- обработчик формы
- резервную копию
- временный файл
- зашифрованную PHP-конструкцию
- запись в базе данных
Во время проверки анализируются недавно изменённые файлы, неизвестные скрипты, подозрительные функции, скрытые подключения, задания cron и изменения базы данных.
Очистка файлов сайта
После обнаружения заражения выполняется удаление вредоносного кода.
Работы могут включать:
- удаление вирусных файлов
- очистку заражённых PHP-скриптов
- восстановление системных файлов CMS
- удаление скрытых загрузчиков
- очистку файлов шаблона
- удаление посторонних JavaScript-вставок
- исправление .htaccess
- удаление вредоносных переадресаций
- очистку временных каталогов
- замену повреждённых компонентов чистыми версиями
Если системный файл можно безопасно заменить оригинальным, это надёжнее, чем пытаться вручную удалить из него отдельную вредоносную строку.
Очистка базы данных
Вредоносный код может находиться не только в файлах, но и внутри базы данных.
Проверяются:
- содержимое страниц
- шаблоны
- настройки сайта
- пользователи
- электронные адреса
- сниппеты
- плагины
- системные события
- задания
- скрытые ссылки
- SEO-поля
- неизвестные записи
- изменённые адреса сайта
Из базы удаляются спамные страницы, вредоносные вставки, посторонние учётные записи и подозрительные настройки.
Восстановление доступа
После взлома владелец может потерять доступ к административной панели, хостингу, серверу или базе данных.
В рамках восстановления может выполняться:
- сброс пароля администратора
- восстановление пользователя CMS
- удаление неизвестных администраторов
- восстановление доступа к базе данных
- проверка FTP- и SSH-пользователей
- замена паролей
- обновление секретных ключей
- завершение активных сессий
После компрометации необходимо менять не только пароль от панели сайта, но и связанные пароли от хостинга, FTP, SSH, базы данных, почты и других сервисов. CISA рекомендует учитывать все затронутые учётные записи, а не ограничиваться заменой одного пароля.
Поиск причины взлома
Удалить вирус недостаточно. Необходимо определить, каким способом злоумышленник получил доступ.
Распространённые причины:
- устаревшая CMS
- уязвимое дополнение
- устаревшая тема
- слабый пароль
- заражённый компьютер администратора
- украденный FTP-пароль
- неправильные права на файлы
- открытый загрузчик файлов
- уязвимая форма
- SQL-инъекция
- межсайтовый скриптинг
- оставленный тестовый файл
- доступ к старой копии сайта
- несколько сайтов в одной заражённой учётной записи
- отсутствие обновлений
- неизвестный самописный скрипт
OWASP относит уязвимости веб-приложений к основным источникам риска и рекомендует учитывать не только программный код сайта, но также компоненты, настройки доступа, аутентификацию и журналирование.
Обновление CMS и дополнений
После очистки проверяются установленные компоненты.
При возможности обновляются:
- CMS
- плагины
- модули
- темы
- библиотеки
- административные дополнения
Перед обновлением обязательно проверяется совместимость. Автоматическая установка всех обновлений без тестирования может нарушить работу старого сайта.
Если переход на новую версию CMS или PHP требует существенной переработки проекта, такая работа оценивается отдельно.
Проверка пользователей и прав доступа
После взлома проверяются все учётные записи.
Удаляются:
- неизвестные администраторы
- старые сотрудники
- тестовые пользователи
- подозрительные FTP-аккаунты
- неиспользуемые ключи доступа
Также проверяются права на файлы и папки. Избыточные разрешения могут позволить записывать вредоносный код в каталоги, которые не должны быть доступны для изменения.
Проверка форм и загрузки файлов
Формы обратной связи и загрузчики файлов часто используются для автоматических атак.
Проверяются:
- допустимые типы файлов
- расширения
- MIME-типы
- размер загрузки
- место сохранения файлов
- выполнение PHP в каталоге загрузки
- обязательные поля
- фильтрация данных
- защита от спама
- CAPTCHA
- почтовые уведомления
Если на сайте разрешена загрузка документов или изображений, важно запретить выполнение загруженных файлов как программного кода.
Проверка переадресаций
При заражении посетители могут перенаправляться на другой сайт.
Переадресации могут находиться:
- в .htaccess
- в конфигурации Nginx
- в PHP-коде
- в JavaScript
- в базе данных
- в шаблоне
- в рекламном скрипте
- в подключённой библиотеке
- в настройках DNS
- в аккаунте регистратора домена
После очистки проверяется открытие сайта с компьютера, телефона, поисковой системы и разных страниц.
Удаление спамных страниц
Злоумышленники часто создают тысячи автоматически сгенерированных страниц.
Они могут быть посвящены:
- казино
- ставкам
- кредитам
- лекарствам
- поддельным товарам
- финансовым услугам
- загрузке неизвестных программ
Такие страницы удаляются из сайта, базы данных, карты сайта и внутренних ссылок.
Дополнительно проверяются:
- sitemap.xml
- robots.txt
- канонические адреса
- метатеги
- шаблоны
- редиректы
- результаты поиска по сайту
Проверка работоспособности после очистки
После лечения проверяются основные функции:
- главная страница
- внутренние страницы
- меню
- формы
- поиск
- авторизация
- административная панель
- корзина
- оформление заказа
- оплата
- электронные письма
- личный кабинет
- мобильная версия
- загрузка изображений
- системные задания
- интеграции
Восстановленный сайт должен не только открываться, но и корректно выполнять основные бизнес-функции.
Базовая защита от повторного взлома
После удаления вирусов выполняется базовое усиление защиты.
В зависимости от проекта это может включать:
- замену паролей
- удаление неизвестных пользователей
- обновление компонентов
- ограничение доступа к служебным файлам
- исправление прав на файлы и папки
- защиту административной панели
- отключение ненужных функций
- удаление старых копий сайта
- настройку резервного копирования
- ограничение выполнения файлов
- проверку SSL
- настройку журналирования
- рекомендации владельцу сайта
Полностью исключить возможность будущих атак нельзя, но устранение найденной уязвимости значительно снижает риск повторного заражения.
Восстановление сайта из резервной копии
Если существует чистая резервная копия, сайт можно восстановить быстрее. Но перед её использованием необходимо проверить:
- когда была создана копия
- не содержит ли она вредоносный код
- не была ли уязвимость уже активна
- сохранились ли актуальные заказы и заявки
- совместима ли копия с текущим сервером
- можно ли восстановить отдельные данные
Google также рекомендует восстанавливать сайт только из проверенной чистой копии и предварительно устранять причину компрометации.
Сколько времени занимает восстановление сайта
Срок зависит от масштаба заражения.
Небольшой сайт с чистой резервной копией можно восстановить быстрее, чем интернет-магазин с большим каталогом, самописным кодом и несколькими интеграциями.
На продолжительность работы влияют:
- количество файлов
- размер базы данных
- наличие резервной копии
- тип CMS
- количество сайтов на сервере
- уровень доступа злоумышленника
- состояние программного кода
- необходимость восстановления заказов
- блокировка хостингом
- наличие спамных страниц
- необходимость проверки сервера
Точный срок определяется после диагностики.
Что оплачивается отдельно
Базовая стоимость от 30 000 рублей относится к очистке и восстановлению существующего сайта. Крупные и дополнительные работы оцениваются отдельно.
Полное восстановление сервера
Если злоумышленник получил root-доступ или изменил системные компоненты, одной очистки сайта недостаточно.
Может потребоваться:
- переустановка операционной системы
- создание нового сервера
- настройка Nginx или Apache
- установка PHP
- настройка базы данных
- настройка почты
- перенос сайтов
- восстановление резервных копий
- повторная настройка DNS
Такая работа рассчитывается отдельно.
Восстановление повреждённого программного кода
Если вредоносный код заменил или удалил большое количество самописных файлов, потребуется ручное восстановление логики сайта.
Отдельно оцениваются:
- переписывание модулей
- восстановление интеграций
- ремонт личного кабинета
- восстановление корзины
- исправление оплаты
- переработка старого кода
- замена несовместимых компонентов
Восстановление базы данных
Отдельная оценка потребуется, если:
- база данных повреждена
- удалены таблицы
- потеряны заказы
- изменены пользователи
- нарушены связи
- отсутствует актуальная копия
- требуется объединить данные из нескольких резервных копий
Полный аудит безопасности
Базовая проверка входит в восстановление. Полный аудит безопасности является отдельной услугой.
Он может включать:
- анализ программного кода
- проверку бизнес-логики
- тестирование авторизации
- проверку API
- анализ прав пользователей
- поиск SQL-инъекций
- проверку XSS
- анализ загрузки файлов
- проверку серверной конфигурации
- подготовку отдельного отчёта
Удаление санкций и восстановление SEO
После взлома в поиске могут оставаться спамные страницы или предупреждения.
Отдельно могут выполняться:
- анализ индексации
- удаление нежелательных URL
- проверка Search Console
- обновление карты сайта
- исправление метатегов
- восстановление канонических адресов
- отправка сайта на повторную проверку
- работа с большим количеством спамных страниц
- восстановление потерянных SEO-настроек
Google предоставляет владельцам сайтов инструменты для проверки проблем безопасности и повторного рассмотрения сайта после очистки.
Массовое заражение нескольких сайтов
Если на одном хостинге размещено несколько проектов, заражение может распространяться между ними.
В таком случае необходимо проверять:
- все сайты
- общие каталоги
- пользователей
- задания cron
- резервные копии
- панели управления
- серверные настройки
- общие библиотеки
Каждый дополнительный сайт увеличивает объём работы.
Срочное восстановление
При необходимости начать работу вне очереди, ночью, в выходной день или восстановить критически важный интернет-магазин в минимальный срок может применяться отдельная доплата за срочность.
От чего зависит итоговая стоимость
Итоговая цена восстановления сайта после вируса зависит от нескольких факторов.
Тип сайта
Небольшой лендинг обычно проверить проще, чем интернет-магазин, портал или сервис с личными кабинетами.
Используемая система управления
На стоимость влияет используемая платформа:
- MODX
- WordPress
- 1С-Битрикс
- OpenCart
- Joomla
- Laravel
- самописная CMS
- другая система
Самописный проект требует более внимательного анализа, потому что системные файлы нельзя просто сравнить с официальной сборкой.
Наличие резервной копии
Чистая и актуальная копия сокращает время восстановления. Отсутствие копии может потребовать ручной очистки каждого заражённого файла.
Масштаб заражения
Чем больше изменённых файлов, спамных страниц, неизвестных пользователей и повреждённых данных, тем выше стоимость.
Уровень доступа злоумышленника
Если взломан только пользователь CMS, восстановление может быть проще. Если получен полный доступ к серверу, может потребоваться создание новой безопасной среды.
Срочность
Экстренное восстановление работающего бизнеса требует приоритетного выполнения и может рассчитываться отдельно.
Что нужно предоставить для начала работы
Для диагностики обычно потребуются:
- адрес сайта
- доступ к хостингу
- доступ к панели управления сервером
- доступ к административной панели
- FTP- или SSH-доступ
- доступ к базе данных
- уведомления от хостинга
- сообщения поисковых систем
- имеющиеся резервные копии
- примерное время появления проблемы
Пароли после завершения работ рекомендуется заменить.
Что делать сразу после обнаружения взлома
До начала восстановления желательно:
- Не удалять файлы без сохранения копии
- Не устанавливать случайные антивирусные плагины
- Не восстанавливать старую копию поверх заражённого сайта
- Ограничить доступ к сайту, если он распространяет вредоносный код
- Сохранить уведомления хостинга и поисковых систем
- Проверить доступ к домену и серверу
- Предупредить специалиста о последних обновлениях
- Не публиковать пароли в открытой переписке
- Не оплачивать требования неизвестных лиц
- Не считать проблему решённой после удаления одного файла
Главная задача на первом этапе — сохранить данные, остановить дальнейшее распространение заражения и не уничтожить следы, необходимые для диагностики.
Как снизить риск повторного заражения
После восстановления рекомендуется:
- регулярно обновлять CMS и дополнения
- удалять неиспользуемые модули
- использовать уникальные сложные пароли
- включить двухфакторную авторизацию
- ограничить количество администраторов
- регулярно создавать резервные копии
- хранить копии отдельно от сайта
- проверять журналы ошибок
- контролировать изменения файлов
- не использовать дополнения из неизвестных источников
- защищать компьютеры администраторов
- своевременно обновлять PHP и серверное ПО
- закрывать старые копии и тестовые версии сайта
Google также рекомендует поддерживать программное обеспечение в актуальном состоянии, удалять ненужные компоненты и использовать надёжные пароли.
Почему нельзя ограничиваться автоматическим антивирусом
Автоматический сканер полезен для первичного поиска известных сигнатур, но он может:
- не обнаружить новый вредоносный код
- принять изменённый системный файл за нормальный
- удалить часть рабочего кода
- пропустить заражение базы данных
- не найти скрытого администратора
- не определить способ проникновения
- не проверить серверные задания
- не обнаружить заражение соседнего сайта
Полноценное лечение сайта требует сочетания автоматической проверки и ручного анализа.
Почему сайт взламывают повторно
Повторное заражение обычно происходит по одной из причин:
- не устранена первоначальная уязвимость
- оставлен скрытый загрузчик
- не заменены пароли
- заражён компьютер администратора
- восстановлена старая заражённая копия
- на сервере остался другой взломанный сайт
- не удалён неизвестный пользователь
- продолжает работать вредоносное задание cron
- используется уязвимое дополнение
- не обновлена CMS
- сохранены избыточные права на файлы
Поэтому защита сайта после взлома является обязательной частью восстановления.
Часто задаваемые вопросы
Сколько стоит восстановление сайта после взлома
Стоимость начинается от 30 000 рублей. Точная цена зависит от размера сайта, масштаба заражения, наличия резервной копии, используемой CMS и состояния сервера.
Что входит в стоимость от 30 000 рублей
В базовую стоимость входят диагностика, создание копии, поиск и удаление вредоносного кода, очистка базы данных, восстановление доступа, проверка пользователей, устранение очевидной уязвимости и проверка основных функций.
Можно ли восстановить сайт без резервной копии
Да, но работа может занять больше времени. Потребуется вручную очищать файлы, восстанавливать повреждённый код и проверять базу данных.
Достаточно ли удалить заражённый файл
Нет. Необходимо найти способ проникновения, проверить другие файлы, базу данных, пользователей, пароли, задания cron и соседние сайты.
Можно ли восстановить сайт из старой копии
Можно, если резервная копия проверена и не содержит заражения. После восстановления необходимо устранить уязвимость, иначе сайт могут взломать снова.
Входит ли защита от повторного взлома
В базовую стоимость входит устранение найденной причины и базовое усиление защиты. Полный аудит безопасности и глубокая переработка кода оплачиваются отдельно.
Входит ли восстановление позиций в поиске
Техническая очистка спамных страниц и исправление основных SEO-настроек могут входить в восстановление. Расширенная работа с индексацией и поисковыми позициями оценивается отдельно.
Работаете ли вы с MODX
Да, восстановление может выполняться для сайтов на MODX Revolution, а также на WordPress, 1С-Битрикс, OpenCart, Laravel и других системах.
Можно ли вылечить интернет-магазин
Да. Дополнительно проверяются каталог, корзина, заказы, оплата, уведомления, пользователи, интеграции и сохранность данных клиентов.
Нужно ли менять все пароли
После взлома рекомендуется заменить пароли от CMS, хостинга, FTP, SSH, базы данных, почты, регистратора домена и связанных сервисов.
Заключение
Восстановление сайта после взлома — это не простое удаление вирусного файла. Необходимо определить масштаб заражения, найти вредоносный код, очистить файлы и базу данных, восстановить доступ, устранить причину проникновения и проверить работу проекта.
В базовую работу входят:
- диагностика
- резервная копия
- поиск и удаление вирусов
- очистка файлов и базы данных
- восстановление доступа
- проверка пользователей
- замена повреждённых компонентов
- устранение найденной уязвимости
- базовая защита
- проверка основных функций сайта
Полная переустановка сервера, восстановление большого объёма программного кода, сложный аудит безопасности, массовая очистка нескольких сайтов и разработка новых функций оплачиваются отдельно.
Стоимость восстановления сайта — от 30 000 рублей
В базовую работу входят диагностика, резервная копия, поиск и удаление вирусов, очистка файлов и базы данных, восстановление доступа, проверка пользователей, устранение найденной уязвимости, базовая защита и проверка основных функций.
Переустановка сервера, восстановление большого объёма программного кода, полный аудит безопасности и массовая очистка нескольких сайтов рассчитываются отдельно.