Как проверить сайт на вирусы и уязвимости и вылечить его

Вредоносные программы, которые внедряются на сайты, — самые популярные причины, из-за которых возникают проблемы с доступом и понижение веб-проектов в поисковой выдаче. Периодически проверяйте своих «подопечных» на вирусы и лечите, а мы подскажем, как это сделать. 

Первые признаки «болезни» сайта

• Скорость загрузки страниц снижается.
• Падает посещаемость сайта.
• Веб-ресурс не открывается.
• Не получается зайти в систему управления.
• Украдены личные данные.
• Нарушена работа функционала.
• Посетителей принудительно перебрасывают на другой веб-ресурс (редирект).
• Неизвестные папки и файлы появляются там, где лежит сайт.
• На страницах показывается посторонний контент.
• Возросла нагрузка на сервер.

Если вы обнаружили один или несколько признаков — пора проверить ваш сайт.

Кому и зачем это нужно?

В зарубежных фильмах хакеры — это ярые борцы за свободу, но в реальности у них совершенно другие задачи, и главная — удерживать ваш веб-ресурс под своим контролем. По статистике более 30% администраторов сайтов даже не догадываются, что их сайтом управляет третье лицо. 

Таблица 1 — Мотивация хакеров.

№пп	Вид мотивации	Процент
1	Заработок	13
2	Вызов обществу	14
3	Изучение технологий	15
4	Карьерное продвижение	12
5	Развлечение	14
6	Устранение конкурентов	7
7	Черное SEO — установка ссылок на сайте-доноре	10
8	Утечка личной информации	10
9	Другое	5

Из хакеров только третья часть работает в одиночку, остальные — в команде. Для того чтобы противостоять им — необходимо очистить веб-ресурс от вирусов и защитить его.

Почему именно Вордпресс пользуется большим вниманием хакеров

Согласно исследованиям целью злоумышленников часто являются сайты на WordPress. 

Таблица 2 — Внимание хакеров к различным CMS

CMS	Процент
WordPress	90
Magento	4.6
Joomla	4.3
Drupal	3.7
MODx	0.9
Другие	Около 2

Хакеры создают и «запускают» ботов для атаки на них, потому что на этой CMS сейчас работают более ⅓ сайтов мира. Значит, такие веб-ресурсы нужно усиленно защищать и чаще проверять. Давайте разбираться, как это правильно делать.

Инструментарий хостинг-провайдеров

На хостингах обычно предусмотрены бесплатные инструменты для проверки веб-ресурсов. Найти их можно в панели управления. Например, хостер Beget проверяет PHP и JavaScript файлы на присутствие вредоносного кода посредством двух инструментов.

В нашем примере сайт находится на хостинге Beget, поэтому у нас уже есть личный кабинет, доступ по FTP и т.п. 

Мы входим в панель управления хостингом. Выбираем иконку «Сервисы».

Переходим в подраздел «Защита от вирусов».

Видим два доступных антивируса — Ай-Болит и Ревизиум. Мы будем проверять сайт Ай-Болитом. Нажимаем напротив того веб-ресурса, который необходимо проанализировать, ссылку «Запустить проверку».

Выбираем тип проверки — самая простая, сложнее и очень глубокая. В нашем примере мы останавливаемся на самой простой проверке.

Процесс проверки занимает некоторое время, о факте его окончания сервис сообщает на электронную почту. Мы получаем отчет о подозрительных файлах, анализируем его и выявляем вирусы.

Заходим в последний отчет.

В нашем примере вирусы не были обнаружены, но выдан список путей к подозрительным файлам, которые рекомендуется проанализировать.

Антивирусный сканер с установкой на хостинге

Если хостинг-провайдер не предусмотрел подобный функционал — рекомендуем пользоваться сканером Ai-Bolit. Это скрипт на PHP от Revisium, который необходимо загрузить на хостинг. Сканер прогоняет сайт по базе антивирусов, руководствуется своими эвристическими правилами для обнаружения неизвестных вредоносных кусков кода. 

Скачайте сканер Ai-Bolit на сайте Revisium. 

Загрузите его по FTP туда, где лежат файлы сайта, и распакуйте архив. У вас появится папка ai-bolit. Распакуйте ее переместите содержимое в корень сайта. Затем в файле ai-bolit.php, который необходимо открыть в текстовом редакторе, измените строчку define(‘PASS’, ‘?????????????’) — вместо вопросов укажите надежный пароль. Запишите его на листочек.

Затем в строчке define(‘AI_EXPERT_MODE’, 1) укажите режим сканирования. При этом 0 — это обычный режим, 2 — параноидальный. 

Обычный режим успешно справляется с оценкой на зараженность или выявлением факта взлома. Для детального изучения «больного» необходимо запускать проверку в режиме «параноидальный». 

Сохраните изменения. Через браузер запустите сканирование на вредоносный код в таком формате:

Domain.ru — это ваш домен, а my_Password — тот пароль, который указали при изменении файла ai-bolit.php.

С Ай-Болит можно работать через SSH, для этого существует команда обычного режима:

И параноидальной проверки:

Проверка может выполняться на локальном ПК, куда заранее перекачиваются все файлы сайта и распаковывается из архива скрипт Ай-Болит. 

Онлайн-анализ на специальных ресурсах

Быстро проверить веб-ресурс можно онлайн. Для этого существуют различные сервисы.

Dr Web 

В процессе анализа изучает все уязвимости и выдает по ним отчет. Введите в предложенную форму адрес сайта и нажмите кнопку «Отправить».

В нашем примере вирусов обнаружено не было.

Kaspersky VirusDesk

Известный российский антивирус предоставляет результат в виде одного из статусов репутации: плохая, хорошая или неизвестная. Имеет недостатки: содержимое сайта в настоящий момент не проверяется, а изучается репутация полученной ссылки, которая бывает 2-3-дневной давности.

QUTTERA

Онлайн-сервис работает с зарубежными сайтами и ориентируется на характерные для них заражения, но неплохо анализирует веб-ресурсы рунета. Изучает сайт, динамически обнаруживая угрозы. Дополнительно проверяет репутацию и нахождение веб-проекта в черных списках известных баз.

Наш результат:

Sucuri

Ищет вирусы по сигнатурам. Находит дорвеи, спамные ссылки, вредоносные скрипты, проверяет версию CMS и сервера, анализирует репутацию проекта и присутствие в блеклистах.

VirusTotal

Проводит сканирование по ip, агрегируя антивирусы и антивирусные сервисы в себе. Обновление баз (а их более 65) осуществляется в автоматическом режиме, поэтому VirusTotal считается надежным сервисом проверки. 

Antivirus Alarm

Изучает файлы и ссылки, работая на русскоязычном интерфейсе. Выдает подробную инструкцию о процессе удаления вирусов и оказывает платную помощь в решении данного вопроса.

VirSCAN

Удобный сервис для файлового сканирования, можно выбрать также русскоязычный интерфейс.Можно проверять файлы размерами до 20 Мб и их архивы с содержанием до 20 файлов. 

Инструменты поисковых систем

На рубежах обороны надежно встали самые популярные поисковые системы — Яндекс и Google. При индексации они автоматически проверяют сайты, блокируют подозрительное содержимое, обновляют блэклисты зараженных веб-ресурсов. Но поисковики не могут гарантировать отсутствие вирусов в файлах, которые можно скачать из интернета. Для анализа используются собственные системы с надежными алгоритмами проверки.

Yandex Site status check — на английском языке

Google безопасный просмотр — на русском

К сожалению, алгоритмы поисковых систем обладают инертностью и могут угрозы видеть не сразу.

Плагины для WordPress

Специальные программные коды. которые устанавливаются через систему управления на сайт, помогут выявить вирусы и удалить их.

• Anti-Malware Security;
• NinjaScanner;
• AntiVirus;
• Quttera Web Malware Scanner;
• WP Antivirus Site Protection.

Например, установите через систему правления плагин Anti-Malware Security and Brute-Force Firewall.

Войдите в Scan Settings, пройдите регистрацию в Updates & Registrations, затем выберите Run Complete Scan.

Вы нашли зараженные файлы — что делать дальше?

Существует несколько вариантов решения проблемы — либо удалить файл, либо убрать «инъекцию», которую добавили хакеры. 

Варианты удаления

Если вы обнаружили новый файл, которого не было раньше — удалите его полностью. Если это файл CMS Вордпресс — отправьте его в корзину и «перезалейте» оригинальный с официальной страницы WordPress.

Нашли «инъекцию» в файле, который вы сами создали сами раньше? Устраните лишний код и сохраните.

Работа с сохраненными версиями

• Проверьте бэкап. Возможно, там осталась «чистая» версия сайта, которую вы можете установить. 
• Перед этим заархивируйте текущую версию, архив сохраните, а свободные файлы удалите с хостинга. 
• Восстановите незараженную версию. 
• Обновите Вордпресс, тему, плагины. Удалите неиспользуемые, так как в них также могут быть уязвимости.
• Установите защитный плагин.

В таблице ниже мы рассмотрим популярные защитные плагины, которые вы можете установить на сайт.

Таблица 2 — защитные плагины Вордпресс

Название плагина	Как работает	Стоимость
Sucuri	Весь трафик через облачный прокси, где вредоносные запросы блокируются.	От 199$ в год.
Cloudflare	Файрвол на DNS- уровне проверяет трафик.	От 20$ / месяц.
Wordfence Security	Встроенный файрвол следит за появлением вредоносных кодов, изменениями в файлах, инъекциями в базе данных, защищает от DDoS и других видов атак.	От 99$ / год.
iThemes Security	Прогоняет сайт по своей базе, делает бэкапы.	Есть бесплатная версия. От 80$ / год.
SiteLock	Свой DNS файрвол, сканирование на вредоносный и его удаление.	От 20$ / месяц.
Security Ninja	Подключается к базе вирусных IP и запрещает с них трафик.	От 39,99$ / год.
All in One WP Security & Firewall	Встроенный фаервол на своем сервере. Предупреждает заражения.	Есть бесплатная версия. От 49,95$ / год.
Bullet Proof Security	Фаервол на уровне вашего сайта, защищает страницу авторизации, создает бэкапы базы данных.	Есть бесплатная версия или 69,95$.

• Обязательно измените пароль доступа к CMS и FTP. 
• Проверьте свой ПК на вирусы, обновите FTP-клиент и браузер. 
• После проведенных мероприятий отключите в CMS функцию «Любой может зарегистрироваться» и используйте надежный хостинг.

Заключение

Мы рассмотрели популярные бесплатные сервисы для проверки сайтов. Организовать 100% защиту с использованием одного инструмента невозможно. Все инструменты нужно использовать в комплексе.