Joomla · Экстренная помощь · Безопасность

Восстановление сайта после взлома: вычищу бэкдоры и закрою дыру, через которую зашли

Я Артём, специализируюсь на Joomla. Если сайт редиректит посетителей на казино, в выдаче появились чужие страницы, а хостинг прислал письмо о вредоносе, я найду и уберу веб-шеллы, вычищу инъекции из файлов и базы, удалю фальшивых администраторов и закрою точку входа, чтобы взлом не вернулся через день. Начинаю всегда с диагностики.

Сайт лежит или заражён прямо сейчас? Срочные случаи беру в работу в первую очередь.

Написать сейчас

Знакомая ситуация?

Так выглядит взлом со стороны владельца. Сайт не открывается, редиректит на чужие ресурсы, попал в спам Google и Яндекса, показывает вирус или заблокирован хостингом - узнали хотя бы один пункт, значит нужно срочное лечение и восстановление сайта, пока не обвалились трафик, позиции и репутация.

Сайт не открывается

Вместо сайта белый экран, ошибка 500 или бесконечная загрузка. Сайт лёг после взлома, обновления Joomla или сбоя, посетители видят пустую страницу и уходят. Нужно срочно вернуть сайт в рабочее состояние.

Редиректы на чужие сайты

Сайт открывается с посторонней рекламой или сам перекидывает (редиректит) посетителей на казино, ставки, аптеку или взрослый контент. Часто редирект срабатывает только с телефонов или при переходе из поиска.

Сайт заражён вирусом

Антивирус или браузер ругается на вирус, в коде появился чужой скрипт, iframe или зашифрованные вставки. Нужно найти и удалить вирус с сайта, вычистить вредоносный код и бэкдоры.

Спам в выдаче Google и Яндекса

Под вашим доменом вылезли чужие страницы: реплики брендов, таблетки, ставки, иероглифы (японский спам). Это дорвеи и SEO-спам, внедрённые через взлом, из-за них падают позиции.

«Этот сайт может быть взломан»

Google или браузер показывает предупреждение «Этот сайт может быть взломан» / «Опасный сайт» и блокирует переход. Люди уходят, не открыв сайт, органический трафик обваливается.

Хостинг заблокировал сайт

Хостинг приостановил аккаунт за вредонос или за то, что сайт рассылает спам. Сайт и почта не работают, письма не доходят, пока заражение не убрано и блокировка не снята.

Взломали админку

В админке Joomla или WordPress появились чужие супер-администраторы, пароль не подходит, включилась регистрация. Кто-то получил полный доступ к сайту, и это нужно закрыть.

Дефейс главной страницы

Вместо сайта - страница взломщика или чужие баннеры. Летом 2026 массово ходит дефейс с подписью «Hacked by AntonKill». Сайт нужно срочно вернуть и закрыть дыру, через которую зашли.

Признаки, что сайт взломан

Быстрый чек-лист. Проверьте сами: чем больше совпадений, тем выше вероятность заражения.

  • Сайт перенаправляет посетителей на посторонние страницы (казино, ставки, фарма, взрослый контент), часто только с мобильных или только при переходе из поиска.
  • В выдаче под вашим доменом появились чужие страницы со спам-ключами (реплики брендов, лекарства), нередко с иероглифами (японский кейворд-хак) в папках со случайными именами.
  • Google помечает сайт как «This site may be hacked», а в браузере появляется красное предупреждение «Deceptive site ahead» или про вредонос.
  • В Search Console пришло уведомление, что сайт подтвердил как владелец неизвестный человек, либо в отчёте «Проблемы безопасности» появились взломанные страницы.
  • Главная страница подменена сообщением взломщика или чужими баннерами (дефейс, например «Hacked by AntonKill»).
  • В списке пользователей Joomla появились супер-администраторы, которых вы не создавали (правдоподобные имена, адреса на несуществующем домене).
  • Резко упал органический трафик из-за деиндексации или блокировки, посещаемость обвалилась без видимой причины.
  • Сервер шлёт спам без вашего ведома: исходящие письма возвращаются, а IP почты попадает в чёрные списки RBL/DNSBL.
  • Хостинг прислал письмо о вредоносе или чрезмерной нагрузке, иногда с приостановкой аккаунта.
  • В папках media, images, tmp появились незнакомые PHP-файлы, файлы с двойным расширением (.xml.php) или странным регистром (.pHp).

Почему сейчас массово ломают Joomla

Лето 2026 года стало для Joomla временем массовых автоматизированных атак, и причина в основном не в ядре, а в популярных расширениях. Одна за другой были раскрыты критические уязвимости (CVSS до 10.0), которые позволяют неаутентифицированную загрузку и выполнение PHP-кода, то есть полный захват сайта без пароля: JCE / Joomla Content Editor (CVE-2026-48907, фикс в 2.9.99.5), SP Page Builder (CVE-2026-48908, фикс в 6.6.2), iCagenda (CVE-2026-48939, фикс в 4.0.8 и 3.9.15) и Page Builder CK (CVE-2026-56290, фикс в 3.6.0). Часть эксплуатировалась как 0-day, ещё до выхода патча, и все внесены CISA в каталог активно эксплуатируемых уязвимостей (KEV). Эксплойты публичны, атаки идут ботами по всему интернету, поэтому закрытая регистрация и маленький трафик от заражения не спасают.

Масштаб виден и на уровне национальных CERT. 9 июля 2026 года Австралийский центр кибербезопасности (ACSC) предупредил о крупной продолжающейся глобальной кампании: злоумышленники массово сканируют сайты на CMS и устанавливают веб-шеллы, и в списке уязвимого софта прямо назван Joomla JCE. ACSC допускает, что кампания ускоряется за счёт ИИ, который сокращает время от раскрытия уязвимости до атаки. Параллельно идёт волна дефейсов главной страницы с подписью «Hacked by AntonKill»: профильные источники по Joomla связывают её прежде всего с отдельной уязвимостью фреймворка шаблонов Helix3 от JoomShaper (CVE-2026-49049), через которую вредоносный код внедряется прямо в параметры шаблона в базе. Оценки числа заражённых пока приблизительные: например, сервис mySites.guru наблюдал сотни площадок, но это оценка одного источника, а не проверенный итог.

При этом большинство реальных взломов Joomla по-прежнему происходит не через свежие 0-day, а по скучным причинам: устаревшие ядро и расширения, слабые или повторно используемые пароли администратора (двухфакторная аутентификация в Joomla есть, но по умолчанию выключена), пиратские (nulled) шаблоны и компоненты с уже вшитым бэкдором, а также утёкшие доступы к хостингу, FTP и базе. По оценкам Sucuri, большинство взломов CMS приходится именно на уязвимые сторонние расширения, а не на само ядро. Отдельно стоит помнить про старую, но всё ещё активно сканируемую дыру ядра Joomla 4.x CVE-2023-23752 - утечку логина и пароля базы через API, закрытую ещё в 4.2.8.

Ключевой момент, который часто недооценивают: установка обновления закрывает вход, но НЕ удаляет то, что злоумышленник уже оставил. Веб-шеллы, фальшивые супер-администраторы, вредоносные записи в .htaccess и задания в cron продолжают работать и после патча. Поэтому сайт, который в июне-июле 2026 хотя бы недолго крутил уязвимую версию расширения, нужно не просто обновить, а полноценно чистить и проверять на закрепление: по наблюдениям Google, заметная доля взломанных сайтов заражается повторно уже в течение суток, если не закрыть исходную дыру.

Уязвимости расширений - главная причина 2026

Критические дыры (CVSS до 10.0) с неаутентифицированной загрузкой PHP в JCE, SP Page Builder, iCagenda и Page Builder CK. Эксплойты публичны, атаки идут ботами.

Устаревшие ядро и компоненты

По оценке Sucuri, большинство взломов CMS приходится на необновлённые сторонние дополнения. Плюс всё ещё сканируемая старая дыра ядра Joomla 4.x CVE-2023-23752.

Слабые и утёкшие доступы

Простые или повторно используемые пароли, отсутствие 2FA, утёкшие доступы к хостингу, FTP и базе. Классический вектор, которому не нужен никакой 0-day.

Пиратские шаблоны и расширения

Nulled-сборки премиум-шаблонов и компонентов из непроверенных источников часто идут с уже встроенным бэкдором, который активируется сразу после установки.

Автоматизация и массовость

ACSC 9 июля 2026 предупредил о глобальной кампании массового сканирования CMS и установки веб-шеллов, возможно с ускорением за счёт ИИ. Цель выбирается перебором, а не вручную.

Патч не равно чистка

Обновление закрывает вход, но не убирает уже оставленные веб-шеллы, фальшивых админов, правки в .htaccess и cron. Без закрытия закрепления сайт быстро заражают снова.

Затронутые расширения 2026 (проверьте и обновите): JCE до 2.9.99.5+, SP Page Builder до 6.6.2+, iCagenda до 4.0.8 / 3.9.15+, Page Builder CK до 3.6.0+, Helix3 (JoomShaper) по CVE-2026-49049. Данные по NVD и каталогу CISA KEV. Обновление обязательно, но одного его недостаточно: сайт нужно ещё проверить на уже установленные веб-шеллы и бэкдоры.

Как проходит восстановление

Прозрачный порядок работ. Не просто «почистил и ушёл»: важно убрать не только симптомы, но и причину, иначе сайт заразят снова через ту же дыру.

Диагностика и фиксация

Проверяю сайт удалёнными сканерами и на сервере, смотрю Search Console, Safe Browsing и чёрные списки, определяю тип заражения. Снимаю копию текущего состояния и логов как улику. Логи копирую первыми.

Поиск точки входа по логам

Изучаю журналы доступа: ищу POST-запросы к уязвимым задачам расширений, нетипичные загрузки и время первого проникновения. Так понимаю, через что именно зашли.

Сверка с чистым ядром

Скачиваю официальный чистый пакет Joomla вашей версии и сравниваю с боевым сайтом, отдельно ищу недавно изменённые файлы. Это выявляет инъекции в ядро, шаблон и index.php.

Чистка файлов и базы

Убираю внедрённый код из файлов и таблиц БД: ищу eval, base64_decode, gzinflate, exec, инъекции в index.php и параметры шаблона. По возможности заменяю заражённые файлы оригиналами, а не правлю вручную.

Поиск и закрытие всех бэкдоров

Ключевой этап. Прочёсываю media, images, tmp и нестандартные папки на веб-шеллы, проверяю .htaccess во всех каталогах и задачи планировщика на самовосстанавливающиеся задания. Один пропущенный бэкдор - быстрый повторный взлом.

Чистая переустановка и обновления

Переустанавливаю ядро Joomla из чистого пакета, обновляю расширения и шаблоны из официальных источников, удаляю уязвимые, неиспользуемые и незнакомые компоненты по списку уязвимых расширений Joomla (VEL).

Смена доступов и удаление чужих админов

Только после очистки удаляю фальшивых супер-администраторов, меняю все пароли, доступы к БД, FTP/SSH и хостингу, ротирую секрет configuration.php и API-ключи. Порядок важен: пока держатся бэкдоры, смена паролей бесполезна.

Проверка и снятие меток

Пересканирую сайт, убеждаюсь, что вредоноса и посторонних исходящих запросов нет. Запрашиваю пересмотр в Google Search Console и Яндекс.Вебмастере и прошу хостинг снять блокировку.

Что вы получаете

Результат - не просто «сайт открылся», а чистый, обновлённый и защищённый сайт плюс понимание, что произошло.

01

Чистый работающий сайт

Без веб-шеллов, редиректов, спам-страниц и дефейса, проверенный удалённым и серверным сканером.

02

Закрытая точка входа

Обновлённые ядро и расширения, устранённая уязвимость, через которую зашли, чтобы взлом не повторился тем же путём.

03

Резервная копия до чистки

Полный снимок взломанного состояния и логов, сохранённый отдельно на случай разбирательства или спорных моментов.

04

Отчёт о заражении

Понятное описание: что нашёл (файлы, бэкдоры, чужие админы), где была дыра, что удалено и что изменено.

05

Обновлённые доступы

Смена паролей администраторов, БД, FTP/SSH и хостинга, ротация секретов configuration.php и API-ключей.

06

Заявки на пересмотр

Запросы на снятие меток в Google Search Console и Яндекс.Вебмастере, при необходимости обращение к хостингу о снятии блокировки.

07

Базовое усиление защиты

Включённая 2FA для админов, ограничение доступа к панели, запрет исполнения PHP в папках загрузок и другие меры после чистки.

08

Рекомендации на будущее

Короткий чек-лист по обновлениям, резервным копиям и мониторингу, чтобы снизить риск повторного заражения.

Форматы работ и сроки

Подбираю формат под ситуацию: от срочного возврата сайта в строй до полного восстановления с защитой и мониторинга.

Формат Когда подходит Что входит Срок
Экстренное лечение
срочно вернуть сайт
Сайт заражён или редиректит, нужно быстро вернуть его в рабочее состояние. Поиск и удаление вредоноса, снятие редиректов и спама, базовое закрытие входа. от нескольких часов
Полное восстановление и защита
лечение + профилактика
Убрать заражение и не допустить повтора. Всё из экстренного плюс чистое ядро, обновления, смена доступов, снятие меток, защита и бэкапы. 1-5 дней
Восстановление из бэкапа или пересборка
тяжёлые случаи
Сайт сильно повреждён, а резервная копия отсутствует или тоже заражена. Развёртывание чистой копии или пересборка на чистом ядре с переносом контента. по объёму
Мониторинг и защита
абонемент
Держать сайт под присмотром после лечения. Мониторинг, обновления, бэкапы, быстрая реакция на инциденты. ежемесячно

* Точную стоимость называю после бесплатной диагностики: она зависит от типа заражения, размера сайта и состояния резервных копий. Работы начинаю только после согласования сметы.

Защита после лечения

Вылечить мало: важно закрыть вход и снизить риск повтора. Что настраиваю в рамках полного восстановления.

  • Включаю двухфакторную аутентификацию (2FA) для всех супер-администраторов - в Joomla она по умолчанию выключена.
  • Ограничиваю доступ к папке /administrator по IP или паролю на уровне веб-сервера.
  • Отключаю исполнение PHP в папках загрузок (media, images, tmp), чтобы загруженный файл не стал работающим шеллом.
  • Ставлю сильные уникальные пароли для админов, БД, FTP/SSH и хостинга, убираю повторное использование.
  • Закрываю неаутентифицированный доступ к API-эндпоинту конфигурации на уровне сервера или Cloudflare.
  • Удаляю неиспользуемые и незнакомые расширения и шаблоны, оставляю только нужное и обновляю из официальных каналов.
  • Отказываюсь от пиратских (nulled) шаблонов и компонентов, ставлю только из проверенных источников.
  • Настраиваю регулярные резервные копии вне сервера с проверкой восстановления и, при необходимости, WAF перед сайтом.

Частые вопросы

Не нашли свой вопрос - напишите в Telegram, отвечу с конкретикой по вашему случаю.

Сколько стоит восстановление сайта после взлома?

Зависит от объёма заражения: одно дело почистить один инжект в index.php, другое - разобрать сайт с десятком бэкдоров и фальшивыми администраторами. Поэтому начинаю с диагностики: смотрю масштаб и называю понятную стоимость до начала работ, без сюрпризов по ходу.

Сколько времени займёт восстановление?

Простые случаи (один редирект или инжект) часто закрываю за несколько часов или день. Тяжёлые заражения с множественным закреплением и снятием меток Google могут занять несколько дней. После диагностики дам реальную оценку по вашему сайту.

Могу ли я потерять данные?

Первым делом делаю полную резервную копию текущего состояния и работаю по ней, а не вслепую по живому сайту. Контент и настройки стараюсь сохранить полностью. Риск есть только там, где вредонос физически перезаписал файлы, и об этом я предупреждаю заранее.

Дадите гарантию, что взлом не вернётся?

Честно: никто не может дать 100% гарантии в вебе. Но я закрываю не только симптомы, а саму точку входа и всё закрепление (бэкдоры, .htaccess, cron), потому что именно из-за пропущенной дыры часть сайтов заражается повторно уже за сутки. Плюс усиливаю защиту, чтобы прежний путь больше не работал.

Нужны ли вам доступы к сайту?

Да, для полноценной чистки нужны доступы к хостингу или FTP/SSH и к админке Joomla, иногда к базе. Удалённый сканер видит только фронтенд и пропускает серверные бэкдоры, поэтому без доступа к файлам взлом качественно не убрать. Все доступы после работы вы меняете.

Достаточно ли просто обновить Joomla и расширения?

Нет. Обновление закрывает вход, но не удаляет то, что злоумышленник уже оставил: веб-шеллы, чужих админов, правки в .htaccess и задания cron продолжают работать и после патча. Поэтому обновление - обязательный, но не единственный шаг.

А если просто откатиться на бэкап?

Осторожно: официальная документация Joomla прямо предупреждает, что откат часто просто возвращает взлом, потому что заражение могло попасть в резервную копию вместе с сайтом. Откатываться стоит только на копию, заведомо сделанную до взлома и проверенную на чистоту. В остальных случаях надёжнее чистая переустановка.

Работаете ли вы с WordPress и другими CMS?

Моя основная специализация - Joomla, здесь я знаю нюансы шаблонов, компонентов и типичных мест закрепления. Общие принципы чистки (поиск бэкдоров, закрытие дыры, снятие меток) применимы и к WordPress, по нему могу помочь в базовых случаях, но глубже всего работаю именно с Joomla.

Заявка на восстановление

Опишите, что с сайтом - отвечу с планом и ценой

Напишите, что происходит: сайт не открывается, редиректит, попал в спам-выдачу, показывает вирус или заблокирован хостингом. Укажите адрес сайта и CMS (Joomla, WordPress). Заявка придёт мне на почту и в Telegram, отвечаю быстро, срочные случаи беру в первую очередь.

Связанные услуги

Взлом - часто следствие устаревшего сайта. Иногда дешевле и надёжнее не латать старое, а сделать заново на чистой основе.

Взломали сайт? Начнём с бесплатной диагностики

Опишите ситуацию: что происходит с сайтом, на какой он CMS и есть ли доступы. Посмотрю, определю тип заражения и точку входа и скажу, что и в какие сроки нужно сделать. Без обязательств заказывать дальше.

Написать в Telegram Оставить заявку
Telegram