Wirus na stronie internetowej – jak usunąć infekcję strony WWW?

Published By Reading time 7 minutes
Co zrobić jeżeli masz zawirusowaną stronę WordPress

Kiedy właściciele stron mówią, że „złapali wirus na stronie internetowej”, zwykle kryje się za tym jeden z najczęstszych problemów stron www: infekcja złośliwym oprogramowaniem. Jeśli dopadło to także Twoją witrynę, ważne, żebyś wiedział, co właściwie dzieje się „pod maską” i jak bezpiecznie usunąć wirusa ze strony.

Co to właściwie jest malware?

W codziennych rozmowach użytkownicy często używają prostego skrótu: „mam wirusy na stronie”. W praktyce najczęściej chodzi o malware – złośliwe oprogramowanie tworzone po to, żeby zaszkodzić komputerowi, serwerowi, przeglądarce lub całej infrastrukturze internetowej.

To szeroka kategoria. W jej skład wchodzą między innymi:

  • wirusy komputerowe,
  • robaki,
  • trojany,
  • ransomware,
  • spyware,
  • adware,
  • programy typu rogue,
  • scareware oraz wiper.

Wspólny mianownik? Złośliwe oprogramowanie zawsze powstaje po coś – żeby ukraść dane, przejąć konto, wysłać spam, wstrzyknąć złośliwy kod czy przekierowywać ruch na stronę atakującego.

Oprogramowanie, które szkody powoduje przypadkiem, nazywa się po prostu błędem. Malware jest czymś zaplanowanym, celowym i groźnym.

Co zrobić, gdy wirus na stronie internetowej zainfekował Twoją witrynę WordPress?

Patrząc na realne przypadki, sytuację można zamknąć w dwóch zdaniach:

  • Jeśli wiesz, jak usunąć infekcję – czyścisz, poprawiasz luki, zabezpieczasz stronę i po sprawie.
  • Jeśli nie – najlepiej skontaktować się z kimś, kto specjalizuje się w usuwaniu wirusów ze strony internetowej.

Zanim jednak wykonasz jakikolwiek ruch, musisz wiedzieć, czego unikać, a co zadziała na Twoją korzyść.

Czego nie robić, gdy Twoja strona została zainfekowana?

Poniżej znajdziesz listę czynności, które mogą pogorszyć sytuację, ukryć ślady infekcji lub utrudnić usuwanie wirusa.

Nie loguj się do panelu administracyjnego WordPress

Jeśli wirus zainfekował stronę internetową przez podatność typu XSS, istnieje duże ryzyko, że w kodzie znajduje się skrypt, który aktywuje się w momencie logowania. Kiedy jesteś zalogowany, przeglądarka i witryna działają na tych samych uprawnieniach. Skrypt może udawać administratora – czyli Ciebie.

Nie przywracaj kopii zapasowej

Brzmi kusząco: wrócić do momentu sprzed infekcji. Problem polega na tym, że w ten sposób:

  • nie usuwasz podatności,
  • atakujący może wejść ponownie,
  • zacierasz ślady infekcji (a one często pozwalają wykryć, co się stało).

Przywrócenie kopii nie usuwa wirusa ze strony. To tylko cofnięcie widocznych skutków.

Nie instaluj żadnych wtyczek

Wtyczki działają w tym samym środowisku, które jest już zainfekowane. Jeśli wirus modyfikuje kod, to:

  • wtyczka może działać inaczej, niż powinna,
  • skaner „malware” może uszkodzić dowody ataku,
  • możesz wprowadzić nieodwracalne zmiany.

Zabezpiecz stronę

Zablokuj to, co może szkodzić. Jeśli kod wysyła spam, wyłącz wysyłkę maili; jeśli przekierowuje ruch – zablokuj dostęp do witryny przez .htaccess lub tryb konserwacji.

Dobrze też zatrzymać zadania CRON na serwerze, które nierzadko uruchamiają złośliwe skrypty. W przeciwnym razie możesz narazić stronę na:

  • wysyłanie SPAM-u,
  • tworzenie fałszywych podstron,
  • przekierowania na podejrzane domeny,
  • pogorszenie SEO i spadek widoczności w wynikach wyszukiwarki Google.

Bez dokładnej analizy często nie wiadomo, co dzieje się na stronie. 


Przeciętny użytkownik może zostać zaalarmowany pojedynczym objawem, ale w większości przypadków nie będzie w stanie stwierdzić, czy jest ich więcej. Najlepiej włączyć tryb konserwacji lub zablokować stronie dostęp do .htaccess.

Dodatkowo dobrym pomysłem jest również zablokowanie zadań cron na serwerze, zanim upewnisz się, że w określonym czasie nie będą mogły zostać wykonane żadne złośliwe zadania, często po początkowym zablokowaniu strony przez administratora.

Może to uniemożliwić wysyłanie wiadomości spamowych za pośrednictwem Twojej witryny lub innych podejrzanych działań, a w konsekwencji zaszkodzić SEO witryny, na przykład indeksowaniu przez Google setek tysięcy fałszywych/spamowych stron lub nawet umieszczaniu witryny na czarnych listach.

Jak usunąć złośliwe oprogramowanie ze strony internetowej?

To najtrudniejszy etap – szczególnie dla osób, które na co dzień nie pracują z kodem. Ta część procesu jest bardzo problematyczna dla wielu niedoświadczonych „specjalistów”, dlatego korzystają z wtyczek WordPress. Jednakże, jak wspomnieliśmy w powyższym punkcie, zdecydowanie nie zaleca się używania wtyczek.

Poniżej punkt po punkcie opisujemy jak usunąć wirusa ze strony internetowej.

Dlaczego nie polegać na programach antywirusowych?

Skaner antywirusowy  komputerowy nie zna struktury stron www. Generalnie programy antywirusowe nie są przeznaczone do wyszukiwania złośliwego oprogramowania (jest to materiał na osobny artykuł). Mówiąc najprościej – opierają się głównie na ograniczonej i mało aktualnej bazie sygnatur  wirusów i czasami wykrywają coś w kodzie wynikowym, ale nie są w stanie wykryć niczego w kodzie źródłowym. Działają na podstawie sygnatur malware, które:

  • są ograniczone,
  • często nieaktualne,
  • zwykle wykrywają tylko fragmenty w kodzie wynikowym,
  • nie analizują złośliwego kodu źródłowego.

W praktyce oznacza to, że narzędzie komputerowe może zobaczyć jedynie promil problemów.

Zacznij od diagnozy i sprawdzenia, gdzie jest infekcja

Możesz:

  • sprawdzić czarne listy i komunikaty „strona została oznaczona jako niebezpieczna”,
  • użyć wyszukiwarki: „site:twojadomena.pl”,
  • sprawdzić cache: „cache:twojadomena.pl”,
  • przejrzeć logi serwera (źródło, z którego wielu użytkowników nie korzysta, a powinno),
  • skanować serwer FTP,
  • przeanalizować pliki WordPress, PHP, SQL oraz bazę danych.

Następnie trzeba znaleźć złośliwy kod, usunąć go, przejrzeć wszystkie pliki i wyłapać luki w zabezpieczeniach.

Często dopiero analiza złośliwego kodu wskazuje, jak wirus zainfekował strony www. To również poprawia szanse na przywrócenie strony do stanu sprzed infekcji i uniknięcie ponownego naruszenia.

Ręczne czyszczenie – najbardziej skuteczne

Przy usuwaniu złośliwego oprogramowania w WordPress wymagana jest znajomość:

  • HTML,
  • JS,
  • PHP,
  • SQL,
  • CMS,
  • struktury plików i baz danych.

Malware to nie tylko eval() i zakodowane Base64. Czasem to niewielkie, sprytnie ukryte fragmenty kodu, które potrafią zrobić bardzo złośliwe rzeczy.

Zabezpieczenie strony internetowej po usunięciu wirusa

Kiedy usuniesz złośliwe oprogramowanie ze strony, czas na twarde zabezpieczenia.

To między innymi:

  • ograniczenie dostępu do plików,
  • blokowanie zbędnych usług,
  • aktualizacja WordPressa, wtyczek i motywów,
  • poprawienie luk w zabezpieczeniach,
  • regularne aktualizacje podnoszące bezpieczeństwo strony internetowej,
  • monitorowanie zmian plików i ruchu na stronie,
  • silne hasła i ograniczenie dostępu do panelu administracyjnego.

Po naprawie:

  • usuń stronę z czarnych list,
  • przeanalizuj indeksację,
  • zdeindeksuj złośliwe podstrony,
  • zgłoś stronę do ponownego sprawdzenia w Google Search Console lub narzędziach typu search console.

Złośliwe oprogramowanie wpływa na SEO, więc musisz odbudować pozycję stron internetowych w wynikach wyszukiwania.

Co zrobić, jeśli nie możesz samodzielnie usunąć wirusa ze strony?

Jeśli nie czujesz się pewnie w kodzie, bazach danych, SQL, skryptach PHP i analizie złośliwego oprogramowania – całkowicie normalne. Usuwanie infekcji strony wymaga doświadczenia i czasu.

W takich sytuacjach warto skorzystać z pomocy specjalistów od usuwania wirusów ze strony internetowej, takich jak 360 WebRescue.

Dla stron WordPress to najbezpieczniejsza droga, bo błędna naprawa tylko pogłębia problem.

Jak zadbać o bezpieczeństwo Twojej strony w przyszłości?

Opieka nad stroną WordPress nie jest czymś, co można „odłożyć na później”. Kiedy problemy narastają, odbudowa staje się droższa i trudniejsza. Zainfekowane pliki, przekierowania, spadki w SEO oraz zagrożeniami w kodzie potrafią realnie uszkodzić Twoje źródło ruchu i klientów.

Regularne monitorowanie, aktualizacje, skanowanie oraz opieka doświadczonego administratora to najskuteczniejszy sposób, żeby:

  • usuwanie wirusa było potrzebne jak najrzadziej,
  • bezpieczeństwo strony internetowej było na wysokim poziomie,
  • luk w zabezpieczeniach nie dało się łatwo wykorzystać.

Nie martw się o obsługę techniczną swojej strony – powierz ją profesjonalistom. Powierz nam opiekę nad stroną WordPress już dziś. Zamów opiekę techniczną WordPress.

Często zadawane pytania

FAQ na temat infekcji na stronie internetowej

  • Co muszę dostarczyć, aby rozpocząć czyszczenie?

    Abyśmy mogli natychmiast działać, po akceptacji wyceny poprosimy o bezpieczny dostęp do plików Twojej strony na serwerze (FTP/SFTP/SSH). Czasem potrzebny będzie też dostęp do panelu hostingowego.

    Nie martw się o bezpieczeństwo danych! Wszystkie Twoje dane są u nas zaszyfrowane 256-bitowym algorytmem AES, co zapewnia najwyższą ochronę. Po naprawie zawsze rekomendujemy zmianę haseł dla Twojego pełnego spokoju.

  • Czy mogę naprawić to sam, np. przez przywrócenie backup’u?

    Nie. Przywrócenie kopii zapasowej to tylko plaster na ranę – nie usunie luki bezpieczeństwa, przez którą doszło do infekcji. Bez identyfikacji źródła, atak powróci. Co gorsza, backupy mogą już zawierać ukryte wirusy. My eliminujemy problem u źródła.

    Nawet gdy posiadasz już listę zainfekowanych plików to za mało. Te pliki to tylko objawy. My musimy zlokalizować prawdziwą lukę w zabezpieczeniach, która umożliwiła atak. Żadna maszyna tego nie zrobi – tu potrzebna jest nasza wiedza i doświadczenie.

  • Czy nie wystarczy przywrócić moją witrynę z kopii zapasowej?

    Jeśli ktoś zainfekował lub włamał się na witrynę i mógł ją zmodyfikować, oznacza to, że istnieje luka w zabezpieczeniach, która na to pozwoliła. Przywrócenie kopii zapasowej usunie tylko skutki włamania, ale ekspozycja/podatność pozostanie niezmieniona. Oznacza to, że atakujący może łatwo ponownie włamać się do witryny.

    To, co jest również kluczowe dla prac związanych z czyszczeniem, przywracaniem kopii zapasowej zatuszuje ślady włamania, uniemożliwiając zidentyfikowanie infekcji i przeanalizowanie, jak do niej doszło.

    Nie ma też żadnej gwarancji, że w kopii zapasowej nie ma już umieszczonych backdoorów, które pozwolą atakującemu na odzyskanie kontroli nad stroną. Często skutki infekcji zaczynają być widoczne dopiero po określonym czasie tak, aby wstrzyknięte dodatkowe pliki zadomowiły się na dobre w backupach.

  • Jak sprawdzić, czy moja strona została umieszczona na czarnej liście Google (blacklist) po infekcji?

    Jeśli Twoja strona została zainfekowana, istnieje ryzyko, że Google ją oflagował, a głównym narzędziem do weryfikacji jest Google Search Console (GSC). Przejdź do sekcji „Bezpieczeństwo i ręczne działania”, gdzie Google wyśle powiadomienie o wykryciu złośliwego oprogramowania. Możesz także użyć darmowych skanerów online, takich jak Google Safe Browsing, wpisując adres swojej strony. Po całkowitym wyczyszczeniu strony i jej zabezpieczeniu, musisz złożyć wniosek o ponowną weryfikację w Google Search Console – Google ponownie przeskanuje stronę i usunie ostrzeżenie, jeśli problem został rozwiązany.

  • Jakie są najczęstsze sposoby, przez które wirusy infekują stronę internetową?

    Większość infekcji jest wynikiem wykorzystania luk w zabezpieczeniach lub słabych punktów dostępu. Najczęstszą przyczyną jest nieaktualne oprogramowanie CMS, wtyczki i motywy – luka w ich starszej wersji jest łatwo wykorzystywana przez automatyczne skanery. Innym powodem są słabe hasła, które hakerzy mogą łatwo złamać.

    Ryzyko stanowią również zainfekowane kopie zapasowe lub pliki na komputerze, z którego zarządzasz stroną, ponieważ złośliwe oprogramowanie może wykraść dane logowania. Wreszcie, złośliwy kod często jest ukryty w darmowych lub pirackich motywach i wtyczkach.

Zmień zgody