Взломали сайт на Joomla: что делать
Летом 2026 года по сайтам на Joomla прокатилась волна массовых автоматических взломов. Атакуют не вручную и не выбирая жертв: боты обходят интернет, находят уязвимое расширение и загружают веб-шелл за секунды. Если ваш сайт вдруг начал перекидывать посетителей на чужие страницы, раздавать спам или показывать надпись «Hacked by...», ниже разберём по шагам, что делать прямо сейчас и как вернуть контроль.
- Как понять, что сайт действительно взломали
- Почему летом 2026 массово ломают Joomla
- Первый час: что сделать сразу
- Как вычистить сайт правильно
- Восстановление из бэкапа: когда это работает
- Как закрыть дыру, чтобы не повторилось
- Когда стоит позвать специалиста
Как понять, что сайт действительно взломали
Иногда взлом виден сразу: вместо главной страницы чужая надпись. Но чаще он тихий и работает неделями, а вы узнаёте о нём последним. Вот признаки, по которым заражение выдаёт себя:
- Сайт перекидывает посетителей на посторонние страницы (казино, аптеки, сомнительные загрузки), особенно при переходе из поиска или с телефона.
- В поиске под вашим сайтом появились чужие страницы или иероглифы, а Google показывает «Этот сайт может быть взломан».
- В админке завелись пользователи с правами Super User, которых вы не создавали.
- Хостинг прислал уведомление о вредоносном коде или необычной нагрузке, иногда с приостановкой аккаунта.
- Сервер рассылает спам без вашего ведома, а IP почты попал в чёрные списки RBL.
- В папках media, images, tmp появились незнакомые PHP-файлы, файлы с двойным расширением (.xml.php) или странным регистром (.pHp).
- Органический трафик резко упал: страницы вылетели из индекса или помечены как небезопасные.
Даже один пункт из списка это повод для полной проверки. Часто взлом работает избирательно: обычному посетителю сайт кажется нормальным, а редирект срабатывает только для тех, кто пришёл из Google, или только один раз с одного устройства. Поэтому «у меня всё открывается» ещё не значит «всё чисто».
Почему летом 2026 массово ломают Joomla
Дело почти никогда не в самом ядре Joomla, оно как раз защищено неплохо, а в популярных сторонних расширениях. За короткий срок раскрыли сразу несколько критических уязвимостей (CVSS до 10.0), которые позволяют неаутентифицированную загрузку и выполнение PHP-кода. То есть полный захват сайта без всякого пароля:
- JCE (Joomla Content Editor): CVE-2026-48907, закрыто в версии 2.9.99.5.
- SP Page Builder: CVE-2026-48908, закрыто в 6.6.2.
- iCagenda: CVE-2026-48939, закрыто в 4.0.8 и 3.9.15.
- Page Builder CK: CVE-2026-56290, закрыто в 3.6.0.
Часть из них эксплуатировали как 0-day, ещё до выхода патча, и все внесены в каталог активно эксплуатируемых уязвимостей CISA (KEV). Эксплойты публичны, а атаки идут ботами по всему интернету. Поэтому довод «у меня маленький сайт, кому он нужен» не работает: ботам всё равно, какой у вас трафик, они бьют по признаку «установлено уязвимое расширение».
Масштаб подтверждают и национальные центры кибербезопасности. 9 июля 2026 года Австралийский центр кибербезопасности (ACSC) предупредил о крупной продолжающейся глобальной кампании: злоумышленники массово сканируют сайты на CMS и ставят веб-шеллы, и Joomla JCE прямо назван в списке уязвимого софта. ACSC отмечает, что кампанию, вероятно, ускоряет ИИ, сокращая время от раскрытия уязвимости до атаки до считаных часов.
Отдельная заметная волна это дефейсы главной страницы с подписью «Hacked by AntonKill». Профильные источники по Joomla связывают её прежде всего с уязвимостью фреймворка шаблонов Helix3 от JoomShaper (CVE-2026-49049): вредоносный код внедряется прямо в параметры шаблона в базе данных, поэтому чистки одних только файлов бывает недостаточно.
Первый час: что сделать сразу
Задача первого часа не «вылечить», а остановить ущерб и сохранить возможность спокойно разобраться. По порядку:
- Смените пароли. Администратор Joomla, доступы к хостингу и панели, FTP/SFTP и база данных. Если один пароль использовался в нескольких местах, меняйте везде.
- Закройте сайт от посетителей. Переведите его в режим обслуживания (офлайн в Joomla) или временно отдавайте заглушку. Это защитит посетителей от редиректов и вредоноса и остановит рассылку спама.
- Сохраните улики. Скачайте свежие логи сервера (access и error) и сделайте полный архив сайта и дамп базы «как есть», до чистки. По логам находят и время, и способ проникновения.
- Проверьте администраторов. Заблокируйте или удалите аккаунты с правами Super User, которые вы не создавали. Заодно посмотрите, не подменили ли почту у вашего собственного аккаунта.
- Предупредите хостинг. Многие хостеры помогают с первичной диагностикой, дают доступ к своим сканерам и, что важно, не блокируют аккаунт, если видят, что вы уже занимаетесь проблемой.
- Найдите последний чистый бэкап. Проверьте, есть ли резервная копия за период до заражения. От этого зависит, каким путём пойдёт восстановление.
Как вычистить сайт правильно
Главная ошибка звучит так: «нашёл один странный файл, удалил, успокоился». Веб-шелл почти всегда не один: рядом лежат копии-закладки, а в базе и в легитимных файлах сидят вставки, которые восстанавливают доступ. Чистка это система, а не одно действие.
1. Найти и убрать веб-шеллы
Ищите свежие и подозрительные PHP-файлы там, где их быть не должно: в images, media, tmp, cache. Признаки: двойное расширение (.xml.php), нестандартный регистр (.pHp), недавняя дата изменения, а также PHP с функциями eval, base64_decode, gzinflate, assert и preg_replace с модификатором /e. Такие вставки почти всегда вредоносные.
2. Сверить файлы с чистой копией
Надёжнее всего сравнить файлы сайта с эталоном: скачайте чистую Joomla вашей версии и те же расширения из официальных источников и сверьте. Всё, что отличается в ядре и в файлах расширений, кандидат на замену. Свои правки (шаблон, конфигурацию) при этом держите отдельно.
3. Почистить базу данных
Проверьте базу на инъекции: в параметрах шаблонов (особенно Helix3), в статьях, в модулях и в системных плагинах. Ищите теги script и iframe, вставки с document.write и подключение внешних доменов. Заодно проверьте таблицу пользователей и таблицу расширений: там прячут и скрытых админов, и вредоносные плагины, которые заново создают шеллы.
4. Проверить точки закрепления
Загляните в .htaccess (правила редиректа и подключение PHP), в запланированные задачи (cron) и в системные плагины Joomla, которые срабатывают на каждой загрузке. Именно здесь чаще всего оставляют «второй ключ», чтобы вернуться после чистки.
Восстановление из бэкапа: когда это работает
Бэкап это самый быстрый путь, но только при двух условиях: копия сделана заведомо до заражения и вы точно знаете, через что зашли. Если восстановить сайт и не обновить уязвимое расширение, повторное заражение это вопрос часов.
Сложность в том, что взлом часто замечают спустя недели, и все свежие бэкапы уже содержат шелл. Тогда чистая копия есть, но она слишком старая: с тех пор появились новые статьи, заказы, настройки. В этом случае оптимально комбинировать: развернуть старую чистую копию как основу, аккуратно перенести на неё свежий контент из базы (предварительно проверив его) и обязательно обновить всё, через что могли зайти.
И отдельно про будущее: бэкап полезен ровно настолько, насколько он существует и проверен. Резервные копии должны создаваться автоматически, храниться отдельно от сайта (чтобы шифровальщик или дефейс их не затронул) и хотя бы иногда разворачиваться на тест, чтобы убедиться, что они рабочие.
Как закрыть дыру, чтобы не повторилось
Вычистить сайт это половина работы. Если не убрать причину, всё повторится. Базовый набор защиты:
- Обновляйте Joomla и все расширения вовремя. Большинство взломов 2026 года это не «хитрая атака», а вход через расширение, для которого патч уже вышел. Удалите то, чем не пользуетесь: каждое лишнее расширение это лишняя дверь.
- Включите двухфакторную аутентификацию для админ-аккаунтов и уберите очевидные логины вроде admin.
- Настройте права на файлы и папки правильно (обычно 644 на файлы, 755 на папки) и запретите выполнение PHP в папках загрузок (media, images), где его быть не должно.
- Поставьте сайт за Cloudflare или другой WAF: он отсекает часть автоматических атак и сканеров ещё до того, как они дойдут до Joomla.
- Делайте автоматические бэкапы с хранением отдельно от сайта и проверяйте их.
- Уберите с сервера следы разработки: старые копии, тестовые скрипты, забытые phpMyAdmin и архивы. Часто именно они и становятся входом.
Когда стоит позвать специалиста
Многое из перечисленного реально сделать самому, особенно если взлом заметили рано и есть свежий чистый бэкап. Но есть ситуации, где промедление и полумеры обходятся дороже, чем помощь:
- Вредонос возвращается после каждой чистки: значит, пропущена закладка или не закрыта исходная дыра.
- Нет чистого бэкапа, а на сайте живой контент и заказы, которые нельзя потерять.
- Хостинг заблокировал аккаунт или сайт помечен в Google как «небезопасный», и нужно быстро пройти повторную проверку.
- Дефейс сидит в базе (тот самый Helix3 и «AntonKill»), где чистки файлов недостаточно.
- Сайт коммерческий, и каждый день простоя это потерянные заявки и позиции.
Если это ваш случай, я восстанавливаю сайты на Joomla после взлома под ключ: нахожу и убираю шеллы и редиректы, чищу базу, закрываю уязвимость, возвращаю сайт в поиск и настраиваю защиту, чтобы не повторилось. Подробнее об услуге и ценах на странице восстановление сайта после взлома. Диагностику делаю бесплатно, ещё до начала работ.
Частые вопросы
Как понять, что сайт на Joomla взломали?
Главные признаки: редиректы на чужие сайты (особенно из поиска и с телефона), незнакомые PHP-файлы в папках media и images, новые пользователи с правами Super User, жалобы хостинга на вредонос, спам-рассылка с сервера и пометка «Этот сайт может быть взломан» в Google. Даже один такой признак это повод для полной проверки.
Что делать в первую очередь, если сайт заражён?
Смените все пароли (админ, хостинг, FTP, база), закройте сайт в режим обслуживания, сохраните логи и полный бэкап «как есть» для разбора, удалите незнакомых администраторов и предупредите хостинг. Не восстанавливайтесь из бэкапа сразу: сначала нужно понять, через что зашли, иначе заразят снова.
Почему летом 2026 года массово ломают сайты на Joomla?
Из-за серии критических уязвимостей в популярных расширениях (JCE, SP Page Builder, iCagenda, Page Builder CK) и во фреймворке шаблонов Helix3. Они позволяют загрузить и выполнить PHP-код без пароля. Эксплойты публичны, атаки ведут боты автоматически, поэтому под удар попадают даже маленькие сайты.
Можно ли просто удалить вирусный файл, и всё?
Почти никогда. Веб-шелл редко бывает один, а доступ часто закрепляют в базе, в .htaccess, в cron и в системных плагинах. Если удалить один файл и не закрыть уязвимость, сайт заразят повторно. Нужна системная чистка плюс устранение причины.
Поможет ли восстановление из резервной копии?
Да, если копия сделана до заражения и вы закрыли уязвимость. Проблема в том, что взлом часто замечают поздно, и свежие бэкапы уже заражены. Тогда берут старую чистую копию как основу и переносят на неё проверенный свежий контент, обязательно обновив уязвимые расширения.
Что такое «Hacked by AntonKill» и чем это опасно?
Это массовая волна дефейсов главной страницы Joomla-сайтов в 2026 году, которую связывают с уязвимостью шаблонов Helix3 (CVE-2026-49049). Особенность в том, что вредоносный код сидит в параметрах шаблона в базе данных, поэтому чистки одних файлов недостаточно: нужно чистить и базу.
Как защитить сайт на Joomla от повторного взлома?
Вовремя обновляйте ядро и расширения, удаляйте неиспользуемые, включите двухфакторную аутентификацию, настройте права файлов и запрет PHP в папках загрузок, поставьте сайт за Cloudflare или другой WAF и делайте автоматические бэкапы с хранением отдельно от сайта.
Сколько стоит восстановить сайт после взлома?
Зависит от масштаба: иногда достаточно вычистить шеллы и обновить пару расширений, иногда нужна полная пересборка из чистой копии с переносом контента. Я оцениваю после бесплатной диагностики, когда виден реальный объём. Написать можно в Telegram, отвечаю в течение рабочего дня.
Не получается вычистить сайт самостоятельно?
Помогу восстановить Joomla после взлома: уберу шеллы и редиректы, закрою дыру, верну сайт в поиск. Диагностика бесплатно, отвечу в течение рабочего дня.