Joomla · Екстрена допомога · Безпека

Відновлення сайту після злому: вичищу бекдори і закрию дірку, через яку зайшли

Я Артем, спеціалізуюся на Joomla. Якщо сайт редиректить відвідувачів на казино, у видачі з'явилися чужі сторінки, а хостинг надіслав лист про шкідливий код, я знайду і приберу вебшели, вичищу ін'єкції з файлів і бази, видалю фальшивих адміністраторів і закрию точку входу, щоб злом не повернувся за день. Починаю завжди з діагностики.

Сайт лежить або заражений прямо зараз? Термінові випадки беру в роботу насамперед.

Написати зараз

Знайома ситуація?

Так виглядає злом з боку власника сайту. Якщо впізнали хоча б один пункт, сайт, найімовірніше, заражений, і працювати треба швидко, поки не зросли втрати трафіку та репутації.

Чужа реклама та редиректи

Сайт відкривається зі сторонніми банерами або перекидає відвідувачів на казино, аптеку чи сумнівні сторінки, особливо з телефонів і з пошуку.

Спам у видачі

У Google і Яндексі замість ваших сторінок з'явилися чужі: ієрогліфи, товари, таблетки. Це класичний пошуковий спам, впроваджений через злом.

Позначка «сайт зламано»

Пошук або браузер показує попередження «Цей сайт може бути зламано» або блокує перехід. Відвідувачі йдуть, не відкривши сайт.

Блокування хостингом

Хостинг призупинив акаунт за розсилку спаму або знайдений шкідливий код. Сайт і пошта не працюють, поки зараження не прибрано.

Чужі адміністратори

В адмінці з'явилися невідомі супер-користувачі, увімкнулася реєстрація, паролі перестали підходити.

Дефейс головної

Замість сайту сторінка зломщика або чужі банери. Влітку 2026 масово ходить дефейс з підписом «Hacked by AntonKill».

Ознаки, що сайт зламано

Швидкий чек-лист. Перевірте самі: що більше збігів, то вища ймовірність зараження.

  • Сайт перенаправляє відвідувачів на сторонні сторінки (казино, ставки, фарма, дорослий контент), часто лише з мобільних або лише при переході з пошуку.
  • У видачі під вашим доменом з'явилися чужі сторінки зі спам-ключами (репліки брендів, ліки), нерідко з ієрогліфами (японський кейворд-хак) у папках з випадковими іменами.
  • Google позначає сайт як «This site may be hacked», а в браузері з'являється червоне попередження «Deceptive site ahead» або про шкідливий код.
  • У Search Console надійшло сповіщення, що сайт підтвердив як власник невідома людина, або у звіті «Проблеми безпеки» з'явилися зламані сторінки.
  • Головна сторінка підмінена повідомленням зломщика або чужими банерами (дефейс, наприклад «Hacked by AntonKill»).
  • У списку користувачів Joomla з'явилися супер-адміністратори, яких ви не створювали (правдоподібні імена, адреси на неіснуючому домені).
  • Різко впав органічний трафік через деіндексацію або блокування, відвідуваність обвалилася без видимої причини.
  • Сервер шле спам без вашого відома: вихідні листи повертаються, а IP пошти потрапляє в чорні списки RBL/DNSBL.
  • Хостинг надіслав лист про шкідливий код або надмірне навантаження, іноді з призупиненням акаунта.
  • У папках media, images, tmp з'явилися незнайомі PHP-файли, файли з подвійним розширенням (.xml.php) або дивним регістром (.pHp).

Чому зараз масово ламають Joomla

Літо 2026 року стало для Joomla часом масових автоматизованих атак, і причина здебільшого не в ядрі, а в популярних розширеннях. Одна за одною були розкриті критичні вразливості (CVSS до 10.0), які дозволяють неавтентифіковане завантаження і виконання PHP-коду, тобто повний захват сайту без пароля: JCE / Joomla Content Editor (CVE-2026-48907, фікс у 2.9.99.5), SP Page Builder (CVE-2026-48908, фікс у 6.6.2), iCagenda (CVE-2026-48939, фікс у 4.0.8 і 3.9.15) та Page Builder CK (CVE-2026-56290, фікс у 3.6.0). Частина експлуатувалася як 0-day, ще до виходу патча, і всі внесені CISA до каталогу активно експлуатованих вразливостей (KEV). Експлойти публічні, атаки йдуть ботами по всьому інтернету, тому закрита реєстрація і малий трафік від зараження не рятують.

Масштаб видно і на рівні національних CERT. 9 липня 2026 року Австралійський центр кібербезпеки (ACSC) попередив про велику триваючу глобальну кампанію: зловмисники масово сканують сайти на CMS і встановлюють вебшели, і в списку вразливого софту прямо названий Joomla JCE. ACSC припускає, що кампанія прискорюється за рахунок ШІ, який скорочує час від розкриття вразливості до атаки. Паралельно йде хвиля дефейсів головної сторінки з підписом «Hacked by AntonKill»: профільні джерела по Joomla пов'язують її передусім з окремою вразливістю фреймворку шаблонів Helix3 від JoomShaper (CVE-2026-49049), через яку шкідливий код впроваджується прямо в параметри шаблону в базі. Оцінки числа заражених поки приблизні: наприклад, сервіс mySites.guru спостерігав сотні майданчиків, але це оцінка одного джерела, а не перевірений підсумок.

При цьому більшість реальних зломів Joomla, як і раніше, відбувається не через свіжі 0-day, а зі скучних причин: застарілі ядро і розширення, слабкі або повторно використовувані паролі адміністратора (двофакторна автентифікація в Joomla є, але за замовчуванням вимкнена), піратські (nulled) шаблони і компоненти з уже вшитим бекдором, а також витеклі доступи до хостингу, FTP і бази. За оцінками Sucuri, більшість зломів CMS припадає саме на вразливі сторонні розширення, а не на саме ядро. Окремо варто пам'ятати про стару, але все ще активно скановану дірку ядра Joomla 4.x CVE-2023-23752: витік логіна і пароля бази через API, закриту ще у 4.2.8.

Ключовий момент, який часто недооцінюють: встановлення оновлення закриває вхід, але НЕ видаляє те, що зловмисник уже залишив. Вебшели, фальшиві супер-адміністратори, шкідливі записи в .htaccess і завдання в cron продовжують працювати і після патча. Тому сайт, який у червні-липні 2026 хоча б недовго крутив вразливу версію розширення, потрібно не просто оновити, а повноцінно чистити і перевіряти на закріплення: за спостереженнями Google, помітна частка зламаних сайтів заражається повторно вже протягом доби, якщо не закрити початкову дірку.

Вразливості розширень: головна причина 2026

Критичні дірки (CVSS до 10.0) з неавтентифікованим завантаженням PHP у JCE, SP Page Builder, iCagenda та Page Builder CK. Експлойти публічні, атаки йдуть ботами.

Застарілі ядро і компоненти

За оцінкою Sucuri, більшість зломів CMS припадає на неоновлені сторонні доповнення. Плюс усе ще сканована стара дірка ядра Joomla 4.x CVE-2023-23752.

Слабкі і витеклі доступи

Прості або повторно використовувані паролі, відсутність 2FA, витеклі доступи до хостингу, FTP і бази. Класичний вектор, якому не потрібен ніякий 0-day.

Піратські шаблони і розширення

Nulled-збірки преміум-шаблонів і компонентів з неперевірених джерел часто йдуть з уже вбудованим бекдором, який активується одразу після встановлення.

Автоматизація і масовість

ACSC 9 липня 2026 попередив про глобальну кампанію масового сканування CMS і встановлення вебшелів, можливо з прискоренням за рахунок ШІ. Ціль вибирається перебором, а не вручну.

Патч не дорівнює чистка

Оновлення закриває вхід, але не прибирає вже залишені вебшели, фальшивих адмінів, правки в .htaccess і cron. Без закриття закріплення сайт швидко заражають знову.

Уражені розширення 2026 (перевірте і оновіть): JCE до 2.9.99.5+, SP Page Builder до 6.6.2+, iCagenda до 4.0.8 / 3.9.15+, Page Builder CK до 3.6.0+, Helix3 (JoomShaper) по CVE-2026-49049. Дані по NVD і каталогу CISA KEV. Оновлення обов'язкове, але одного його недостатньо: сайт потрібно ще перевірити на уже встановлені вебшели і бекдори.

Як проходить відновлення

Прозорий порядок робіт. Не просто «почистив і пішов»: важливо прибрати не лише симптоми, а й причину, інакше сайт заразять знову через ту саму дірку.

Діагностика та фіксація

Перевіряю сайт віддаленими сканерами і на сервері, дивлюся Search Console, Safe Browsing і чорні списки, визначаю тип зараження. Знімаю копію поточного стану і логів як доказ. Логи копіюю першими.

Пошук точки входу за логами

Вивчаю журнали доступу: шукаю POST-запити до вразливих завдань розширень, нетипові завантаження і час першого проникнення. Так розумію, через що саме зайшли.

Звірка з чистим ядром

Завантажую офіційний чистий пакет Joomla вашої версії і порівнюю з бойовим сайтом, окремо шукаю нещодавно змінені файли. Це виявляє ін'єкції в ядро, шаблон та index.php.

Чистка файлів і бази

Прибираю впроваджений код з файлів і таблиць БД: шукаю eval, base64_decode, gzinflate, exec, ін'єкції в index.php і параметри шаблону. За можливості замінюю заражені файли оригіналами, а не правлю вручну.

Пошук і закриття всіх бекдорів

Ключовий етап. Прочісую media, images, tmp і нестандартні папки на вебшели, перевіряю .htaccess у всіх каталогах і завдання планувальника на самовідновлювані завдання. Один пропущений бекдор: швидкий повторний злом.

Чиста переустановка та оновлення

Переустановлюю ядро Joomla з чистого пакета, оновлюю розширення і шаблони з офіційних джерел, видаляю вразливі, невикористовувані і незнайомі компоненти за списком вразливих розширень Joomla (VEL).

Зміна доступів і видалення чужих адмінів

Тільки після очищення видаляю фальшивих супер-адміністраторів, змінюю всі паролі, доступи до БД, FTP/SSH і хостингу, ротирую секрет configuration.php і API-ключі. Порядок важливий: поки тримаються бекдори, зміна паролів марна.

Перевірка і зняття міток

Пересканую сайт, переконуюся, що шкідливого коду і сторонніх вихідних запитів немає. Запитую перегляд у Google Search Console і Яндекс.Вебмайстрі і прошу хостинг зняти блокування.

Що ви отримуєте

Результат: не просто «сайт відкрився», а чистий, оновлений і захищений сайт плюс розуміння, що сталося.

01

Чистий працюючий сайт

Без вебшелів, редиректів, спам-сторінок і дефейсу, перевірений віддаленим і серверним сканером.

02

Закрита точка входу

Оновлені ядро і розширення, усунена вразливість, через яку зайшли, щоб злом не повторився тим самим шляхом.

03

Резервна копія до чистки

Повний знімок зламаного стану і логів, збережений окремо на випадок розгляду або спірних моментів.

04

Звіт про зараження

Зрозумілий опис: що знайшов (файли, бекдори, чужі адміни), де була дірка, що видалено і що змінено.

05

Оновлені доступи

Зміна паролів адміністраторів, БД, FTP/SSH і хостингу, ротація секретів configuration.php і API-ключів.

06

Заявки на перегляд

Запити на зняття міток у Google Search Console і Яндекс.Вебмайстрі, за потреби звернення до хостингу про зняття блокування.

07

Базове посилення захисту

Увімкнена 2FA для адмінів, обмеження доступу до панелі, заборона виконання PHP у папках завантажень та інші заходи після чистки.

08

Рекомендації на майбутнє

Короткий чек-лист по оновленнях, резервних копіях і моніторингу, щоб знизити ризик повторного зараження.

Формати робіт і терміни

Підбираю формат під ситуацію: від термінового повернення сайту в лад до повного відновлення із захистом та моніторингу.

Формат Коли підходить Що входить Термін
Екстрене лікування
терміново повернути сайт
Сайт заражений або редиректить, потрібно швидко повернути його в робочий стан. Пошук і видалення шкідливого коду, зняття редиректів і спаму, базове закриття входу. від кількох годин
Повне відновлення і захист
лікування + профілактика
Прибрати зараження і не допустити повтору. Усе з екстреного плюс чисте ядро, оновлення, зміна доступів, зняття міток, захист і бекапи. 1-5 днів
Відновлення з бекапа або перезбирання
важкі випадки
Сайт сильно пошкоджений, а резервна копія відсутня або теж заражена. Розгортання чистої копії або перезбирання на чистому ядрі з перенесенням контенту. за обсягом
Моніторинг і захист
абонемент
Тримати сайт під наглядом після лікування. Моніторинг, оновлення, бекапи, швидка реакція на інциденти. щомісяця

* Точну вартість називаю після безкоштовної діагностики: вона залежить від типу зараження, розміру сайту і стану резервних копій. Роботи починаю тільки після узгодження кошторису.

Захист після лікування

Вилікувати мало: важливо закрити вхід і знизити ризик повтору. Що налаштовую в рамках повного відновлення.

  • Вмикаю двофакторну автентифікацію (2FA) для всіх супер-адміністраторів: у Joomla вона за замовчуванням вимкнена.
  • Обмежую доступ до папки /administrator по IP або паролю на рівні веб-сервера.
  • Вимикаю виконання PHP у папках завантажень (media, images, tmp), щоб завантажений файл не став працюючим шелом.
  • Ставлю сильні унікальні паролі для адмінів, БД, FTP/SSH і хостингу, прибираю повторне використання.
  • Закриваю неавтентифікований доступ до API-ендпоінту конфігурації на рівні сервера або Cloudflare.
  • Видаляю невикористовувані і незнайомі розширення і шаблони, залишаю лише потрібне і оновлюю з офіційних каналів.
  • Відмовляюся від піратських (nulled) шаблонів і компонентів, ставлю тільки з перевірених джерел.
  • Налаштовую регулярні резервні копії поза сервером з перевіркою відновлення і, за потреби, WAF перед сайтом.

Часті запитання

Не знайшли своє запитання: напишіть у Telegram, відповім з конкретикою по вашому випадку.

Скільки коштує відновлення сайту після злому?

Залежить від обсягу зараження: одна річ почистити один інжект в index.php, інша розібрати сайт з десятком бекдорів і фальшивими адміністраторами. Тому починаю з діагностики: дивлюся масштаб і називаю зрозумілу вартість до початку робіт, без сюрпризів по ходу.

Скільки часу займе відновлення?

Прості випадки (один редирект або інжект) часто закриваю за кілька годин або день. Важкі зараження з множинним закріпленням і зняттям міток Google можуть зайняти кілька днів. Після діагностики дам реальну оцінку по вашому сайту.

Чи можу я втратити дані?

Найперше роблю повну резервну копію поточного стану і працюю по ній, а не наосліп по живому сайту. Контент і налаштування намагаюся зберегти повністю. Ризик є лише там, де шкідливий код фізично перезаписав файли, і про це я попереджаю заздалегідь.

Чи дасте гарантію, що злом не повернеться?

Чесно: ніхто не може дати 100% гарантії у вебі. Але я закриваю не лише симптоми, а саму точку входу і все закріплення (бекдори, .htaccess, cron), тому що саме через пропущену дірку частина сайтів заражається повторно вже за добу. Плюс посилюю захист, щоб попередній шлях більше не працював.

Чи потрібні вам доступи до сайту?

Так, для повноцінної чистки потрібні доступи до хостингу або FTP/SSH і до адмінки Joomla, іноді до бази. Віддалений сканер бачить лише фронтенд і пропускає серверні бекдори, тому без доступу до файлів злом якісно не прибрати. Усі доступи після роботи ви змінюєте.

Чи достатньо просто оновити Joomla та розширення?

Ні. Оновлення закриває вхід, але не видаляє те, що зловмисник уже залишив: вебшели, чужих адмінів, правки в .htaccess і завдання cron продовжують працювати і після патча. Тому оновлення обов'язковий, але не єдиний крок.

А якщо просто відкотитися на бекап?

Обережно: офіційна документація Joomla прямо попереджає, що відкат часто просто повертає злом, тому що зараження могло потрапити в резервну копію разом із сайтом. Відкочуватися варто лише на копію, завідомо зроблену до злому і перевірену на чистоту. В інших випадках надійніша чиста переустановка.

Чи працюєте ви з WordPress та іншими CMS?

Моя основна спеціалізація Joomla, тут я знаю нюанси шаблонів, компонентів і типових місць закріплення. Загальні принципи чистки (пошук бекдорів, закриття дірки, зняття міток) застосовні і до WordPress, по ньому можу допомогти в базових випадках, але найглибше працюю саме з Joomla.

Пов'язані послуги

Злом часто наслідок застарілого сайту. Іноді дешевше і надійніше не латати старе, а зробити заново на чистій основі.

Зламали сайт? Почнемо з безкоштовної діагностики

Опишіть ситуацію: що відбувається з сайтом, на якій він CMS і чи є доступи. Подивлюся, визначу тип зараження і точку входу і скажу, що і в які терміни потрібно зробити. Без зобов'язань замовляти далі.

Написати в Telegram Безкоштовна діагностика
Telegram