🆘
Модуль 6Кризові ситуації11 хв читання

Сайт зламали — перші 24 години: чіткий план дій

Паніка — найгірший радник. Покроковий план від виявлення до відновлення. Що робити самостійно а що треба делегувати.

Ви помітили щось підозріле: сайт відкривається з дивним вмістом, клієнти повідомляють про перенаправлення на невідомі сайти, Google Search Console показує попередження "зламаний сайт", або Rank Sentinel надіслав сповіщення про невідомий скрипт. Що робити?

По-перше: не панікуйте. Злом сайту — неприємно, але виправно. Головне — діяти послідовно і не робити гірше. По-друге: читайте цю статтю. Вона написана саме для цього моменту.

207 днів
середній час від злому до виявлення (без моніторингу)
24 год.
критичне вікно: швидка реакція мінімізує збитки
2–8 год.
відновлення з резервної копії якщо вона є
2–6 тиж.
на зняття позначки Google "небезпечний сайт"

Як зрозуміти що сайт зламаний

Ознаки злому
  • Сайт перенаправляє на невідомий ресурс (особливо для нових або мобільних)Критично
  • З'явився незнайомий контент: реклама, "дивні" посилання, іноземний текстКритично
  • Google Search Console: попередження "зламаний сайт" або "шкідливе ПЗ"Критично
  • Chrome або Firefox блокують ваш сайт з червоним попередженнямКритично
  • Rank Sentinel: виявлено новий невідомий скриптКритично
  • Клієнти: "антивірус блокує ваш сайт"Критично
  • В кореневій директорії з'явились невідомі файлиКритично
  • Сайт різко сповільнився без видимих причинСередній
  • З'явились невідомі адміністратори в WordPressКритично
🧘

Перше правило: не панікуйте і не робіть різких рухів. Не видаляйте нічого підозрілого одразу — спочатку збережіть. Це доказова база для розслідування і відновлення.

Перші 2 години: ізоляція і збереження

Перші кроки при виявленні злому
📞
1. Зателефонуйте розробнику
Він має знати першим. Якщо є штатний або постійний розробник — перший дзвінок йому. Якщо ні — контакт хостинг-провайдера.
🔧
2. Режим технічних робіт
Тимчасово переведіть сайт в maintenance mode або поставте "сторінку у розробці". Клієнти побачать нейтральне повідомлення замість зламаного сайту.
💾
3. Збережіть поточний стан
Зробіть резервну копію навіть зламаного сайту. Це доказова база: хто що і коли зробив. Також може знадобитись для відновлення деяких даних.
🔑
4. Змініть всі паролі
Адмінка CMS, FTP-доступ, cPanel хостингу, база даних, пов'язані email. Всі — одразу. Використайте менеджер паролів щоб не забути жоден.
📸
5. Задокументуйте
Зробіть скріншоти або відео того що бачите. Для хостинг-провайдера, можливо для юриста, для розуміння масштабу.

Години 2–8: аналіз (задача для розробника)

Це технічна робота. Ваше завдання — забезпечити ресурси (час, гроші) і не заважати. Розробник має:

  • Знайти всі шкідливі файли (через спеціалізовані сканери: Wordfence, Sucuri, або вручну)
  • Перевірити логи доступу: хто, коли і звідки заходив на сервер
  • Визначити вектор атаки: через який плагін або вразливість
  • Оцінити масштаб: які дані могли бути скомпрометовані (паролі, картки, персональні дані)
  • Перевірити чи не є backdoor (прихований вхід для повернення хакера після очищення)

Години 8–24: відновлення

Порядок відновлення
📦
Відновлення з резервної копії
Ідеально — з резервної копії до злому. Якщо є щоденні бекапи — відновлення займе 2–4 години.
🔄
Оновлення всього
WordPress/CMS, всі плагіни, теми до актуальних версій. Усунення вразливості через яку відбувся злом.
🛡️
Посилення захисту
2FA для адмінки, захист від brute force, CAPTCHA на формах, обмеження доступу до /wp-admin за IP.
🔍
Сканування відновленого сайту
Антивірусний сканер для сайтів (Sucuri, Wordfence, VirusTotal). Переконайтесь що сайт чистий.
📬
Google Search Console
Якщо сайт позначений Google — надішліть запит на переогляд після очищення. Очікуйте 2–6 тижнів.

Чи треба повідомляти клієнтів і регулятора

Це важливе питання. За Законом України "Про захист персональних даних" — якщо є підстави вважати що персональні дані клієнтів скомпрометовані (email, телефони, адреси, платіжні дані) — ви зобов'язані:

  • Повідомити Уповноваженого Верховної Ради з прав людини протягом 72 годин
  • Повідомити постраждалих клієнтів
  • Задокументувати інцидент

Проконсультуйтесь з юристом — закон тут складний і ситуативний. Але замовчувати факт витоку даних — це не вихід і може погіршити юридичні наслідки.

Резервні копії: правило яке треба запровадити прямо зараз

💾

Правило 3-2-1: три копії, на двох різних носіях, одна поза сайтом (хмара або зовнішній диск). Автоматично, щодня або хоча б щотижня. Якщо у вас немає цього — зупиніться і зробіть це сьогодні.

З резервною копією: відновлення займає 2–8 годин, витрати мінімальні, втрати даних — максимум за день-тиждень. Без резервної копії: відбудова з нуля, місяць роботи, повна втрата контенту і даних.

Готові захистити ваш сайт?

Налаштувати моніторинг безпеки
← Попередня📉 Позиції в Google впали — що перевірити в першу чергу: чекліст власникаНаступна →📊 Як читати щомісячний звіт: на що дивитись в першу чергу

Інші статті цього модуля

📉Позиції в Google впали — що перевірити в першу чергу: чекліст власника
← Повернутись до Академії