Сайт не открывается
Вместо сайта белый экран, ошибка 500 или бесконечная загрузка. Сайт лёг после взлома, обновления Joomla или сбоя, посетители видят пустую страницу и уходят. Нужно срочно вернуть сайт в рабочее состояние.
Joomla · Экстренная помощь · Безопасность
Я Артём, специализируюсь на Joomla. Если сайт редиректит посетителей на казино, в выдаче появились чужие страницы, а хостинг прислал письмо о вредоносе, я найду и уберу веб-шеллы, вычищу инъекции из файлов и базы, удалю фальшивых администраторов и закрою точку входа, чтобы взлом не вернулся через день. Начинаю всегда с диагностики.
Сайт лежит или заражён прямо сейчас? Срочные случаи беру в работу в первую очередь.
Написать сейчасТак выглядит взлом со стороны владельца. Сайт не открывается, редиректит на чужие ресурсы, попал в спам Google и Яндекса, показывает вирус или заблокирован хостингом - узнали хотя бы один пункт, значит нужно срочное лечение и восстановление сайта, пока не обвалились трафик, позиции и репутация.
Вместо сайта белый экран, ошибка 500 или бесконечная загрузка. Сайт лёг после взлома, обновления Joomla или сбоя, посетители видят пустую страницу и уходят. Нужно срочно вернуть сайт в рабочее состояние.
Сайт открывается с посторонней рекламой или сам перекидывает (редиректит) посетителей на казино, ставки, аптеку или взрослый контент. Часто редирект срабатывает только с телефонов или при переходе из поиска.
Антивирус или браузер ругается на вирус, в коде появился чужой скрипт, iframe или зашифрованные вставки. Нужно найти и удалить вирус с сайта, вычистить вредоносный код и бэкдоры.
Под вашим доменом вылезли чужие страницы: реплики брендов, таблетки, ставки, иероглифы (японский спам). Это дорвеи и SEO-спам, внедрённые через взлом, из-за них падают позиции.
Google или браузер показывает предупреждение «Этот сайт может быть взломан» / «Опасный сайт» и блокирует переход. Люди уходят, не открыв сайт, органический трафик обваливается.
Хостинг приостановил аккаунт за вредонос или за то, что сайт рассылает спам. Сайт и почта не работают, письма не доходят, пока заражение не убрано и блокировка не снята.
В админке Joomla или WordPress появились чужие супер-администраторы, пароль не подходит, включилась регистрация. Кто-то получил полный доступ к сайту, и это нужно закрыть.
Вместо сайта - страница взломщика или чужие баннеры. Летом 2026 массово ходит дефейс с подписью «Hacked by AntonKill». Сайт нужно срочно вернуть и закрыть дыру, через которую зашли.
Быстрый чек-лист. Проверьте сами: чем больше совпадений, тем выше вероятность заражения.
Лето 2026 года стало для Joomla временем массовых автоматизированных атак, и причина в основном не в ядре, а в популярных расширениях. Одна за другой были раскрыты критические уязвимости (CVSS до 10.0), которые позволяют неаутентифицированную загрузку и выполнение PHP-кода, то есть полный захват сайта без пароля: JCE / Joomla Content Editor (CVE-2026-48907, фикс в 2.9.99.5), SP Page Builder (CVE-2026-48908, фикс в 6.6.2), iCagenda (CVE-2026-48939, фикс в 4.0.8 и 3.9.15) и Page Builder CK (CVE-2026-56290, фикс в 3.6.0). Часть эксплуатировалась как 0-day, ещё до выхода патча, и все внесены CISA в каталог активно эксплуатируемых уязвимостей (KEV). Эксплойты публичны, атаки идут ботами по всему интернету, поэтому закрытая регистрация и маленький трафик от заражения не спасают.
Масштаб виден и на уровне национальных CERT. 9 июля 2026 года Австралийский центр кибербезопасности (ACSC) предупредил о крупной продолжающейся глобальной кампании: злоумышленники массово сканируют сайты на CMS и устанавливают веб-шеллы, и в списке уязвимого софта прямо назван Joomla JCE. ACSC допускает, что кампания ускоряется за счёт ИИ, который сокращает время от раскрытия уязвимости до атаки. Параллельно идёт волна дефейсов главной страницы с подписью «Hacked by AntonKill»: профильные источники по Joomla связывают её прежде всего с отдельной уязвимостью фреймворка шаблонов Helix3 от JoomShaper (CVE-2026-49049), через которую вредоносный код внедряется прямо в параметры шаблона в базе. Оценки числа заражённых пока приблизительные: например, сервис mySites.guru наблюдал сотни площадок, но это оценка одного источника, а не проверенный итог.
При этом большинство реальных взломов Joomla по-прежнему происходит не через свежие 0-day, а по скучным причинам: устаревшие ядро и расширения, слабые или повторно используемые пароли администратора (двухфакторная аутентификация в Joomla есть, но по умолчанию выключена), пиратские (nulled) шаблоны и компоненты с уже вшитым бэкдором, а также утёкшие доступы к хостингу, FTP и базе. По оценкам Sucuri, большинство взломов CMS приходится именно на уязвимые сторонние расширения, а не на само ядро. Отдельно стоит помнить про старую, но всё ещё активно сканируемую дыру ядра Joomla 4.x CVE-2023-23752 - утечку логина и пароля базы через API, закрытую ещё в 4.2.8.
Ключевой момент, который часто недооценивают: установка обновления закрывает вход, но НЕ удаляет то, что злоумышленник уже оставил. Веб-шеллы, фальшивые супер-администраторы, вредоносные записи в .htaccess и задания в cron продолжают работать и после патча. Поэтому сайт, который в июне-июле 2026 хотя бы недолго крутил уязвимую версию расширения, нужно не просто обновить, а полноценно чистить и проверять на закрепление: по наблюдениям Google, заметная доля взломанных сайтов заражается повторно уже в течение суток, если не закрыть исходную дыру.
Критические дыры (CVSS до 10.0) с неаутентифицированной загрузкой PHP в JCE, SP Page Builder, iCagenda и Page Builder CK. Эксплойты публичны, атаки идут ботами.
По оценке Sucuri, большинство взломов CMS приходится на необновлённые сторонние дополнения. Плюс всё ещё сканируемая старая дыра ядра Joomla 4.x CVE-2023-23752.
Простые или повторно используемые пароли, отсутствие 2FA, утёкшие доступы к хостингу, FTP и базе. Классический вектор, которому не нужен никакой 0-day.
Nulled-сборки премиум-шаблонов и компонентов из непроверенных источников часто идут с уже встроенным бэкдором, который активируется сразу после установки.
ACSC 9 июля 2026 предупредил о глобальной кампании массового сканирования CMS и установки веб-шеллов, возможно с ускорением за счёт ИИ. Цель выбирается перебором, а не вручную.
Обновление закрывает вход, но не убирает уже оставленные веб-шеллы, фальшивых админов, правки в .htaccess и cron. Без закрытия закрепления сайт быстро заражают снова.
Затронутые расширения 2026 (проверьте и обновите): JCE до 2.9.99.5+, SP Page Builder до 6.6.2+, iCagenda до 4.0.8 / 3.9.15+, Page Builder CK до 3.6.0+, Helix3 (JoomShaper) по CVE-2026-49049. Данные по NVD и каталогу CISA KEV. Обновление обязательно, но одного его недостаточно: сайт нужно ещё проверить на уже установленные веб-шеллы и бэкдоры.
Прозрачный порядок работ. Не просто «почистил и ушёл»: важно убрать не только симптомы, но и причину, иначе сайт заразят снова через ту же дыру.
Проверяю сайт удалёнными сканерами и на сервере, смотрю Search Console, Safe Browsing и чёрные списки, определяю тип заражения. Снимаю копию текущего состояния и логов как улику. Логи копирую первыми.
Изучаю журналы доступа: ищу POST-запросы к уязвимым задачам расширений, нетипичные загрузки и время первого проникновения. Так понимаю, через что именно зашли.
Скачиваю официальный чистый пакет Joomla вашей версии и сравниваю с боевым сайтом, отдельно ищу недавно изменённые файлы. Это выявляет инъекции в ядро, шаблон и index.php.
Убираю внедрённый код из файлов и таблиц БД: ищу eval, base64_decode, gzinflate, exec, инъекции в index.php и параметры шаблона. По возможности заменяю заражённые файлы оригиналами, а не правлю вручную.
Ключевой этап. Прочёсываю media, images, tmp и нестандартные папки на веб-шеллы, проверяю .htaccess во всех каталогах и задачи планировщика на самовосстанавливающиеся задания. Один пропущенный бэкдор - быстрый повторный взлом.
Переустанавливаю ядро Joomla из чистого пакета, обновляю расширения и шаблоны из официальных источников, удаляю уязвимые, неиспользуемые и незнакомые компоненты по списку уязвимых расширений Joomla (VEL).
Только после очистки удаляю фальшивых супер-администраторов, меняю все пароли, доступы к БД, FTP/SSH и хостингу, ротирую секрет configuration.php и API-ключи. Порядок важен: пока держатся бэкдоры, смена паролей бесполезна.
Пересканирую сайт, убеждаюсь, что вредоноса и посторонних исходящих запросов нет. Запрашиваю пересмотр в Google Search Console и Яндекс.Вебмастере и прошу хостинг снять блокировку.
Результат - не просто «сайт открылся», а чистый, обновлённый и защищённый сайт плюс понимание, что произошло.
Без веб-шеллов, редиректов, спам-страниц и дефейса, проверенный удалённым и серверным сканером.
Обновлённые ядро и расширения, устранённая уязвимость, через которую зашли, чтобы взлом не повторился тем же путём.
Полный снимок взломанного состояния и логов, сохранённый отдельно на случай разбирательства или спорных моментов.
Понятное описание: что нашёл (файлы, бэкдоры, чужие админы), где была дыра, что удалено и что изменено.
Смена паролей администраторов, БД, FTP/SSH и хостинга, ротация секретов configuration.php и API-ключей.
Запросы на снятие меток в Google Search Console и Яндекс.Вебмастере, при необходимости обращение к хостингу о снятии блокировки.
Включённая 2FA для админов, ограничение доступа к панели, запрет исполнения PHP в папках загрузок и другие меры после чистки.
Короткий чек-лист по обновлениям, резервным копиям и мониторингу, чтобы снизить риск повторного заражения.
Подбираю формат под ситуацию: от срочного возврата сайта в строй до полного восстановления с защитой и мониторинга.
| Формат | Когда подходит | Что входит | Срок |
|---|---|---|---|
| Экстренное лечение срочно вернуть сайт |
Сайт заражён или редиректит, нужно быстро вернуть его в рабочее состояние. | Поиск и удаление вредоноса, снятие редиректов и спама, базовое закрытие входа. | от нескольких часов |
| Полное восстановление и защита лечение + профилактика |
Убрать заражение и не допустить повтора. | Всё из экстренного плюс чистое ядро, обновления, смена доступов, снятие меток, защита и бэкапы. | 1-5 дней |
| Восстановление из бэкапа или пересборка тяжёлые случаи |
Сайт сильно повреждён, а резервная копия отсутствует или тоже заражена. | Развёртывание чистой копии или пересборка на чистом ядре с переносом контента. | по объёму |
| Мониторинг и защита абонемент |
Держать сайт под присмотром после лечения. | Мониторинг, обновления, бэкапы, быстрая реакция на инциденты. | ежемесячно |
* Точную стоимость называю после бесплатной диагностики: она зависит от типа заражения, размера сайта и состояния резервных копий. Работы начинаю только после согласования сметы.
Вылечить мало: важно закрыть вход и снизить риск повтора. Что настраиваю в рамках полного восстановления.
Не нашли свой вопрос - напишите в Telegram, отвечу с конкретикой по вашему случаю.
Зависит от объёма заражения: одно дело почистить один инжект в index.php, другое - разобрать сайт с десятком бэкдоров и фальшивыми администраторами. Поэтому начинаю с диагностики: смотрю масштаб и называю понятную стоимость до начала работ, без сюрпризов по ходу.
Простые случаи (один редирект или инжект) часто закрываю за несколько часов или день. Тяжёлые заражения с множественным закреплением и снятием меток Google могут занять несколько дней. После диагностики дам реальную оценку по вашему сайту.
Первым делом делаю полную резервную копию текущего состояния и работаю по ней, а не вслепую по живому сайту. Контент и настройки стараюсь сохранить полностью. Риск есть только там, где вредонос физически перезаписал файлы, и об этом я предупреждаю заранее.
Честно: никто не может дать 100% гарантии в вебе. Но я закрываю не только симптомы, а саму точку входа и всё закрепление (бэкдоры, .htaccess, cron), потому что именно из-за пропущенной дыры часть сайтов заражается повторно уже за сутки. Плюс усиливаю защиту, чтобы прежний путь больше не работал.
Да, для полноценной чистки нужны доступы к хостингу или FTP/SSH и к админке Joomla, иногда к базе. Удалённый сканер видит только фронтенд и пропускает серверные бэкдоры, поэтому без доступа к файлам взлом качественно не убрать. Все доступы после работы вы меняете.
Нет. Обновление закрывает вход, но не удаляет то, что злоумышленник уже оставил: веб-шеллы, чужих админов, правки в .htaccess и задания cron продолжают работать и после патча. Поэтому обновление - обязательный, но не единственный шаг.
Осторожно: официальная документация Joomla прямо предупреждает, что откат часто просто возвращает взлом, потому что заражение могло попасть в резервную копию вместе с сайтом. Откатываться стоит только на копию, заведомо сделанную до взлома и проверенную на чистоту. В остальных случаях надёжнее чистая переустановка.
Моя основная специализация - Joomla, здесь я знаю нюансы шаблонов, компонентов и типичных мест закрепления. Общие принципы чистки (поиск бэкдоров, закрытие дыры, снятие меток) применимы и к WordPress, по нему могу помочь в базовых случаях, но глубже всего работаю именно с Joomla.
Заявка на восстановление
Напишите, что происходит: сайт не открывается, редиректит, попал в спам-выдачу, показывает вирус или заблокирован хостингом. Укажите адрес сайта и CMS (Joomla, WordPress). Заявка придёт мне на почту и в Telegram, отвечаю быстро, срочные случаи беру в первую очередь.
Взлом - часто следствие устаревшего сайта. Иногда дешевле и надёжнее не латать старое, а сделать заново на чистой основе.
Опишите ситуацию: что происходит с сайтом, на какой он CMS и есть ли доступы. Посмотрю, определю тип заражения и точку входа и скажу, что и в какие сроки нужно сделать. Без обязательств заказывать дальше.