Чужа реклама та редиректи
Сайт відкривається зі сторонніми банерами або перекидає відвідувачів на казино, аптеку чи сумнівні сторінки, особливо з телефонів і з пошуку.
Joomla · Екстрена допомога · Безпека
Я Артем, спеціалізуюся на Joomla. Якщо сайт редиректить відвідувачів на казино, у видачі з'явилися чужі сторінки, а хостинг надіслав лист про шкідливий код, я знайду і приберу вебшели, вичищу ін'єкції з файлів і бази, видалю фальшивих адміністраторів і закрию точку входу, щоб злом не повернувся за день. Починаю завжди з діагностики.
Сайт лежить або заражений прямо зараз? Термінові випадки беру в роботу насамперед.
Написати заразТак виглядає злом з боку власника сайту. Якщо впізнали хоча б один пункт, сайт, найімовірніше, заражений, і працювати треба швидко, поки не зросли втрати трафіку та репутації.
Сайт відкривається зі сторонніми банерами або перекидає відвідувачів на казино, аптеку чи сумнівні сторінки, особливо з телефонів і з пошуку.
У Google і Яндексі замість ваших сторінок з'явилися чужі: ієрогліфи, товари, таблетки. Це класичний пошуковий спам, впроваджений через злом.
Пошук або браузер показує попередження «Цей сайт може бути зламано» або блокує перехід. Відвідувачі йдуть, не відкривши сайт.
Хостинг призупинив акаунт за розсилку спаму або знайдений шкідливий код. Сайт і пошта не працюють, поки зараження не прибрано.
В адмінці з'явилися невідомі супер-користувачі, увімкнулася реєстрація, паролі перестали підходити.
Замість сайту сторінка зломщика або чужі банери. Влітку 2026 масово ходить дефейс з підписом «Hacked by AntonKill».
Швидкий чек-лист. Перевірте самі: що більше збігів, то вища ймовірність зараження.
Літо 2026 року стало для Joomla часом масових автоматизованих атак, і причина здебільшого не в ядрі, а в популярних розширеннях. Одна за одною були розкриті критичні вразливості (CVSS до 10.0), які дозволяють неавтентифіковане завантаження і виконання PHP-коду, тобто повний захват сайту без пароля: JCE / Joomla Content Editor (CVE-2026-48907, фікс у 2.9.99.5), SP Page Builder (CVE-2026-48908, фікс у 6.6.2), iCagenda (CVE-2026-48939, фікс у 4.0.8 і 3.9.15) та Page Builder CK (CVE-2026-56290, фікс у 3.6.0). Частина експлуатувалася як 0-day, ще до виходу патча, і всі внесені CISA до каталогу активно експлуатованих вразливостей (KEV). Експлойти публічні, атаки йдуть ботами по всьому інтернету, тому закрита реєстрація і малий трафік від зараження не рятують.
Масштаб видно і на рівні національних CERT. 9 липня 2026 року Австралійський центр кібербезпеки (ACSC) попередив про велику триваючу глобальну кампанію: зловмисники масово сканують сайти на CMS і встановлюють вебшели, і в списку вразливого софту прямо названий Joomla JCE. ACSC припускає, що кампанія прискорюється за рахунок ШІ, який скорочує час від розкриття вразливості до атаки. Паралельно йде хвиля дефейсів головної сторінки з підписом «Hacked by AntonKill»: профільні джерела по Joomla пов'язують її передусім з окремою вразливістю фреймворку шаблонів Helix3 від JoomShaper (CVE-2026-49049), через яку шкідливий код впроваджується прямо в параметри шаблону в базі. Оцінки числа заражених поки приблизні: наприклад, сервіс mySites.guru спостерігав сотні майданчиків, але це оцінка одного джерела, а не перевірений підсумок.
При цьому більшість реальних зломів Joomla, як і раніше, відбувається не через свіжі 0-day, а зі скучних причин: застарілі ядро і розширення, слабкі або повторно використовувані паролі адміністратора (двофакторна автентифікація в Joomla є, але за замовчуванням вимкнена), піратські (nulled) шаблони і компоненти з уже вшитим бекдором, а також витеклі доступи до хостингу, FTP і бази. За оцінками Sucuri, більшість зломів CMS припадає саме на вразливі сторонні розширення, а не на саме ядро. Окремо варто пам'ятати про стару, але все ще активно скановану дірку ядра Joomla 4.x CVE-2023-23752: витік логіна і пароля бази через API, закриту ще у 4.2.8.
Ключовий момент, який часто недооцінюють: встановлення оновлення закриває вхід, але НЕ видаляє те, що зловмисник уже залишив. Вебшели, фальшиві супер-адміністратори, шкідливі записи в .htaccess і завдання в cron продовжують працювати і після патча. Тому сайт, який у червні-липні 2026 хоча б недовго крутив вразливу версію розширення, потрібно не просто оновити, а повноцінно чистити і перевіряти на закріплення: за спостереженнями Google, помітна частка зламаних сайтів заражається повторно вже протягом доби, якщо не закрити початкову дірку.
Критичні дірки (CVSS до 10.0) з неавтентифікованим завантаженням PHP у JCE, SP Page Builder, iCagenda та Page Builder CK. Експлойти публічні, атаки йдуть ботами.
За оцінкою Sucuri, більшість зломів CMS припадає на неоновлені сторонні доповнення. Плюс усе ще сканована стара дірка ядра Joomla 4.x CVE-2023-23752.
Прості або повторно використовувані паролі, відсутність 2FA, витеклі доступи до хостингу, FTP і бази. Класичний вектор, якому не потрібен ніякий 0-day.
Nulled-збірки преміум-шаблонів і компонентів з неперевірених джерел часто йдуть з уже вбудованим бекдором, який активується одразу після встановлення.
ACSC 9 липня 2026 попередив про глобальну кампанію масового сканування CMS і встановлення вебшелів, можливо з прискоренням за рахунок ШІ. Ціль вибирається перебором, а не вручну.
Оновлення закриває вхід, але не прибирає вже залишені вебшели, фальшивих адмінів, правки в .htaccess і cron. Без закриття закріплення сайт швидко заражають знову.
Уражені розширення 2026 (перевірте і оновіть): JCE до 2.9.99.5+, SP Page Builder до 6.6.2+, iCagenda до 4.0.8 / 3.9.15+, Page Builder CK до 3.6.0+, Helix3 (JoomShaper) по CVE-2026-49049. Дані по NVD і каталогу CISA KEV. Оновлення обов'язкове, але одного його недостатньо: сайт потрібно ще перевірити на уже встановлені вебшели і бекдори.
Прозорий порядок робіт. Не просто «почистив і пішов»: важливо прибрати не лише симптоми, а й причину, інакше сайт заразять знову через ту саму дірку.
Перевіряю сайт віддаленими сканерами і на сервері, дивлюся Search Console, Safe Browsing і чорні списки, визначаю тип зараження. Знімаю копію поточного стану і логів як доказ. Логи копіюю першими.
Вивчаю журнали доступу: шукаю POST-запити до вразливих завдань розширень, нетипові завантаження і час першого проникнення. Так розумію, через що саме зайшли.
Завантажую офіційний чистий пакет Joomla вашої версії і порівнюю з бойовим сайтом, окремо шукаю нещодавно змінені файли. Це виявляє ін'єкції в ядро, шаблон та index.php.
Прибираю впроваджений код з файлів і таблиць БД: шукаю eval, base64_decode, gzinflate, exec, ін'єкції в index.php і параметри шаблону. За можливості замінюю заражені файли оригіналами, а не правлю вручну.
Ключовий етап. Прочісую media, images, tmp і нестандартні папки на вебшели, перевіряю .htaccess у всіх каталогах і завдання планувальника на самовідновлювані завдання. Один пропущений бекдор: швидкий повторний злом.
Переустановлюю ядро Joomla з чистого пакета, оновлюю розширення і шаблони з офіційних джерел, видаляю вразливі, невикористовувані і незнайомі компоненти за списком вразливих розширень Joomla (VEL).
Тільки після очищення видаляю фальшивих супер-адміністраторів, змінюю всі паролі, доступи до БД, FTP/SSH і хостингу, ротирую секрет configuration.php і API-ключі. Порядок важливий: поки тримаються бекдори, зміна паролів марна.
Пересканую сайт, переконуюся, що шкідливого коду і сторонніх вихідних запитів немає. Запитую перегляд у Google Search Console і Яндекс.Вебмайстрі і прошу хостинг зняти блокування.
Результат: не просто «сайт відкрився», а чистий, оновлений і захищений сайт плюс розуміння, що сталося.
Без вебшелів, редиректів, спам-сторінок і дефейсу, перевірений віддаленим і серверним сканером.
Оновлені ядро і розширення, усунена вразливість, через яку зайшли, щоб злом не повторився тим самим шляхом.
Повний знімок зламаного стану і логів, збережений окремо на випадок розгляду або спірних моментів.
Зрозумілий опис: що знайшов (файли, бекдори, чужі адміни), де була дірка, що видалено і що змінено.
Зміна паролів адміністраторів, БД, FTP/SSH і хостингу, ротація секретів configuration.php і API-ключів.
Запити на зняття міток у Google Search Console і Яндекс.Вебмайстрі, за потреби звернення до хостингу про зняття блокування.
Увімкнена 2FA для адмінів, обмеження доступу до панелі, заборона виконання PHP у папках завантажень та інші заходи після чистки.
Короткий чек-лист по оновленнях, резервних копіях і моніторингу, щоб знизити ризик повторного зараження.
Підбираю формат під ситуацію: від термінового повернення сайту в лад до повного відновлення із захистом та моніторингу.
| Формат | Коли підходить | Що входить | Термін |
|---|---|---|---|
| Екстрене лікування терміново повернути сайт |
Сайт заражений або редиректить, потрібно швидко повернути його в робочий стан. | Пошук і видалення шкідливого коду, зняття редиректів і спаму, базове закриття входу. | від кількох годин |
| Повне відновлення і захист лікування + профілактика |
Прибрати зараження і не допустити повтору. | Усе з екстреного плюс чисте ядро, оновлення, зміна доступів, зняття міток, захист і бекапи. | 1-5 днів |
| Відновлення з бекапа або перезбирання важкі випадки |
Сайт сильно пошкоджений, а резервна копія відсутня або теж заражена. | Розгортання чистої копії або перезбирання на чистому ядрі з перенесенням контенту. | за обсягом |
| Моніторинг і захист абонемент |
Тримати сайт під наглядом після лікування. | Моніторинг, оновлення, бекапи, швидка реакція на інциденти. | щомісяця |
* Точну вартість називаю після безкоштовної діагностики: вона залежить від типу зараження, розміру сайту і стану резервних копій. Роботи починаю тільки після узгодження кошторису.
Вилікувати мало: важливо закрити вхід і знизити ризик повтору. Що налаштовую в рамках повного відновлення.
Не знайшли своє запитання: напишіть у Telegram, відповім з конкретикою по вашому випадку.
Залежить від обсягу зараження: одна річ почистити один інжект в index.php, інша розібрати сайт з десятком бекдорів і фальшивими адміністраторами. Тому починаю з діагностики: дивлюся масштаб і називаю зрозумілу вартість до початку робіт, без сюрпризів по ходу.
Прості випадки (один редирект або інжект) часто закриваю за кілька годин або день. Важкі зараження з множинним закріпленням і зняттям міток Google можуть зайняти кілька днів. Після діагностики дам реальну оцінку по вашому сайту.
Найперше роблю повну резервну копію поточного стану і працюю по ній, а не наосліп по живому сайту. Контент і налаштування намагаюся зберегти повністю. Ризик є лише там, де шкідливий код фізично перезаписав файли, і про це я попереджаю заздалегідь.
Чесно: ніхто не може дати 100% гарантії у вебі. Але я закриваю не лише симптоми, а саму точку входу і все закріплення (бекдори, .htaccess, cron), тому що саме через пропущену дірку частина сайтів заражається повторно вже за добу. Плюс посилюю захист, щоб попередній шлях більше не працював.
Так, для повноцінної чистки потрібні доступи до хостингу або FTP/SSH і до адмінки Joomla, іноді до бази. Віддалений сканер бачить лише фронтенд і пропускає серверні бекдори, тому без доступу до файлів злом якісно не прибрати. Усі доступи після роботи ви змінюєте.
Ні. Оновлення закриває вхід, але не видаляє те, що зловмисник уже залишив: вебшели, чужих адмінів, правки в .htaccess і завдання cron продовжують працювати і після патча. Тому оновлення обов'язковий, але не єдиний крок.
Обережно: офіційна документація Joomla прямо попереджає, що відкат часто просто повертає злом, тому що зараження могло потрапити в резервну копію разом із сайтом. Відкочуватися варто лише на копію, завідомо зроблену до злому і перевірену на чистоту. В інших випадках надійніша чиста переустановка.
Моя основна спеціалізація Joomla, тут я знаю нюанси шаблонів, компонентів і типових місць закріплення. Загальні принципи чистки (пошук бекдорів, закриття дірки, зняття міток) застосовні і до WordPress, по ньому можу допомогти в базових випадках, але найглибше працюю саме з Joomla.
Злом часто наслідок застарілого сайту. Іноді дешевше і надійніше не латати старе, а зробити заново на чистій основі.
Опишіть ситуацію: що відбувається з сайтом, на якій він CMS і чи є доступи. Подивлюся, визначу тип зараження і точку входу і скажу, що і в які терміни потрібно зробити. Без зобов'язань замовляти далі.