«Цей сайт може завдати шкоди»: як прибрати попередження Google
Якщо відвідувачі бачать червоний екран «Оманливий сайт попереду» або у видачі під вашим сайтом зʼявилася позначка «Можливо, цей сайт було зламано», причина майже завжди одна: сайт зламали, і Google помітив це раніше за вас. Зняти попередження кнопкою не можна: спершу треба знайти і прибрати шкідливий код, закрити вхід, і лише потім запросити перегляд. Нижче: що означає напис, де шукати причину і як правильно пройти перевірку Google, щоб позначка не повернулася.
Що означає цей напис
Попереджень кілька, і це різні речі. Важливо зрозуміти, яке саме у вас, бо знімаються вони по-різному:
- Червоний екран «Оманливий сайт попереду» (Deceptive site ahead) у браузері. Це Google Safe Browsing: система вирішила, що на сайті фішинг або обман відвідувача.
- «Цей сайт може завдати шкоди вашому компʼютеру» у видачі або при переході. Зазвичай означає шкідливий код, що заражає відвідувачів.
- «Можливо, цей сайт було зламано» прямо в результатах пошуку, під посиланням. Google знайшов на сайті чужі сторінки або спам.
- Повідомлення в Search Console, розділ «Проблеми безпеки»: malware, соціальна інженерія або небажане ПЗ.
У всіх випадках джерело одне: на сайті зʼявилося те, чого там бути не повинно. Позначка це наслідок, а не причина.
Перевірте сайт прямо зараз
Інструмент відкриє ваш сайт ззовні так, як його бачать пошуковий робот і відвідувач із телефону. Часто саме їм показують шкідливий код або редирект, поки вам сайт відкривається нормально. Дефейс, мобільний редирект, клоакінг і застарілу CMS буде видно одразу. Доступ до сайту не потрібен.
Статус саме в Google Safe Browsing можна подивитися в Google Transparency Report: введіть адресу сайту і побачите, чи його позначено.
Чому Google помічає сайт
Safe Browsing постійно сканує сайти і ділить загрози на кілька типів. Найчастіше у зламаного сайту спрацьовує один із них:
- Шкідливе ПЗ (malware). У код вбудовано скрипт, що заражає або атакує відвідувачів.
- Соціальна інженерія (фішинг). На сайті зʼявилися підроблені форми чи сторінки, що виманюють дані.
- Небажане ПЗ і переадресація. Відвідувачів уводить на казино, аптеки або завантаження сумнівних файлів.
Google рідко помиляється: якщо позначка зʼявилася, на сайті майже напевно є злом. Трапляються і хибні спрацьовування, але починати завжди треба з перевірки, а не зі суперечки.
Головна помилка: одразу тиснути «Запросити перевірку»
Побачивши позначку, власник першим ділом хоче зайти в Search Console і натиснути «Запросити перевірку». Якщо шкідливий код ще на сайті, перевірка це підтвердить, і позначка залишиться. Гірше того, часті повторні запити без виправлень уповільнюють розгляд.
Порядок лише такий: спершу знайти і прибрати причину, закрити вхід, переконатися, що сайт чистий, і тільки потім запитувати перегляд. Перегляд це не кнопка зняття позначки, а повторна перевірка сайту роботом Google.
Де зазвичай ховається причина
Шкідливий код майже ніколи не лежить на видному місці. Типові місця, які треба перевірити:
- Умовний редирект. Код спрацьовує лише для мобільних або лише при переході з пошуку. З компʼютера сайт відкривається нормально, тому власник нічого не помічає.
- Клоакінг для Googlebot. Роботу віддається одна сторінка, відвідувачу інша. Саме це Safe Browsing і ловить.
- Інʼєкція в шаблон або базу. Скрипт додано у файли активної теми або в параметри шаблона в базі даних.
- Правила в
.htaccess. Редиректи й умови прямо на рівні сервера, файли при цьому чисті.
Тому антивірус хостингу часто каже «все чисто»: він перевіряє файли за сигнатурами, а код сидить у базі або в правилах сервера. Тиша сканера не означає, що сайт у порядку.
Як вичистити і підготувати до перегляду
Порядок, який реально прибирає причину, а не лише симптом:
- Змініть усі паролі: адмінка, FTP і SSH, база, панель хостингу.
- Перевірте
.htaccess,index.phpі файли активного шаблона: інʼєкція зазвичай у перших рядках. - Перевірте базу: у WordPress це
wp_optionsіwp_posts, у Joomla параметри шаблона в#__template_styles. - Знайдіть і видаліть веб-шели: незнайомі .php-файли, часто в папках uploads чи media.
- Закрийте вхід: оновіть CMS і розширення, видаліть невикористовувані, перевірте завдання cron.
- У Search Console відкрийте «Проблеми безпеки» і подивіться приклади заражених URL від самого Google. Це підказка, де шукати.
Запит на перегляд у Google
Коли сайт справді чистий, можна запитувати перевірку:
- Search Console, розділ «Безпека та дії, вжиті вручну», далі «Проблеми безпеки».
- Переконайтеся, що всі проблеми усунено, позначте це і натисніть «Запросити перевірку».
- Коротко опишіть, що зроблено: що прибрали, де була точка входу, що закрили. Це прискорює розгляд.
- Терміни: для шкідливого ПЗ зазвичай від кількох годин до пари днів, для соціальної інженерії довше. Червоний екран у браузері знімається автоматично після перекласифікації.
- Не надсилайте перегляд повторно щодня: це не прискорює, а уповільнює.
Якщо сайт на момент перевірки знову виявився зараженим, позначку не знімуть. Тому так важливо спершу закрити вхід.
Коли кликати фахівця
Має сенс не гаяти час самому, якщо:
- ви вже чистили, але позначка повернулася;
- код у базі або в
.htaccess, а антивірус хостингу мовчить; - з компʼютера сайт відкривається нормально, а Google все одно помічає його (умовний редирект або клоакінг);
- перегляд уже відхиляли;
- робочої чистої резервної копії немає.
Знаходжу причину позначки, вичищаю сайт на будь-якій CMS, закриваю точку входу і допомагаю правильно пройти перегляд Google, щоб позначка не повернулася. Діагностика безкоштовна. Працюю з власниками сайтів з України, Польщі та з російськомовними в ЄС. З юридичними особами, зареєстрованими в Росії, не працюю: це обмеження санкцій ЄС.
Докладніше і заявкаЧасті запитання
Скільки знімається попередження після перегляду?
Для шкідливого ПЗ зазвичай від кількох годин до одного-трьох днів. Для соціальної інженерії (фішингу) довше. Червоний екран у браузері знімається автоматично після того, як Google перекласифікує сайт як безпечний. Прискорити кнопкою не можна.
Я натиснув «Запросити перевірку», але позначка повернулася. Чому?
Отже, на момент перевірки на сайті все ще був шкідливий код або його встигли залити знову. Перегляд це повторне сканування роботом, а не зняття позначки по кнопці. Якщо вхід не закрито, сайт заражають знову, і перевірка це фіксує.
Попередження лише в Chrome. У мене вірус на компʼютері?
Ні. Це Google Safe Browsing, спільна база, яку використовують Chrome, Firefox і Safari. Проблема на сайті, а не у вашому браузері чи компʼютері. Тому попередження бачать усі відвідувачі, а не тільки ви.
Сайт позначено, але я заходжу і нічого поганого не бачу. Як так?
Частий випадок: шкідливий код показується лише пошуковому роботу або лише з мобільних (клоакінг, умовний редирект). Вам сайт відкривається нормально, а Googlebot і відвідувачі з телефону отримують заражену версію. Саме це Safe Browsing і ловить.
Чи можна прискорити зняття позначки?
Окремої кнопки прискорення немає. Єдине, що реально впливає на термін: щоб на момент перегляду сайт був по-справжньому чистий і вхід було закрито. Інакше перевірку відхилять, і цикл повториться, що тільки затягне процес.