«Цей сайт може завдати шкоди»: як прибрати попередження Google

Якщо відвідувачі бачать червоний екран «Оманливий сайт попереду» або у видачі під вашим сайтом зʼявилася позначка «Можливо, цей сайт було зламано», причина майже завжди одна: сайт зламали, і Google помітив це раніше за вас. Зняти попередження кнопкою не можна: спершу треба знайти і прибрати шкідливий код, закрити вхід, і лише потім запросити перегляд. Нижче: що означає напис, де шукати причину і як правильно пройти перевірку Google, щоб позначка не повернулася.

Зміст
  1. Що означає напис
  2. Перевірте сайт зараз
  3. Чому Google помічає
  4. Помилка: перегляд одразу
  5. Де ховається причина
  6. Як вичистити і підготувати
  7. Запит на перегляд
  8. Коли кликати фахівця

Що означає цей напис

Попереджень кілька, і це різні речі. Важливо зрозуміти, яке саме у вас, бо знімаються вони по-різному:

  • Червоний екран «Оманливий сайт попереду» (Deceptive site ahead) у браузері. Це Google Safe Browsing: система вирішила, що на сайті фішинг або обман відвідувача.
  • «Цей сайт може завдати шкоди вашому компʼютеру» у видачі або при переході. Зазвичай означає шкідливий код, що заражає відвідувачів.
  • «Можливо, цей сайт було зламано» прямо в результатах пошуку, під посиланням. Google знайшов на сайті чужі сторінки або спам.
  • Повідомлення в Search Console, розділ «Проблеми безпеки»: malware, соціальна інженерія або небажане ПЗ.

У всіх випадках джерело одне: на сайті зʼявилося те, чого там бути не повинно. Позначка це наслідок, а не причина.

Перевірте сайт прямо зараз

Інструмент відкриє ваш сайт ззовні так, як його бачать пошуковий робот і відвідувач із телефону. Часто саме їм показують шкідливий код або редирект, поки вам сайт відкривається нормально. Дефейс, мобільний редирект, клоакінг і застарілу CMS буде видно одразу. Доступ до сайту не потрібен.

Перевіряю: дефейс, мобільний редирект, клоакінг, версію CMS та її актуальність.

Перевіряю сайт ззовні...

Статус саме в Google Safe Browsing можна подивитися в Google Transparency Report: введіть адресу сайту і побачите, чи його позначено.

Чому Google помічає сайт

Safe Browsing постійно сканує сайти і ділить загрози на кілька типів. Найчастіше у зламаного сайту спрацьовує один із них:

  • Шкідливе ПЗ (malware). У код вбудовано скрипт, що заражає або атакує відвідувачів.
  • Соціальна інженерія (фішинг). На сайті зʼявилися підроблені форми чи сторінки, що виманюють дані.
  • Небажане ПЗ і переадресація. Відвідувачів уводить на казино, аптеки або завантаження сумнівних файлів.

Google рідко помиляється: якщо позначка зʼявилася, на сайті майже напевно є злом. Трапляються і хибні спрацьовування, але починати завжди треба з перевірки, а не зі суперечки.

Головна помилка: одразу тиснути «Запросити перевірку»

Побачивши позначку, власник першим ділом хоче зайти в Search Console і натиснути «Запросити перевірку». Якщо шкідливий код ще на сайті, перевірка це підтвердить, і позначка залишиться. Гірше того, часті повторні запити без виправлень уповільнюють розгляд.

Порядок лише такий: спершу знайти і прибрати причину, закрити вхід, переконатися, що сайт чистий, і тільки потім запитувати перегляд. Перегляд це не кнопка зняття позначки, а повторна перевірка сайту роботом Google.

Де зазвичай ховається причина

Шкідливий код майже ніколи не лежить на видному місці. Типові місця, які треба перевірити:

  • Умовний редирект. Код спрацьовує лише для мобільних або лише при переході з пошуку. З компʼютера сайт відкривається нормально, тому власник нічого не помічає.
  • Клоакінг для Googlebot. Роботу віддається одна сторінка, відвідувачу інша. Саме це Safe Browsing і ловить.
  • Інʼєкція в шаблон або базу. Скрипт додано у файли активної теми або в параметри шаблона в базі даних.
  • Правила в .htaccess. Редиректи й умови прямо на рівні сервера, файли при цьому чисті.

Тому антивірус хостингу часто каже «все чисто»: він перевіряє файли за сигнатурами, а код сидить у базі або в правилах сервера. Тиша сканера не означає, що сайт у порядку.

Як вичистити і підготувати до перегляду

Порядок, який реально прибирає причину, а не лише симптом:

  1. Змініть усі паролі: адмінка, FTP і SSH, база, панель хостингу.
  2. Перевірте .htaccess, index.php і файли активного шаблона: інʼєкція зазвичай у перших рядках.
  3. Перевірте базу: у WordPress це wp_options і wp_posts, у Joomla параметри шаблона в #__template_styles.
  4. Знайдіть і видаліть веб-шели: незнайомі .php-файли, часто в папках uploads чи media.
  5. Закрийте вхід: оновіть CMS і розширення, видаліть невикористовувані, перевірте завдання cron.
  6. У Search Console відкрийте «Проблеми безпеки» і подивіться приклади заражених URL від самого Google. Це підказка, де шукати.

Запит на перегляд у Google

Коли сайт справді чистий, можна запитувати перевірку:

  • Search Console, розділ «Безпека та дії, вжиті вручну», далі «Проблеми безпеки».
  • Переконайтеся, що всі проблеми усунено, позначте це і натисніть «Запросити перевірку».
  • Коротко опишіть, що зроблено: що прибрали, де була точка входу, що закрили. Це прискорює розгляд.
  • Терміни: для шкідливого ПЗ зазвичай від кількох годин до пари днів, для соціальної інженерії довше. Червоний екран у браузері знімається автоматично після перекласифікації.
  • Не надсилайте перегляд повторно щодня: це не прискорює, а уповільнює.

Якщо сайт на момент перевірки знову виявився зараженим, позначку не знімуть. Тому так важливо спершу закрити вхід.

Коли кликати фахівця

Має сенс не гаяти час самому, якщо:

  • ви вже чистили, але позначка повернулася;
  • код у базі або в .htaccess, а антивірус хостингу мовчить;
  • з компʼютера сайт відкривається нормально, а Google все одно помічає його (умовний редирект або клоакінг);
  • перегляд уже відхиляли;
  • робочої чистої резервної копії немає.

Знаходжу причину позначки, вичищаю сайт на будь-якій CMS, закриваю точку входу і допомагаю правильно пройти перегляд Google, щоб позначка не повернулася. Діагностика безкоштовна. Працюю з власниками сайтів з України, Польщі та з російськомовними в ЄС. З юридичними особами, зареєстрованими в Росії, не працюю: це обмеження санкцій ЄС.

Докладніше і заявка

Часті запитання

Скільки знімається попередження після перегляду?

Для шкідливого ПЗ зазвичай від кількох годин до одного-трьох днів. Для соціальної інженерії (фішингу) довше. Червоний екран у браузері знімається автоматично після того, як Google перекласифікує сайт як безпечний. Прискорити кнопкою не можна.

Я натиснув «Запросити перевірку», але позначка повернулася. Чому?

Отже, на момент перевірки на сайті все ще був шкідливий код або його встигли залити знову. Перегляд це повторне сканування роботом, а не зняття позначки по кнопці. Якщо вхід не закрито, сайт заражають знову, і перевірка це фіксує.

Попередження лише в Chrome. У мене вірус на компʼютері?

Ні. Це Google Safe Browsing, спільна база, яку використовують Chrome, Firefox і Safari. Проблема на сайті, а не у вашому браузері чи компʼютері. Тому попередження бачать усі відвідувачі, а не тільки ви.

Сайт позначено, але я заходжу і нічого поганого не бачу. Як так?

Частий випадок: шкідливий код показується лише пошуковому роботу або лише з мобільних (клоакінг, умовний редирект). Вам сайт відкривається нормально, а Googlebot і відвідувачі з телефону отримують заражену версію. Саме це Safe Browsing і ловить.

Чи можна прискорити зняття позначки?

Окремої кнопки прискорення немає. Єдине, що реально впливає на термін: щоб на момент перегляду сайт був по-справжньому чистий і вхід було закрито. Інакше перевірку відхилять, і цикл повториться, що тільки затягне процес.

Telegram