Как понять, что сайт заражен вирусом: признаки для новичка и сигналы для профи

Зараженный сайт — это не обязательно «все сломалось». Чаще вредоносный код работает тихо: подменяет ссылки, вставляет рекламу, перенаправляет часть посетителей, майнит или рассылает спам. В итоге падают позиции в поиске, растет нагрузка на сервер, а пользователи видят предупреждения. Ниже — понятные признаки, которые заметит владелец‑чайник, и мелочи, на которые обращает внимание специалист.

Признаки, которые заметит любой владелец

1. Браузер предупреждает об опасности. Поисковые системы могут показывать «Сайт может быть опасен», «Deceptive site» или блокировать переход. Это сильный сигнал, что поисковики/антивирусы уже нашли проблему.
2. Редиректы на странные страницы. Вы открываете главную, а вас перекидывает на казино, «вы выиграли приз», страницы знакомств. Иногда редирект происходит только с телефона или только из поиска — это типичная маскировка.
3. Внезапная реклама или всплывающие окна. Если на сайте появились баннеры, которых вы не ставили, «пуш‑подписки», окна с установкой расширений — часто это результат внедренного скрипта.
4. Пользователи жалуются, что антивирус ругается. Если клиенты пишут «антивирус блокирует», «страница подозрительная» — не игнорируйте: антивирусы редко ошибаются массово.
5. Сайт стал медленным без причин. Резкое падение скорости, частые ошибки 500/502, зависания админки могут означать скрытый майнинг, бот‑трафик или массовую рассылку спама с сервера.
6. Падение трафика и позиций. Если поисковый трафик резко просел — проверьте, не появилось ли предупреждение в поиске («Этот сайт может быть взломан») и нет ли странных страниц, которые вы не создавали.

Что подметит профессионал (тонкие симптомы)

• Новые файлы и «похожие на системные» папки. Вредоносы часто прячутся под именами вродеcache.php, class-*.php, old-index.php, создают копии в папках загрузок, добавляют .php в каталоги, где их не должно быть. Подмена правил может давать скрытые перенаправления только для поисковых роботов или только для мобильных пользователей.
• Подозрительные задания cron и планировщики. Даже после удаления вредоносного элемента он может «возрождаться», если осталась задача, которая каждый час скачивает код заново.
• Внедрение в шаблон/базу данных. Скрипты вставляют вредоносные ссылки прямо в шаблоны, виджеты, поля «описание» или в записи базы данных. Поэтому внешне «файлы чистые», а вирус живет в контенте.
• Аномалии в логах. Профи смотрит логи запросов и видит: массовые POST на подозрительные URL, попытки загрузки файлов, тысячи обращений кxmlrpc.php (на WordPress), всплески 404 на один и тот же путь, сканирование уязвимостей.
• Необычная нагрузка и сетевые соединения. В процессах сервера появляются странные соединения наружу, всплески CPU, рост исходящего трафика — признаки ботов и рассылок.

Быстрая самопроверка владельца (без сложной техники)

• Откройте сайт с телефона и с компьютера, из разных браузеров.
• Проверьте несколько страниц, особенно те, что приходят из поиска.
• Зайдите в админку и посмотрите: нет ли новых пользователей‑администраторов.
• Проверьте даты изменения файлов на хостинге (если есть файловый менеджер).
• Посмотрите в панели вебмастера/поисковой консоли предупреждения о вредоносном ПО.
• Сканируйте сайт онлайн‑сканером (как минимум двумя разными).

Если хотя бы 2–3 пункта дают тревожные совпадения — высока вероятность заражения.

Что делать, если подозрения подтвердились

Главное правило: не пытайтесь «лечить» сайт наугад, особенно если он приносит заявки и деньги.

• Срочно сделайте резервную копию (файлы + база), чтобы сохранить доказательства и не потерять данные.
• Смените пароли: хостинг, FTP/SFTP, админка CMS, база данных.
• Обновите CMS, плагины и темы, удалите неиспользуемое.
• Найдите точку входа (уязвимый плагин, слабый пароль, зараженный компьютер).
• После очистки попросите пересканировать сайт (поисковые системы/антивирусы) и проверьте логи.

Для владельца главный маркер заражения — предупреждения браузера, редиректы, лишняя реклама, резкое падение трафика и скорости. Профессионал дополнительно ищет изменения в файлах, базе данных и логах. Если есть подозрения, что ваш сайт заражен, обращайтесь к специалистам интернет-агентства «Третий Путь» по телефону  8(495)150-59-42. Чем раньше вы заметите признаки и остановите распространение, тем дешевле и быстрее будет восстановление — и тем меньше шанс, что пострадают посетители и репутация сайта.