„Ta strona może wyrządzić szkody“: jak usunąć ostrzeżenie Google

Jeśli odwiedzający widzą czerwony ekran „Strona wprowadzająca w błąd“ albo w wynikach pod stroną pojawiła się etykieta „Ta strona mogła zostać zhakowana“, przyczyna jest niemal zawsze ta sama: stronę zhakowano, a Google zauważył to wcześniej niż Ty. Nie ma przycisku, który po prostu usuwa ostrzeżenie: najpierw trzeba znaleźć i usunąć złośliwy kod, zamknąć wejście, i dopiero potem poprosić o sprawdzenie. Poniżej: co oznacza komunikat, gdzie szukać przyczyny i jak poprawnie przejść sprawdzenie Google, aby etykieta nie wróciła.

Spis treści
  1. Co oznacza komunikat
  2. Sprawdź stronę teraz
  3. Dlaczego Google oznacza
  4. Błąd: sprawdzenie za wcześnie
  5. Gdzie ukrywa się przyczyna
  6. Jak wyczyścić i przygotować
  7. Prośba o sprawdzenie
  8. Kiedy wezwać specjalistę

Co ten komunikat właściwie oznacza

Ostrzeżeń jest kilka i to różne rzeczy. Ma znaczenie, które masz, bo usuwa się je inaczej:

  • Czerwony ekran „Strona wprowadzająca w błąd" (Deceptive site ahead) w przeglądarce. To Google Safe Browsing: system uznał, że na stronie jest phishing lub oszukiwanie odwiedzających.
  • „Ta strona może wyrządzić szkody" w wynikach lub przy wejściu. Zwykle oznacza złośliwy kod, który infekuje odwiedzających.
  • „Ta strona mogła zostać zhakowana" wprost w wynikach wyszukiwania, pod linkiem. Google znalazł obce strony lub spam.
  • Komunikat w Search Console, sekcja „Problemy z bezpieczeństwem": malware, inżynieria społeczna lub niechciane oprogramowanie.

W każdym przypadku źródło jest to samo: na stronie pojawiło się coś, czego być nie powinno. Etykieta to skutek, a nie przyczyna.

Sprawdź stronę teraz

Narzędzie otworzy Twoją stronę z zewnątrz tak, jak widzi ją wyszukiwarka i odwiedzający z telefonu. Bardzo często to właśnie im podaje się złośliwy kod lub przekierowanie, podczas gdy Tobie strona wygląda normalnie. Defacement, mobilne przekierowanie, cloaking i przestarzały CMS będą widoczne od razu. Dostęp do strony nie jest potrzebny.

Sprawdzam: defacement, mobilne przekierowanie, cloaking, wersję CMS i czy jest aktualna.

Sprawdzam stronę z zewnątrz...

Dokładny status w Google Safe Browsing zobaczysz w Google Transparency Report: wpisz adres, a zobaczysz, czy strona jest oznaczona.

Dlaczego Google oznacza stronę

Safe Browsing stale skanuje strony i dzieli zagrożenia na kilka typów. U zhakowanej strony zwykle uruchamia się jeden z nich:

  • Malware. W kod wstrzyknięto skrypt, który infekuje lub atakuje odwiedzających.
  • Inżynieria społeczna (phishing). Pojawiły się fałszywe formularze lub strony wyłudzające dane.
  • Niechciane oprogramowanie i przekierowania. Odwiedzających kieruje się do kasyn, aptek lub pobierania podejrzanych plików.

Google rzadko się myli: jeśli etykieta się pojawiła, strona niemal na pewno ma włamanie. Fałszywe alarmy się zdarzają, ale właściwy pierwszy krok to sprawdzić, a nie spierać się.

Główny błąd: od razu klikać „Poproś o sprawdzenie"

Pierwszy odruch właściciela na widok etykiety to otworzyć Search Console i kliknąć „Poproś o sprawdzenie". Jeśli złośliwy kod wciąż jest na stronie, sprawdzenie to potwierdzi, a etykieta zostanie. Co gorsza, częste ponowne prośby bez poprawek spowalniają rozpatrywanie.

Jedyna właściwa kolejność: najpierw znaleźć i usunąć przyczynę, zamknąć wejście, upewnić się, że strona jest czysta, i dopiero potem prosić o sprawdzenie. Sprawdzenie to nie przycisk „usuń etykietę", tylko ponowne skanowanie strony przez Google.

Gdzie zwykle ukrywa się przyczyna

Złośliwy kod prawie nigdy nie leży na widoku. Typowe miejsca do sprawdzenia:

  • Przekierowanie warunkowe. Kod działa tylko na telefonach lub tylko dla wchodzących z wyszukiwarki. Na komputerze strona otwiera się normalnie, więc właściciel niczego nie zauważa.
  • Cloaking dla Googlebota. Botowi podaje się jedną stronę, odwiedzającemu inną. Właśnie to wychwytuje Safe Browsing.
  • Wstrzyknięcie w szablon lub bazę. Skrypt dodano do plików aktywnego motywu lub do parametrów szablonu w bazie danych.
  • Reguły w .htaccess. Przekierowania i warunki wprost na poziomie serwera, a pliki są przy tym czyste.

Dlatego antywirus hostingu często mówi „wszystko czyste": sprawdza pliki według sygnatur, a kod siedzi w bazie lub w regułach serwera. Cisza skanera nie dowodzi, że strona jest w porządku.

Jak wyczyścić i przygotować do sprawdzenia

Kolejność, która naprawdę usuwa przyczynę, a nie tylko objaw:

  1. Zmień wszystkie hasła: panel administracyjny, FTP i SSH, baza, panel hostingu.
  2. Sprawdź .htaccess, index.php i pliki aktywnego szablonu: wstrzyknięcie zwykle jest w pierwszych wierszach.
  3. Sprawdź bazę: w WordPressie to wp_options i wp_posts, w Joomli parametry szablonu w #__template_styles.
  4. Znajdź i usuń web-shelle: nieznane pliki .php, często w folderach uploads lub media.
  5. Zamknij wejście: zaktualizuj CMS i rozszerzenia, usuń nieużywane, sprawdź zadania cron.
  6. W Search Console otwórz „Problemy z bezpieczeństwem" i zobacz przykładowe zainfekowane adresy URL podane przez samego Google. To wskazówka, gdzie szukać.

Prośba o sprawdzenie w Google

Gdy strona jest naprawdę czysta, można poprosić o sprawdzenie:

  • Search Console, sekcja „Bezpieczeństwo i ręczne działania", dalej „Problemy z bezpieczeństwem".
  • Upewnij się, że wszystkie problemy usunięto, zaznacz to i kliknij „Poproś o sprawdzenie".
  • Opisz krótko, co zrobiono: co usunięto, gdzie było wejście, co zamknięto. To przyspiesza rozpatrywanie.
  • Czas: dla malware zwykle od kilku godzin do paru dni, dla inżynierii społecznej dłużej. Czerwony ekran w przeglądarce znika automatycznie po ponownej klasyfikacji.
  • Nie wysyłaj prośby o sprawdzenie codziennie: to nie przyspiesza, tylko spowalnia.

Jeśli w chwili sprawdzenia strona znów okaże się zainfekowana, etykieta nie zostanie zdjęta. Dlatego tak ważne jest, by najpierw zamknąć wejście.

Kiedy wezwać specjalistę

Warto nie tracić czasu samemu, jeśli:

  • już czyściłeś stronę, a etykieta wróciła;
  • kod jest w bazie lub w .htaccess, a antywirus hostingu milczy;
  • na komputerze strona otwiera się normalnie, a Google i tak ją oznacza (przekierowanie warunkowe lub cloaking);
  • sprawdzenie już odrzucono;
  • nie ma działającej czystej kopii zapasowej.

Znajduję powód etykiety, czyszczę stronę na dowolnym CMS, zamykam punkt wejścia i pomagam poprawnie przejść sprawdzenie Google, aby etykieta nie wróciła. Diagnostyka jest bezpłatna. Pracuję z właścicielami stron z Ukrainy, z Polski i z rosyjskojęzycznymi w UE. Z osobami prawnymi zarejestrowanymi w Rosji nie współpracuję: to ograniczenie sankcji UE.

Szczegóły i zgłoszenie

Częste pytania

Jak długo do usunięcia ostrzeżenia po sprawdzeniu?

Dla malware zwykle od kilku godzin do jednego do trzech dni. Dla inżynierii społecznej (phishingu) dłużej. Czerwony ekran w przeglądarce znika automatycznie, gdy Google zaklasyfikuje stronę jako bezpieczną. Przycisku do przyspieszenia nie ma.

Kliknąłem „Poproś o sprawdzenie“, ale etykieta wróciła. Dlaczego?

To znaczy, że w chwili sprawdzenia na stronie wciąż był złośliwy kod albo wgrano go ponownie. Sprawdzenie to ponowne skanowanie przez bota, a nie usunięcie jednym kliknięciem. Jeśli wejście nie jest zamknięte, strona zostaje zainfekowana ponownie, a sprawdzenie to odnotowuje.

Ostrzeżenie pokazuje się tylko w Chrome. Mam wirusa na komputerze?

Nie. To Google Safe Browsing, wspólna baza używana przez Chrome, Firefox i Safari. Problem jest na stronie, a nie w przeglądarce czy komputerze. Dlatego ostrzeżenie widzą wszyscy odwiedzający, nie tylko Ty.

Strona jest oznaczona, ale wchodzę i nie widzę nic złego. Jak to?

Częsty przypadek: złośliwy kod pokazuje się tylko botowi wyszukiwarki lub tylko na telefonach (cloaking, przekierowanie warunkowe). Tobie strona wygląda normalnie, a Googlebot i odwiedzający z telefonu dostają zainfekowaną wersję. Właśnie to wychwytuje Safe Browsing.

Czy można przyspieszyć zdjęcie etykiety?

Osobnego przycisku przyspieszenia nie ma. Jedyne, co naprawdę wpływa na czas: żeby w chwili sprawdzenia strona była naprawdę czysta i wejście zamknięte. Inaczej sprawdzenie zostanie odrzucone, a cykl się powtórzy, co tylko wydłuża proces.

Telegram