Хакнат WordPress? Ръководство за защита и възстановяване

# wordpress
# Сайт поддръжка
# Уебсайтове
защита на хакнат wordpress сайт и почистване на зловреден код

WordPress е най-популярната система за управление на съдържанието (CMS) в света:

  • Глобален мащаб: По различни статистики WordPress задвижва между 475 и 590 милиона сайта в световен мащаб.
  • В България: Само платформата WooCommerce се ползва от над 12 000 онлайн магазина у нас.

Тази популярност е нож с две остриета. От една страна, тя е притегателен център за хакери, които търсят уязвимости. От друга страна, огромната общност от разработчици постоянно „кърпи“ слабите места и подобрява сигурността на системата. Сигурността на WordPress е постоянна надпревара между създателите на теми, плъгини и ядрото срещу киберпрестъпниците.

Кои са най-честите хакове за WordPress?

1. Brute Force (Атака с „груба сила“)

Това е най-простата, но и най-често срещана атака. Хакерите използват ботове, които автоматично се опитват да се логнат в административния панел, правейки хиляди заявки в секунда.

  • Как работи: Използват се т.нар. Rainbow tables, които съдържат милиони комбинации от често срещани потребителски имена и пароли (напр. admin, 123456, pass123).
  • Как да се защитим:
    • Силна парола: Използвайте дълга парола с нелогична последователност от символи, цифри и знаци.
    • Двуфакторна автентикация (2FA): Дори хакерът да разбере паролата ви, ще му е нужен код от имейл или приложение (напр. Google Authenticator). Използвайте плъгини като WP 2FA или Two Factor.
    • Ограничаване на опитите за вход: С плъгини като Limit Login Attempts Reloaded можете да блокирате IP адрес след 3–5 неуспешни опита.

2. Пиратски (Nulled) теми и плъгини

В стремежа си да спестят пари, много собственици свалят платени (Premium) теми или плъгини от неофициални сайтове безплатно.

  • Проблемът: Тези продукти почти винаги идват с „бонус“ – злонамерен код (троянски кон), вмъкнат от хакерите. Така сами отваряте задна врата към сайта си.
  • Защита: Винаги купувайте лицензиран софтуер само от официалните сайтове на разработчиците.

Използването на пиратски теми е най-сигурният начин да съсипете бизнеса си. Ние предлагаме професионално изграждане на WordPress сайтове само с лицензиран софтуер и най-високо ниво на сигурност

3. SQL Injection (SQL инжекция)

Хакерът вкарва злонамерен код в полетата за въвеждане (контактни форми, търсачки), който „разговаря“ директно с вашата база данни.

  • Резултат: Кражба на данни на клиенти, промяна на цени в WooCommerce или пълно изтриване на базата данни.
  • Защита: Поддържайте WordPress ядрото винаги обновено и използвайте защитна стена (Firewall).

4. Cross-Site Scripting (XSS)

Това е най-честата уязвимост в плъгините. Хакерът вмъква скрипт в сайта ви, който се изпълнява директно в браузъра на вашите посетители.

  • Резултат: Кражба на „бисквитки“ (cookies), пренасочване на потребителите към сайтове за измами или фишинг.
  • Защита: Инсталирайте само надеждни и редовно актуализирани плъгини.

5. Злонамерени пренасочвания (Malicious Redirects)

Много разпространен хак в България. Когато потребител кликне върху сайта ви от резултатите в Google, той бива пренасочен към сайтове за залози, порнография или фалшиви антивирусни програми.

  • Проблем: Често собственикът не забелязва проблема, защото пренасочването е настроено да не се случва за администратори, а само за нови посетители.

6. SEO Spam (Pharma Hack)

Хакерът вмъква хиляди скрити страници или линкове в сайта ви, рекламиращи лекарства, хазарт или фалшиви стоки.

  • Резултат: Когато Google открие спама, ще накаже сайта ви и той ще изчезне от резултатите от търсенето (деиндексиране). Това може да унищожи бизнеса ви за дни.

7. Атака по веригата (Supply Chain Attack)

Модерен и подъл метод. Хакерите купуват изоставен, но популярен плъгин от оригиналния му създател. След това пускат „обновяване“, което съдържа заден вход (backdoor).

  • Защита: Не инсталирайте и премахвайте плъгини, които не са обновявани повече от 6–12 месеца.

Как да разберете дали сте хакнати? (Чеклист за бърза проверка)

Често хакерите се опитват да останат незабелязани възможно най-дълго, за да използват ресурсите на вашия сървър. Ето основните симптоми, че нещо не е наред:

  • Сайтът е станал необичайно бавен: Ако скоростта е паднала драстично без видима причина, вероятно зловреден софтуер черпи от ресурсите на сървъра.Съвет: Винаги тествайте сайта от различни устройства и задължително в Incognito режим на браузъра, за да избегнете кеширани резултати.
  • Странни страници в индекса на Google: Ако забележите страници със заглавия на японски, китайски или английски (рекламиращи лекарства или хазарт), които не сте създавали, значи сте жертва на SEO Spam.
    • Как да проверите: В Google търсене напишете оператора site:vashiat-sait.com. Това ще ви покаже точно кои страници от вашия домейн присъстват в Google.
    • Google Search Console: Проверете таб Pages. Внезапен скок в броя на индексираните страници е ясен сигнал за проблем.
  • Непознати администратори в секция "Users": Проверявайте редовно списъка с потребители в WordPress -> Потребители.
    • Внимание: Ако видите нови акаунти с роли „Administrator“ или „Editor“, които не сте създавали вие, веднага ги изтрийте и сменете паролите на всички останали администратори.
  • Сайтът е маркиран като „небезопасен“: * Антивирусната ви програма блокира достъпа до него.
    • Браузърът показва червен екран с предупреждение: "The site ahead contains malware".
    • В Google Search Console, под таб Security & Manual Actions, виждате съобщение, че сайтът е компрометиран.
проверка за хакнати страници в google с команда site

Сайтът е хакнат: Какви спешни мерки да предприемете?

Ако проверката потвърди, че сайтът е компрометиран, действайте бързо по следния план:

1. Осигурете чист бекъп (Последна инстанция)

Преди да правите каквото и да е, проверете какви архивни копия имате в хостинг панела си. Често хостинг доставчиците пазят копия до 30 дни назад.

  • Действие: Изтеглете най-стария наличен бекъп. Има голям шанс той да е от дата преди пробива. Това е вашата „застраховка“, ако почистването на текущата версия се провали.

2. Инсталирайте и сканирайте с Wordfence

Wordfence е стандартът за сигурност при WordPress. Той действа като дигитален скенер и антивирусна програма.

  • Какво прави сканирането:
    • Сравнява файловете: Сверява структурата на ядрото (Core), темите и плъгините с официалните хранилища. Ако открие несвойствена промяна,
      Увеличи продажбите си – безплатен анализ
      ще ви сигнализира веднага.
    • Търси злонамерени функции: Сканира за опасни PHP функции (като eval() или base64_decode()), които хакерите често използват за криптиране на зловреден код.
    • Открива уязвимости (Exploits): Показва кои от вашите плъгини имат документирани слаби места и се нуждаят от спешен ъпдейт.
    • Черен списък: Проверява дали домейнът ви вече не е попаднал в списъци със зловредни сайтове.

Какво да правите с резултатите?

  • View Differences: Вижте точно какъв код е добавил хакерът спрямо оригинала.
  • Repair: Автоматично заменя хакнатия файл с оригиналния му, чист вариант.
  • Delete: Изтрива файлове, които нямат място в системата (например r00t.php или backdoor.php).

Важно: Преди да натиснете Repair или Delete, направете пълен бекъп! Понякога промените по файловете може да са направени от вашия програмист, а не от хакер.

3. Намалете „Площта за атака“ (Attack Surface)

Колкото по-малко компоненти има в един сайт, толкова по-малко врати има за хакерите.

  • Премахнете излишното: Изтрийте всички плъгини и теми, които не използвате. Оставете само една от вградените теми (напр. Twenty Twenty-Four) за тестове, а останалите изтрийте през файловия мениджър.
  • Заменете изоставените: Ако плъгин не е обновяван повече от година (deprecated), той е рисков. Намерете му модерна алтернатива.

4. Пълна смяна на паролите

След като сайтът е изчистен, трябва да „заключите вратите“. Сменете паролите на:

  • Всички администраторски акаунти в WordPress.
  • Хостинг панела (cPanel/DirectAdmin) и FTP достъпите.
  • Базата данни (MySQL) – след смяна тук, не забравяйте да обновите паролата и в wp-config.php.

5. Смяна на Salt стринговете (Authentication Keys)

Във файла wp-config.php има секретни ключове (SALT), които криптират бисквитките на потребителите. Ако сайтът е бил хакнат, хакерът може да е откраднал тези сесии и да влезе отново без парола.

  • Действие: Сменете стойностите на Salt ключовете. Можете да го направите ръчно, като генерирате нови от официалния API на WordPress, или чрез плъгин като Salt Shaker. Това автоматично ще изхвърли всеки, който е логнат в момента.

Финална проверка: Как да се уверите, че сайтът е напълно чист?

След като сте приключили с почистването, не спирайте дотук. Трябва да направите обстоен одит, за да сте сигурни, че няма останали „спящи“ скриптове.

1. Външно сканиране (Remote Scanners)

Тези инструменти гледат сайта ви през очите на потребителите и Google. Те са отлични за откриване на скрити пренасочвания (redirects).

  • Sucuri SiteCheck: Най-добрият безплатен инструмент. Проверява дали домейнът ви е в черни списъци (Blacklisting) и търси видим зловреден софтуер в предната част на сайта.
  • VirusTotal: Изключително мощен ресурс, който сканира URL адреса ви през над 60 различни антивирусни бази данни едновременно.

2. Проверка в Google Search Console

Това е най-важният инструмент за вашето SEO. Ако Google е маркирал сайта ви като опасен, трябва ръчно да заявите преглед.

  1. Отидете на секция Security & Manual Actions -> Security issues.
  2. Ако всичко е наред, ще видите зелена отметка и надпис „No issues detected“.
  3. Ако все още има проблеми,
    Увеличи продажбите си – безплатен анализ
    Google ще ви посочи конкретните URL адреси, които смята за инфектирани.

3. Сканиране с „Висока чувствителност“ (Wordfence)

След първоначалното почистване пуснете нов тест, но с по-строги параметри:

  • Отидете на Wordfence -> Scan -> Scan Options and Scheduling.
  • Изберете High Sensitivity (Висока чувствителност).
  • Внимание: При този режим може да се появят т.нар. False Positives (фалшиви сигнали). Това са легални парчета код, които плъгинът маркира като подозрителни само защото приличат на хакерски функции. Проверявайте ги внимателно.

4. Ръчна проверка на .htaccess и wp-config.php

Често вирусите оставят код в тези два файла, който се маскира като легитимна „настройка“.

  • .htaccess: Проверете за странни пренасочвания към непознати домейни. Ако се съмнявате, изтрийте съдържанието и поставете стандартния код за WordPress.
  • wp-config.php: Уверете се, че няма нищо добавено над реда /* That's all, stop editing! Happy publishing. */. Хакерите често инжектират код в самото начало на файла.

5. Мониторинг на файловата система

Влезте през FTP (FileZilla) или File Manager в cPanel и подредете файловете по дата на последна промяна (Date Modified).

  • Ако видите файлове, променени в часове, в които не сте работили по сайта – прегледайте ги веднага.
  • Златно правило: В папка /wp-content/uploads/ не трябва да има .php файлове. Тази папка е само за изображения и документи. Ако намерите .php файл там, почти сигурно е, че той е зловреден.

Нуждаете се от професионална помощ?

Понякога хакерските атаки са толкова дълбоки, че изискват намеса на специалист. Ако не се чувствате сигурни в почистването или искате да защитите сайта си дългосрочно:

Разгледайте нашите планове за Абонаментна поддръжка и сигурност

Ние ще се погрижим сайтът ви да бъде чист, бърз и защитен денонощно, за да можете вие да се фокусирате върху бизнеса си.

Резултати от SEO и UX оптимизация

Реални данни от нашите последни успешни проекти

SEO резултати
SEO Ръст
От 0 посещения до ежедневни поръчки и запитвания за сайт B2B
Виж детайли →
SEO резултати
Трафик
10 000 нови потребители месечно от SEO + 12% повече оборот от UX за онлайн магазин за дрехи
Виж детайли →
SEO резултати
Локално SEO
Как успяхме да докараме приходи от 400 000 евро с инвестиция в SEO за 12 000 евро.

Нови потребители месечно след 9 месеца оптимизация

Виж детайли →
Имате въпрос? Пишете ни!