Moja strona ma wirusa - co dalej?

Spis treści

Skąd bierze się wirus na stronie WWW?

Wirus na stronie nie bierze się znikąd ani z „pecha”. To po prostu złośliwy kod, który ktoś wstrzyknął do plików Twojej strony albo do bazy danych. Najczęściej robią to automaty – skrypty, które cały czas skanują internet w poszukiwaniu stron z lukami bezpieczeństwa.

Co ważne: zazwyczaj nikt „osobiście” nie poluje na Ciebie. Boty masowo sprawdzają tysiące domen dziennie i jeśli znajdą dziurę – wchodzą. Twoja strona staje się wtedy narzędziem: do wysyłki spamu, przekierowywania użytkowników na inne strony, wyświetlania trefnych reklam albo prób zainfekowania komputerów osób, które ją odwiedzają.

Do takiej infekcji dochodzi zwykle wtedy, gdy na stronie jest jakiś słaby punkt – stary CMS, nieaktualna wtyczka, proste hasło, brak podstawowych zabezpieczeń. O konkretnych przyczynach opowiem szerzej w kolejnym punkcie, teraz ważne jest zrozumienie jednego: wirus na stronie to najczęściej efekt ataku automatu, który po prostu wykorzystał okazję. Dlatego korzystając z popularnych CMS typu WordPress czy Prestashop musisz je regularnie aktualizować, ponieważ ich kod jest otwarty i każdy może znaleźć w nim lukę.

Wirusy w sklepie internetowym - problem z RODO

Wirus może trafić na każdą stronę – od prostej wizytówki firmowej firmy ubezpieczeniowej po prywatną stronę z recenzjami jak Dragonia. Ale szczególną uwagę  należy zwrócić uwagę należy przede wszystkim na sklepy internetowe, systemy rezerwacji, systemy składania zamówień typu PayZO oraz wszystkie strony, które przechowują dane klientów w bazie danych.

Jeśli dojdzie do włamania i dane osobowe wyciekną, pojawia się naruszenie RODO. Oznacza to konieczność zgłoszenia incydentu do UODO, poinformowania osób, których dane dotyczą, oraz ryzyko konsekwencji finansowych... a przede wszystkim, utratę wiarygodności.

Dlatego właściciele sklepów i serwisów z danymi klientów powinni szczególnie dbać o aktualizacje, audyty i monitoring bezpieczeństwa.

Jak rozpoznać, że Twoja strona została zainfekowana

Czasem wirus ujawnia się od razu, a czasem działa po cichu i Ty dowiadujesz się o wszystkim dopiero od klientów lub z Google. Najczęstsze objawy to nagłe przekierowania na inne strony, wyskakujące reklamy albo dziwne komunikaty, których nigdy nie dodawałeś.

Zdarza się też, że hosting blokuje stronę, bo zauważył nietypową aktywność – np. masową wysyłkę maili ze spamem. Innym sygnałem jest spadek ruchu z Google albo informacja w Search Console, że strona została oznaczona jako niebezpieczna. Jeśli ktoś zgłasza Ci, że antywirus ostrzega przed Twoją stroną – to również klasyczny objaw infekcji.

Jeśli zauważysz na stronie pliki, których nigdy nie dodawałeś, kod w plikach PHP, którego nie rozumiesz albo nagłe zmiany w bazie danych – to znak, że ktoś już w niej grzebał. Im wcześniej zauważysz problem, tym mniej szkód.

Najczęstsze przyczyny infekcji

• Słabe hasła do panelu CMS, FTP, poczty lub bazy danych.
• SQL Injection – brak filtrowania danych wejściowych i możliwość wstrzyknięcia zapytania SQL.
• XSS (Cross-Site Scripting) – brak walidacji danych i wstrzykiwanie JavaScriptu.
• Brak tokenów CSRF w formularzach umożliwiający wykonywanie akcji bez wiedzy użytkownika.
• Stare wersje CMS z publicznymi i łatwymi do wykorzystania lukami.
• Nieaktualne wtyczki i szablony, często porzucone przez twórców.
• Wtyczki i szablony z nielegalnych źródeł z ukrytym złośliwym kodem.
• Brak ograniczeń uprawnień użytkowników, zbyt szerokie role.
• Brak HTTPS, co pozwala podsłuchiwać i przejmować loginy.
• Słabe zabezpieczenia serwera – brak izolacji kont, stary PHP, brak firewalli i skanowania malware.

Co zrobić od razu po wykryciu wirusa

Kiedy zauważysz, że coś jest nie tak, najgorsze co możesz zrobić to czekać. Im szybciej zareagujesz, tym mniejsze szkody poniesiesz. Pierwszy krok to odcięcie strony od świata, czyli jej tymczasowe wyłączenie albo włączenie trybu serwisowego.

Kolejna rzecz to zmiana wszystkich haseł – do FTP, bazy danych, panelu CMS i poczty. Jeśli wirus wysyła spam albo podmienia pliki, atakujący najprawdopodobniej zna Twoje dane logowania, więc wymiana haseł jest obowiązkowa.

Warto też wykonać kopię zapasową obecnego stanu, żeby mieć dowód dla hostingu lub możliwość późniejszej analizy, skąd wszedł atak oraz zadbaj o archiwalną kopię zapasową, aby móc przywrócić wersję strony sprzed schakowania.

Ostatni krok to kontakt z hostingiem – często mogą wskazać pierwszy zainfekowany plik albo proces, który generuje spam. To pomaga w szybszym usunięciu problemu.

Jak wygląda profesjonalne czyszczenie strony krok po kroku

Profesjonalne usuwanie wirusa to proces, który trzeba zrobić dokładnie i w odpowiedniej kolejności. Pierwszy etap to przeskanowanie wszystkich plików na serwerze w poszukiwaniu złośliwego kodu, nie tylko katalogu public_html, ale także katalogów ukrytych i plików z backupami.

Kolejny krok to czyszczenie lub przywracanie systemu CMS i wtyczek do czystej i najbardziej aktualnej wersji (czyli tak naprawdę instalowanie Twojej strony od nowa).

Następnie trzeba sprawdzić bazę danych, bo wirus mógł dodać tam swoje wpisy – ukryte adminy, przekierowania, JS-y lub iframe.

Potem usuwa się backdoory, czyli ukryte wejścia pozostawione przez atakującego. To mogą być pozornie niewinne pliki o nazwach w stylu „test.php”, „mail.php”, „wp-system.php”.

Na końcu robi się twarde zabezpieczenia – zmiana haseł, blokady na serwerze, firewall. Dopiero wtedy strona może wrócić online.

Jak zabezpieczyć stronę, żeby sytuacja się nie powtórzyła

Po wyczyszczeniu strony najważniejsze jest wdrożenie porządnych zabezpieczeń. Podstawą jest regularne aktualizowanie CMS i wtyczek, bo to one łatają ujawnione luki bezpieczeństwa.

Kolejna rzecz to silne hasła oraz – jeśli to możliwe – uwierzytelnianie dwuskładnikowe.

Warto wdrożyć firewall aplikacyjny (WAF), który blokuje boty próbujące SQL Injection, XSS czy brute force. Możesz użyć Cloudflare lub dedykowanego WAF-a na serwerze.

Dobrą praktyką jest ograniczenie logowania do panelu administracyjnego – np. według krajów albo poprzez dopuszczone adresy IP.

Na poziomie serwera konieczne jest używanie najwyższej wersji PHP, izolacja kont, regularne skanowanie malware i codzienne kopie zapasowe.

Przy pełnych zabezpieczeniach ryzyko powrotu wirusa spada praktycznie do zera.

Pomyśl o profilaktyce

Najskuteczniejszym sposobem na uniknięcie wirusów i włamań nie jest samo czyszczenie strony ani nawet regularne aktualizacje. Najlepszym rozwiązaniem jest profilaktyka – sprawdzenie, jak Twoja strona reaguje na atak, zanim zrobi to ktoś niepowołany.

Profesjonalna firma może wykonać audyt bezpieczeństwa strony, czyli próbę kontrolowanego włamania. Taki audyt sprawdza podatność na SQL Injection, XSS, brute force, błędną konfigurację serwera, stare biblioteki i wiele innych zagrożeń.

Efektem audytu jest jasna lista luk bezpieczeństwa i wskazówki, co trzeba poprawić, żeby Twoja strona była naprawdę bezpieczna. Dzięki temu możesz zabezpieczyć się zanim pojawi się realny problem.

Internet się zmienia - regularnie aktualizuj

Nawet dobrze zabezpieczona strona nie jest bezpieczna „na zawsze”. Pojawiają się nowe luki, nowe boty i nowe metody ataków, dlatego warto prowadzić stały monitoring bezpieczeństwa.

Regularne monitorowanie pozwala szybko wykryć pierwsze symptomy infekcji – nietypowe pliki, podejrzany ruch, próby logowania czy wysyłkę spamu. Wiele sygnałów widać na długo przed faktycznym włamaniem.

Monitoring daje też kontrolę nad tym, co dzieje się na serwerze: skąd przychodzą ataki, czy strona nie spowalnia oraz czy ktoś nie próbuje zgadnąć hasła.

Dzięki monitoringowi możesz reagować od razu, zanim wirus wyrządzi realne szkody.

Co dalej po przeczytaniu tego artykułu?

Infekcja strony nie jest sytuacją bez wyjścia. Można ją wyczyścić, zabezpieczyć i przywrócić do pełnej sprawności, ale najważniejsze jest to, żeby wyciągnąć wnioski. Wirus zawsze wykorzystuje konkretną lukę i jeśli jej nie zamkniesz, problem wróci.

Jako właściciel powinieneś zadbać o aktualizacje, zabezpieczenia i monitoring. To fundament ochrony przed automatycznymi atakami. Jeśli nie czujesz się pewnie technicznie, warto oddać to specjalistom.

Jeśli Twoja strona nigdy nie miała audytu bezpieczeństwa, to dobry moment, żeby to zmienić. Audyt pokaże, gdzie są luki i co trzeba poprawić, aby strona była odporna na kolejne próby włamań.

Mogę Ci pomóc w czyszczeniu strony po ataku, zabezpieczeniach, konfiguracji firewalla i monitoringu. Wykonujemy również audyty bezpieczeństwa we współpracy z profesjonalną firmą, która testuje stronę pod kątem realnych zagrożeń.