Как проверить сайт на вирусы: полное руководство для владельцев и разработчиков

Своевременная проверка ресурса на наличие вредоносного кода – это не просто рекомендация, а критически важная практика, от которой напрямую зависит репутация бизнеса, сохранность пользовательских данных и позиции в поисковой выдаче. Если вы планируете заказать разработку сайта под ключ, необходимо с самого начала выстраивать многоуровневую систему защиты, поскольку последствия заражения – от блокировки поисковиками до полной компрометации серверной инфраструктуры – устранять значительно сложнее и дороже, чем предотвратить.

Зачем проверять сайт со стороны сервера, а не только онлайн

Онлайн-сервисы проверки, такие как VirusTotal или Sucuri SiteCheck, анализируют лишь публично доступный контент: HTML-разметку страницы, подключаемые скрипты и внешние ссылки – тогда как реальные угрозы нередко скрыты глубоко в серверных файлах PHP, конфигурационных файлах .htaccess, базах данных или в директориях, недоступных браузерному запросу. Вредоносный код, встроенный в шаблонные файлы CMS или загруженный через уязвимость в плагинах, может месяцами оставаться невидимым для поверхностного онлайн-сканирования, при этом активно передавая пароли, перенаправляя трафик или встраивая скрытые ссылки в контент страниц.​

Серверная проверка позволяет получить полный доступ к файловой системе ресурса, включая скрытые директории, временные файлы и системные логи – именно там злоумышленники чаще всего размещают бэкдоры, шелл-скрипты и дроппер-файлы, которые невозможно обнаружить снаружи. Помимо этого, проверка со стороны сервера дает возможность анализировать журналы изменений файлов и своевременно выявлять несанкционированные модификации, которые являются прямым признаком заражения даже в отсутствие явных сигнатур вирусов в базе антивирусного ПО.​

Встроенные инструменты проверки на хостинге

Большинство современных хостинг-провайдеров интегрируют в свои панели управления специализированное антивирусное программное обеспечение, что позволяет запустить сканирование файлов без необходимости устанавливать дополнительные инструменты вручную. Важно понимать, что встроенный антивирус хостинга проверяет данные непосредственно на уровне файловой системы сервера, что существенно повышает точность обнаружения угроз по сравнению с любыми внешними способами анализа.​

Антивирус в панели ISPmanager

В панели ISPmanager функции антивирусного сканирования реализованы через модуль ImunifyAV – профессиональный инструмент, разработанный компанией Revisium, который поддерживает WordPress, Joomla, Bitrix, Drupal, MODx и другие популярные CMS, а также статические HTML-сайты. Антивирус располагает двумя режимами работы: сканирование по пользователям (проверяются все файлы конкретного пользователя сервера) и сканирование по доменам (проверяются исключительно файлы выбранного сайта, системные файлы пользователей при этом не затрагиваются).​

Порядок запуска проверки следующий: необходимо войти в панель ISPmanager, перейти в раздел «Антивирус», выбрать нужный домен из списка и нажмите кнопку «Сканировать» – либо кнопку «Просканировать все» для одновременной проверки всех ресурсов аккаунта. После завершения сканирования система формирует детальный отчет: напротив зараженного домена в колонке статуса отображается значение «заражен» и суммарное количество обнаруженных угроз; бесплатный план предусматривает только обнаружение, тогда как автоматическое лечение доступно в платной версии ImunifyAV+.​

Сканер в cPanel

В панели cPanel антивирусная защита реализована через раздел «Дополнительно», где располагается пункт «Антивирусная программа» – именно туда необходимо перейти для запуска проверки. Доступны несколько вариантов сканирования: проверка всего домашнего каталога (рекомендуется для полной ревизии), сканирование только публичной директории public_html или проверка отдельных поддиректорий, что позволяет сэкономить время при точечной диагностике конкретного раздела ресурса.​

Пошаговая инструкция выглядит следующим образом: войдите в cPanel, найдите блок «Дополнительно», нажмите на «Антивирусная программа», выберите нужный вариант сканирования – например, «Сканировать весь домашний каталог», после чего нажмите кнопку «Сканировать», чтобы запустите процесс. По завершении анализа система выводит список опасных файлов с указанием типа обнаруженной угрозы, и на основании этих данных принимается решение о карантине или удалении вредоносных объектов.

Проверка сайта на вирусы в WordPress

WordPress остается наиболее часто атакуемой CMS в мире, что объясняется её широкой распространённостью: злоумышленники целенаправленно ищут уязвимости в устаревших версиях ядра, плагинов и тем оформления, через которые осуществляется внедрение вредоносного кода прямо в файловую систему или базу данных ресурса. Для комплексной защиты WordPress-сайта рекомендуется использовать специализированные плагины безопасности, которые обеспечивают как проверку файлов по сигнатурам, так и проактивный мониторинг изменений в реальном времени.​

Плагин Wordfence Security

Wordfence Security – один из наиболее надёжный и функциональных плагинов безопасности для WordPress, обладающий встроенным файрволом, сканером вредоносных программ и системой двухфакторной аутентификации. Сканер анализирует файлы ядра, темы и плагины на наличие malware, вредоносных URL, бэкдоров, SEO-спама, вредоносных перенаправления и инъекций кода, сверяя их с эталонными версиями из репозитория WordPress.org.​

Для запуска проверки необходимо установить плагин из официального репозитория, активировать его в панели администратора, после чего перейти в раздел Wordfence → Scan и нажмите кнопку «Start New Scan». Бесплатный план предоставляет обновления сигнатур с задержкой 30 дней относительно актуальной базы угроз – в Premium-версии обновления поступают в режиме реального времени, что критически важно при атаках с использованием новых эксплойтов.

Плагин AI AntiMalware

AI AntiMalware (Anti-Malware Security and Brute-Force Firewall) – бесплатный плагин, специализирующийся на поиске известных угроз заражения с регулярно обновляемой базой сигнатур, включающей актуальные определения вредоносного кода, характерного для WordPress-окружений. Плагин проверяет все PHP-файлы темы, ядра и плагинов, а также сканирует загружаемые файлы в директории uploads, где нередко размещаются веб-шеллы под видом изображений или документов.​

Установка и первичная проверка выполняются следующим образом: перейдите в «Плагины → Добавить новый», найдите AI AntiMalware, нажмите «Установить», затем «Активировать» и запустите сканирование через раздел Anti-Malware в меню администратора. После завершения проверки плагин формирует список подозрительных файлов с указанием характера угрозы; перед удалением или карантином рекомендуется проверить каждый файл вручную, поскольку возможны ложные срабатывания на нестандартный, но безопасный контент.​

Плагин iThemes Security

iThemes Security (переименованный в Solid Security) предлагает комплексный подход к защите WordPress-сайта, включающий мониторинг целостности файлов, защиту от брутфорс-атак, управление политика безопасности паролей и двухфакторную аутентификацию для административных аккаунтов. Одна из ключевых возможностей плагина – модуль «File Change Detection», который автоматически фиксирует любые изменения в файловой системе сайта и уведомляет администратора по электронной почте, что позволяет оперативно реагировать на несанкционированные модификации.​

Для настройки защиты через iThemes Security необходимо установить плагин, пройти первичную регистрация в мастере настройки, включить модули «Malware Scan», «File Change Detection» и «Brute Force Protection», а затем настроить расписание автоматического сканирования. Интеграция с Google Safe Browsing позволяет плагину проверять, не попал ли домен ресурса в список опасных сайтов поисковой системы Google, что напрямую влияет на поисковой трафик и доверие пользователей к ресурсу.​

Проверка сайта на вирусы в Bitrix

Платформа 1С-Битрикс активно используется для построения корпоративных порталов и интернет-магазинов, что делает её привлекательной мишенью для атак: заражение Bitrix-сайта, как правило, затрагивает PHP-обработчики компонентов, файлы шаблонов и конфигурационные файлы ядра, в которых злоумышленники размещают обфусцированный вредоносный код, внешне неотличимый от легитимной логики приложения. Если планируется создание магазинов под ключ на базе Bitrix, безопасность должна закладываться архитектурно: с разграничением прав доступа, регулярным аудитом файловой системы и обязательным использованием встроенных инструментов антивирусной проверки платформы.​

Встроенный антивирус Bitrix

В 1С-Битрикс предусмотрен собственный модуль проверки на вирусы – bitrix.xscan, который доступен через раздел Marketplace административной панели и позволяет выполнять сканирование файлов ядра, модулей и пользовательских компонентов. Особенность модуля состоит в том, что он функционирует даже на сайтах без активной лицензии Битрикс, что делает его универсальным инструментом диагностики заражения вне зависимости от статуса подписки.​

Алгоритм работы с встроенным антивирусом следующий: войдите в административную панель Bitrix (/bitrix/admin), перейдите в Marketplace → Все решения, найдите модуль bitrix.xscan и установить его, после чего нажмите кнопку запуска сканирования в интерфейсе модуля. Помимо поиска сигнатур вредоносного кода, модуль задействует «Проактивную защиту» Bitrix – встроенный механизм мониторинга активности, который блокирует подозрительные запросы, типичные для SQL-инъекций, XSS-атак и попыток обхода системы аутентификации.​

Проверка через лог изменений файлов

В Bitrix реализован встроенный механизм контроля целостности файлов, доступный через раздел «Безопасность → Контроль активности» – именно здесь хранится информация обо всех изменениях файлов системы с указанием времени модификации, что позволяет точно локализовать момент заражения. Анализ лога изменений является одним из наиболее результативных способов обнаружения вредоносного кода в ситуациях, когда антивирусный сканер не обнаружил угрозы, поскольку злоумышленники нередко применяют техники обфускации, позволяющие обходить сигнатурную проверку.​

Для практического использования этого инструмента необходимо перейти в административной панели по пути Настройки → Безопасность → Контроль активности, отфильтровать события за период, предшествующий предполагаемому моменту заражения, и внимательно изучить файлы, которые были изменены в нетипичное время – особое внимание следует уделять модификациям в директориях /bitrix/templates/, /bitrix/components/ и корневой директории сайта. Все обнаруженные подозрительные файлы рекомендуется сравнить с эталонными версиями из дистрибутива Bitrix или резервной копии – несовпадение содержимого служит надежным индикатором внедрения вредоносного кода.​

Ручной поиск вредоносного кода через SSH

SSH-доступ к серверу открывает наиболее широкие возможности для глубокого анализа файловой системы: через командную строку можно выполнять поиск по всем файлам одновременно, используя регулярные выражения, соответствующие характерным паттернам вредоносного кода – base64-кодированным строкам, вызовам eval(), функциям system(), exec(), passthru() и конструкциям preg_replace с флагом /e. Ручная проверка через SSH особенно эффективна в тех случаях, когда антивирусный сканер показывает ложные негативы: специалист, понимающий структуру PHP-кода, способен визуально распознать обфусцированный вредоносный скрипт даже при отсутствии его сигнатуры в базе антивирусного ПО.​

Наиболее эффективные команды для поиска вредоносного кода через SSH:

• grep -r "eval(base64_decode" /var/www/ --include="*.php" – поиск наиболее распространённого паттерна обфускации, при котором вредоносный payload кодируется в base64 и выполняется через eval().

• find /var/www/ -name "*.php" -newer /var/www/html/index.php – поиск PHP-файлов, изменённых позже эталонного файла, что позволяет быстро выявить внедрённые файлы по времени заражения.

• grep -r "FilesMan\|c99\|r57\|WSO" /var/www/ --include="*.php" – поиск характерных меток популярных веб-шеллов, которые злоумышленники загружают для получения постоянного доступа к серверу.

• find /var/www/ -perm -0777 -name "*.php" – обнаружение PHP-файлов с максимальными правами доступа (777), что является нетипичным для легитимных файлов и часто свидетельствует о несанкционированной загрузке.

• grep -r "base64_decode\|gzinflate\|str_rot13\|str_replace" /var/www/ --include="*.php" -l – поиск файлов, содержащих функции, типично используемые в цепочках деобфускации вредоносного кода.

После обнаружения подозрительных файлов необходимо внимательно изучить их содержимое командой cat или less, сверить с резервными копиями и при подтверждении вредоносного характера удалить или восстановить из чистого дистрибутива. Дополнительно рекомендуется проверить файл .htaccess в корне сайта на наличие несанкционированных директив перенаправления, поскольку именно через .htaccess нередко реализуются скрытые редиректы пользователей на фишинговые ресурсы или страницы с вредоносным ПО.

Как настроить регулярное автоматическое сканирование

Единовременная проверка сайта на вирусы не обеспечивает долгосрочной безопасности – необходимо выстраивать систему регулярного автоматического мониторинга, которая будет обнаруживать угрозы непосредственно в момент их появления, а не спустя недели после заражения, когда ресурс уже попал в черные списки поисковых систем. Автоматически выполняемое сканирование особенно критично для высоконагруженных проектов и интернет-магазинов, где компрометация данных клиентов влечёт не только репутационный ущерб для бизнеса, но и серьёзные юридические последствия, связанные с нарушением политика конфиденциальности и требований регуляторов.​

Для организации регулярной проверки рекомендуется реализовать следующий комплекс мер:

• Cron-задача с AI-Bolit: установить на сервер сканер AI-Bolit (бесплатный инструмент от Revisium) и добавить в crontab задачу с периодичностью раз в сутки – например, 0 3 * * * php /path/to/ai-bolit.php --mode=1 > /var/log/aibolit.log 2>&1 – с последующей отправкой отчёта на email администратора.​

• ImunifyAV Auto-Scan: в панелях ISPmanager и cPanel активировать режим автоматического сканирования в настройках ImunifyAV, установив расписание ежедневной проверки всех доменов аккаунта – система будет автоматически формировать и отправлять отчёты об обнаруженных угрозах.​

• Wordfence Scheduled Scan (WordPress): в настройках плагина Wordfence перейти в раздел Scan → Scheduling, включить опцию «Automatically schedule Wordfence Scans» и выбрать высокую чувствительность сканирования – плагин будет запускать проверку ежедневно и уведомлять о любых обнаруженных угрозах по электронной почте.​

• Мониторинг через Google Search Console: подключить ресурс к Google Search Console и регулярно проверять раздел «Проблемы безопасности» – поисковой робот Google блокирует доступ к сайтам с вредоносным кодом и уведомляет верифицированных владельцев о выявленных угрозах через интерфейс консоли.​

• Резервное копирование перед сканированием: автоматически создавать резервные копии файлов и базы данных перед каждой проверкой, что позволяет быстро загрузить чистую версию ресурса в случае обнаружения критического заражения без потери актуальных данных.​

• Ротация и мониторинг паролей: внедрить политику регулярной смены паролей к административным панелям, FTP/SFTP и базам данных, поскольку скомпрометированные учётные данные остаются главным вектором повторного заражения даже после успешного лечения ресурса.​

Настройка полноценной системы автоматического сканирования занимает от одного до нескольких часов, однако инвестиция времени полностью окупается: инфраструктура мониторинга безопасности позволяет обнаруживать и устранять угрозы заражения до того, как они нанесут ощутимый ущерб репутации ресурса, трафику из поисковой выдачи и доверию клиентов бизнеса.