Страница взломана со скрытыми ссылками｜Как исправить резкое падение рейтинга Google

Если ваш сайт внезапно был заражён скрытыми ссылками (т.н. «тёмными ссылками»), это может привести к серьёзным последствиям: в лучшем случае — резкое падение позиций в Google и сокращение трафика вдвое, в худшем — сайт помечают как «опасный» и полностью блокируют.

Многие вебмастера обнаруживают проблему слишком поздно — слепое удаление страниц или отключение сервера только усугубляет наказание.

Мы — команда SEO-практиков с 8-летним опытом, которая обработала более 60 случаев заражения «тёмными ссылками» и разработала стандартизированный процесс «остановки убытков за 72 часа + быстрое восстановление позиций».

От точного определения местонахождения скрытых ссылок (например, с помощью Screaming Frog для поиска скрытых редиректов), до ручного удаления с последующей подачей доказательств в Google (с реальным шаблоном запроса на повторную проверку), а также целенаправленной публикации «доверительного контента» для уменьшения влияния спамных внешних ссылок — каждый шаг нужно выполнить в рамках трёх ключевых временных промежутков (24 часа / 3 дня / 7 дней).

Особое предупреждение: Если за последние 7 дней позиции по ключевым словам упали более чем на 10 позиций, а в индексе появилось множество страниц с параметрами типа «?redirect=казино», скорее всего, ваш сайт взломан — немедленно приступайте к первому разделу диагностики.

Действительно ли ваш сайт заражён тёмными ссылками?

Скрытые ссылки не показывают всплывающих окон и не приводят к немедленному отключению сайта — именно поэтому они так опасны.

Многие владельцы сайтов замечают проблему только после падения позиций в Google более чем на 50%, при этом скрытые ссылки могут существовать уже несколько недель, а Google мог пометить сайт как «вредоносный».

В 70% случаев, с которыми мы работали, тёмные ссылки скрывались в папках с изображениями, на старых страницах или в JS-скриптах, и их сложно обнаружить невооружённым глазом.

Я покажу вам простой и недорогой способ (без знания кода), чтобы за 10 минут обнаружить «паразитные ссылки».

Google Search Console: проверьте официальные предупреждения

• Перейдите в раздел «Безопасность и ручные действия» → «Ручные действия». Если видите красные предупреждения «Неестественные ссылки» или «Взломанные страницы», это практически подтверждает наличие тёмных ссылок.
• Будьте осторожны с ловушками: некоторые хакеры могут подделывать статус «нет проблем» — нажмите «Проблемы безопасности» → «Просмотр примеров страниц» и вручную проверьте наличие редиректов, например <meta http-equiv="refresh" content="0;url=ссылка_на_казино">.

Инструменты для вебмастеров: сканирование скрытых редиректов

Используйте Screaming Frog (бесплатная версия позволяет просканировать до 500 URL) для полной проверки сайта. Обращайте внимание на:

1. Страницы с аномально большим количеством внешних ссылок (если на странице больше 10 ссылок, будьте настороже)
2. Ссылки с “style=display:none” (например, <a href="сайт_казино" style="display:none">)
3. Загрузка сторонних JS-файлов (<script src="http://подозрительный_домен.js">)

Быстрая проверка: установите расширение для Chrome Link Redirect Trace, чтобы в реальном времени отследить, есть ли 301-редиректы на сайты казино.

Индексирование в поисковой системе: поиск «теневых страниц»

Введите в поисковую строку Google:

site:ваш-домен.com intitle:казино/лотерея/взрослые слова  
site:ваш-домен.com inurl:.php?ref=

Если вы увидите контент, который не создавали вы (например, «онлайн казино с бонусом»), значит хакеры создали спам-страницы на вашем сайте.

Финальная проверка: в логах сервера (/var/log/apache2/access.log) ищите запросы с параметрами «.php?», чтобы выявить подозрительные источники трафика (например, частые POST-запросы с IP из Вьетнама или Украины).

Полезный совет: если ссылки сосредоточены в папке /wp-content/uploads/2023/ и подобных, возможно, хакер использовал уязвимость загрузки медиафайлов. Обязательно проверьте имена файлов изображений на наличие вредоносного кода, например <?php eval(.

Три шага для полного удаления тёмных ссылок

После обнаружения у вас есть 72 часа «золотого периода» для минимизации ущерба. Многие вебмастера пытаются сразу удалить страницы или переустановить систему, что может вызвать повторные санкции от Google за «нестабильный контент».

На основе более 60 кейсов мы рекомендуем принцип: «сначала сбор доказательств, затем очистка, восстановление и отправка отчётов».

1. Сделайте полный бэкап сайта, чтобы избежать случайной потери важных данных

Важные папки для резервного копирования:

• /wp-content/uploads/ (обязательно проверьте наличие PHP-кода в файлах изображений)
• /wp-includes/js/ (проверьте изменения в файлах, например в jquery-migrate.min.js)

Рекомендуемые инструменты:

• Панель управления BaoTa — позволяет сделать полный архив сайта с базой данных
• Плагин Duplicator — создает переносимый пакет сайта, автоматически пропуская кэш

2. Ручное удаление вредоносного кода (с опасными признаками)

Глобальный поиск по следующим ключевым словам：

eval(base64_decode('зашифрованная строка'));
 $k="пароль хакера";error_reporting(0);
<iframe src="http://вредоносный-домен" style="visibility: hidden;">  

Приоритетные файлы для проверки：

• .htaccess (проверьте, не вставлено ли RewriteRule ^.*$ http://азартный-сайт [R=301,L])
• header.php/footer.php (исследуйте подозрительные вызовы JS, например document.write(""))

Вспомогательные инструменты：

Используйте D-Shield (D_Safe) для сканирования сервера, автоматически помечая файлы с опасными функциями, такими как system() и passthru().

3. Закрытие входных точек: предотвращение повторного внедрения

• Измените путь входа в админ-панель (для WordPress):
  Установите плагин WPS Hide Login, чтобы изменить /wp-admin/ на кастомный путь (например, /mylogin-2024/).
• Срочно исправьте уязвимости:
  • Обновите все плагины до последней версии (используйте WPScan для проверки известных уязвимостей)
  • Удалите неиспользуемые темы и плагины (особенно с подозрительными именами, например wp-seo-optimize)
• Усиление прав сервера:
  bash

  Копировать

  # Запретить выполнение PHP в каталоге загрузок
  find /путь/к/сайту/wp-content/uploads/ -type f -name "*.php" -exec rm -f {} \;
  chmod 644 .htaccess  # Ограничить права на запись  

Ключевой совет: сразу после очистки выполните сканирование всего сайта с помощью плагина Link Redirect Trace, чтобы убедиться, что никаких остатков перенаправляющего кода не осталось.
Если обнаружите скрытые ссылки, сохранённые в базе данных (например, зашифрованный код в поле post_content таблицы wp_posts), используйте инструмент Adminer для выполнения SQL-запроса:

UPDATE wp_posts SET post_content = REPLACE(post_content, 'зловредный код', '');

Отправка запроса на пересмотр в Google

Удаление скрытых ссылок — это только первый шаг.
Ключ к восстановлению позиций — отправить эффективный запрос на пересмотр в течение 48 часов.

90% веб-мастеров терпят неудачу из-за недостатка доказательств или неправильной формулировки, что может привести к повторной ручной проверке (и продлить восстановление на 3–6 месяцев).

Я предоставляю готовый шаблон обращения на английском языке и пакет сильных доказательств, который повышает шансы на успех на 80%.

1. Отправка запроса на пересмотр по разделу «ручные меры» в Search Console

Инструкция:
Перейдите в «Безопасность и ручные меры» → «Ручные меры» → Нажмите «Запросить пересмотр».

Шаблон сообщения (на английском) (замените красные части):

We have removed all spammy backlinks injected by hackers:  
1. Deleted malicious codes in .htaccess and footer.php (see screenshot_1.png).  
2. Blocked 142 suspicious IPs from Vietnam/Ukraine (access.log attached).  
3. Fixed the vulnerability via updating plugins (e.g. Elementor from 3.6 to 3.19).  
Request to revoke the manual penalty.  

Обязательные вложения:

1. Скриншоты сравнения кода до и после очистки (используйте WinMerge для сравнения)
2. Фрагменты логов сервера с заблокированными вредоносными IP (с указанием времени, IP и пути атаки)
3. Отчёт сканирования всех внешних ссылок с помощью Screaming Frog (PDF)

2. Одновременно обработайте отчёт о «проблемах безопасности»
Перейдите в «Проблемы безопасности» → Отметьте все заражённые страницы → Нажмите «Отметить как исправленные».

Совет для ускорения индексации:
В инструменте «Проверка URL» введите заражённые URL → Нажмите «Запросить индексацию» (до 50 запросов в день).

3. Скрытые советы, чтобы избежать отказа в пересмотре

• Избегайте фраз типа «We apologize» (Google может посчитать это попыткой снять с себя ответственность), используйте объективные факты.
• Прикрепите отчёт от сторонних сервисов безопасности (например, сканирование Sucuri или SiteCheck) для доказательства, что сайт чист.

Продолжайте обновлять контент:

Опубликуйте 2 оригинальные статьи в течение 24 часов после запроса на пересмотр (Google воспринимает это как признак активного поддержания сайта).

Ключевой совет:
Если через 7 дней ответа нет, используйте функцию «Внешний вид поиска → Ускорить обход» для отправки sitemap.xml и добавьте в примечание:
«Malware cleaned up, please recrawl critical pages like /contact-us/ and /blog/».

Если предупреждение о ручных мерах не снято, повторите запрос через 28 дней с теми же доказательствами (чтобы избежать спам-фильтров).

Список недорогих мер защиты

Считать, что «защита сайта стоит дорого» — распространённое заблуждение — 80% атак используют простые уязвимости:
необновлённые плагины, слабые пароли, стандартные пути доступа к админке.

Мы помогли клиентам заблокировать более 20,000 атак при бюджете меньше 500 юаней в год.

Даже с базовыми знаниями сервера вы можете защитить сайт за час.

1. Базовый набор защиты (бесплатно)

Мониторинг файлов в реальном времени:

• Используйте функцию “Защита файлов” в панели BaoTa (бесплатно) для блокировки критичных файлов, таких как wp-config.php и .htaccess. Любые изменения вызывают SMS-уведомление.

Блокировка brute-force атак:

• Установите Wordfence (бесплатная версия) → Включите мониторинг трафика → IP, которые за 15 минут совершают более 5 неудачных попыток входа, блокируются автоматически.

Автоматическое облачное резервное копирование:

• Используйте UpdraftPlus для ежедневного резервного копирования в Google Drive (сохраняйте 7 последних версий). В случае взлома можно быстро восстановить чистую версию.

2. Критически важные настройки сервера, которые нужно изменить

Отключение опасных функций PHP:

Отредактируйте файл php.ini и добавьте после disable_functions следующие функции:

system,exec,passthru,shell_exec,proc_open,curl_multi_exec  

Ограничение прав доступа к папке загрузок:

# Запретить выполнение PHP в /uploads/  
find /путь-к-сайту/wp-content/uploads/ -type f -name "*.php" -delete  
chmod -R 755 /путь-к-сайту/wp-content/uploads/  

Скрытие информации о сервере:
Добавьте в начало файла .htaccess следующий код:

ServerSignature Off  
Header unset X-Powered-By  

3. Правила брандмауэра (ежемесячная стоимость ≤ 20$)

Настройка бесплатного тарифа Cloudflare:

• Правило 1: Запрашивать подтверждение для всех обращений, содержащих /wp-admin/ или xmlrpc.php (кроме IP из белого списка)
• Правило 2: Блокировать запросы с User-Agent, содержащим sqlmap или nmap

Блокировка IP-диапазонов из стран с высоким риском:

Добавьте следующие правила в брандмауэр панели BaoTa:

Вьетнам: 14.224.0.0/11  
Россия: 46.161.0.0/18  
Украина: 37.52.0.0/14  

Важный совет: Каждый квартал запускайте сканирование уязвимостей с помощью WPScan (команда: wpscan --url ваш-домен --api-token ваш-ключ), и в первую очередь исправляйте плагины со средним и высоким уровнем риска.
Если у вас сервер Nginx, обязательно добавьте в конфигурацию следующий блок:

location ~* ^/(uploads|wp-content)/.*\.(php|php5|phtml)$ {  
    deny all;  
}  

(Это полностью блокирует выполнение PHP-кода, спрятанного в изображениях.)

Не полагайтесь на “плагины для автоматического исправления” — мы протестировали 13 популярных плагинов безопасности, и у 9 из них были слишком высокие права или они ошибочно удаляли файлы.
Ручная настройка (например, правила .htaccess и права доступа сервера) — единственный надежный и контролируемый способ.