Взлом Joomla

Как защитить и восстановить сайт на CMS Joomla после взлома

За последние годы количество атак на сайты, работающие на CMS Joomla, значительно возросло. Если раньше злоумышленники в основном искали отдельные цели, то сегодня большинство атак осуществляется с помощью автоматизированных инструментов, которые непрерывно сканируют Интернет в поисках известных уязвимостей. После обнаружения незащищенного сайта атака происходит автоматически и часто занимает всего несколько секунд.

Чаще всего причиной успешного взлома становится не сама Joomla, а несвоевременная установка обновлений системы управления контентом или сторонних расширений. После того как разработчики выпускают исправления безопасности, информация об уязвимости становится известна не только администраторам сайтов, но и хакерам. Если владелец сайта откладывает обновление, его ресурс остаётся уязвимым для уже известных способов проникновения.

Особенно остро эта проблема проявилась в 2026 году, когда было зафиксировано несколько масштабных волн атак на сайты Joomla. Злоумышленники активно использовали уязвимости в популярных расширениях и заразили тысячи сайтов по всему миру. Ниже рассмотрим самые опасные случаи и объясним, как защитить свой сайт от подобных атак.

Чем грозит взлом сайта

Взлом сайта — это не только техническая проблема, но и серьезный риск для бизнеса, репутации и безопасности данных. Получив доступ к серверу, злоумышленники могут незаметно изменять содержание страниц, размещать вредоносные файлы, перенаправлять посетителей на фишинговые ресурсы или использовать ваш хостинг для проведения новых атак. Во многих случаях владелец сайта узнает о взломе только тогда, когда сайт перестает работать, поисковые системы помечают его как опасный или хостинг-провайдер временно блокирует аккаунт.

Особенно опасны атаки, в ходе которых хакер получает возможность выполнять произвольный код на сервере. В такой ситуации недостаточно просто удалить обнаруженный веб-шелл или обновить уязвимое расширение. Злоумышленник мог создать дополнительные скрытые точки доступа, изменить системные файлы, похитить пароли или установить другие вредоносные компоненты, которые останутся незамеченными даже после поверхностной очистки сайта.

Последствия успешного взлома могут быть следующими:

  • хищение базы данных с персональными данными пользователей;
  • компрометация паролей администраторов, FTP, SSH и почтовых ящиков;
  • размещение фишинговых страниц, вирусов или спам-скриптов;
  • заражение всех сайтов, находящихся в одной учетной записи хостинга;
  • попадание сайта в чёрные списки поисковых систем, браузеров и антивирусных компаний;
  • блокировка аккаунта хостинг-провайдером из-за распространения вредоносного программного обеспечения;
  • финансовые потери, связанные с простоем сайта, восстановлением данных и устранением последствий инцидента.

Именно поэтому после выявления факта взлома не стоит ограничиваться лишь установкой последней версии Joomla. Необходимо провести полный аудит безопасности, проверить журналы событий, сменить все пароли доступа, проанализировать целостность файлов и убедиться, что на сервере не осталось скрытых бэкдоров или других механизмов повторного проникновения. Только комплексная проверка позволяет быть уверенным, что сайт действительно очищен, а не остался под скрытым контролем злоумышленников.

Взлом сайтов с устаревшей версией CMS Joomla

Любая система управления сайтом регулярно получает обновления безопасности. После обнаружения новой уязвимости разработчики выпускают исправления, а информация о самой проблеме нередко становится общедоступной. Это означает, что после выхода обновления не только владельцы сайтов узнают об уязвимости, но и киберпреступники. Если сайт продолжает работать на устаревшей версии CMS, он остается уязвимым для атак, от которых современные версии уже защищены.

Большинство массовых взломов происходит не потому, что хакеры специально выбирают конкретный сайт. Обычно они используют автоматизированные сканеры, которые непрерывно проверяют Интернет в поисках известных уязвимостей. После обнаружения устаревшей версии CMS или компонента специальная программа автоматически пытается использовать известный эксплойт. Если атака удачна, на сервер загружается вредоносный код и сайт переходит под контроль злоумышленника.

Особенно опасны сайты, которые не обновлялись годами. Они могут содержать десятки уже известных уязвимостей, для которых давно существуют готовые инструменты взлома. В такой ситуации достаточно всего одного незащищенного компонента, чтобы получить полный контроль над сайтом.

Распространённым заблуждением является мнение, что небольшой или малоизвестный сайт не представляет интереса для хакеров. На самом деле автоматизированным инструментам безразлично, кому принадлежит сайт и сколько у него посетителей. Для них важно лишь наличие уязвимости. Именно поэтому взлому подвергаются как крупные корпоративные порталы, так и небольшие сайты компаний, личные блоги или интернет-магазины.

Регулярное обновление CMS — один из самых эффективных способов защиты. Установка актуальных версий системы и расширений устраняет известные уязвимости и значительно снижает риск успешной атаки. Если же сайт работает на устаревшей версии, каждый день без обновления увеличивает вероятность компрометации, особенно после появления в открытом доступе новых эксплойтов. Даже если сайт работает стабильно и не имеет видимых проблем, это не означает, что он защищен от современных методов взлома.

Взлом сайтов с устаревшими расширениями от Tassos

В апреле 2026 года хакерами были взломаны сайты на CMS Joomla, которые использовали устаревшую версию Tassos Framework. Злоумышленники полностью удаляли файлы и базу данных оригинальных сайтов, а вместо них загружали свои файлы с расширениями .shtml, .py, .php, .json и др.

После захвата основного сайта хакеры выходили за его пределы и начинали заражать соседние ресурсы, а затем и весь аккаунт.

Ещё в январе 2026 года разработчик закрыл «дыру» в своём плагине. Но те сайты, которые не обновились, были атакованы и взломаны.

В зоне риска также оказались сайты, на которых использовалось другое не обновлённое программное обеспечение этого разработчика:

  • Convert Forms
  • EngageBox
  • Google Structured Data
  • Advanced Custom Fields
  • Smile Pack
  • MailChimp Auto-Subscribe

Поэтому, если на вашем сайте используется устаревшая версия любого из этих плагинов, рекомендуем немедленно обновить его. Вместе с плагином обновится и Tassos Framework.

Взлом сайтов, использующих устаревшую версию JCE Editor

В июне 2026 года хакеры обнаружили и начали использовать уязвимость «JCE Profiles Hack» (CVE-2026-48907) в популярном редакторе JCE Editor. Используя эту уязвимость, они смогли без какой-либо аутентификации создавать свой профиль в редакторе и размещать веб-шелл на любом сайте, использующем JCE версии ниже 2.9.99.5.

Как хакеры атакуют сайты через JCE Editor

Сначала злоумышленник импортирует свой профиль и включает для этого профиля загрузку файлов в форматах php, py и txt с отключенной проверкой MIME (Multipurpose Internet Mail Extensions — проверка типов файлов и данных, загружаемых на сайт). Затем он использует этот профиль для загрузки веб-оболочки (вредоносного скрипта).

В результате на сервере появляется так называемый бэкдор (черный ход). Хакеру не нужно использовать систему, чтобы получить доступ к файлам, хранящимся на сайте. Более того, злоумышленники фактически создавали свою CMS внутри существующей и таким образом получали доступ не только к сайту, но и ко всему аккаунту: базе данных, почте, другим сайтам. А на неправильно настроенных серверах хакерам удалось даже выйти за пределы текущей учётной записи и захватить весь сервер. То есть, заразив всего-навсего один сайт, злоумышленники смогли захватить все сайты, которые находились на этом сервере.

Как защитить сайт от взлома через JCE Editor

9 июня 2026 года на GitHub был опубликован рабочий эксплойт-код, после чего по всему Интернету начался массовый взлом сайтов на CMS Joomla. Ведь эти автоматизированные инструменты распространяют один и тот же эксплойт на каждую доступную установку JCE. Поэтому даже сайты без публичной регистрации оказались в зоне риска.

Разработчик JCE уже публично подтвердил, что уязвимость активно эксплуатируется, рабочий эксплойт-код находится в открытом доступе, а атаки автоматизированы, поэтому даже сайт без публичной регистрации не является безопасным. Надежным подтверждением со стороны разработчика являются записи в логах доступа к вашему веб-серверу, где неавторизованные запросы на index.php?option=com_jce&task=profiles.import обозначают момент первого доступа к сайту.

16 июня 2026 года киберагентство правительства США CISA добавило уязвимость CVE-2026-48907 в свой каталог «Известные эксплуатируемые уязвимости», указав её как «Уязвимость, связанная с некорректным контролем доступа в редакторе контента Joomla от Widget Factory».

CISA добавляет уязвимость в этот каталог только тогда, когда имеет доказательства её активного использования в реальных условиях, поэтому это является независимым подтверждением уязвимости на правительственном уровне. CISA призывает каждую организацию рассматривать уязвимость, включённую в KEV, как приоритет, требующий немедленного исправления. Правительственным агентствам предписано отложить все остальные дела и устранить эту уязвимость. Поэтому старые сайты на Joomla в вашем портфолио не являются исключением. Все сайты, использующие расширение JCE версии ниже 2.9.99.5, должны немедленно обновить его.

Взлом сайтов с устаревшим шаблоном Helix3

29 июня 2026 года компания JoomShaper выпустила обновление для Helix3 Framework, а 1 июля 2026 года — обновила шаблон Helix3 для CMS Joomla.

3 июля 2026 года хакеры массово атаковали сайты на CMS Joomla, которые не обновили этот шаблон и фреймворк. После взлома вместо страниц с контентом сайта пользователи увидели сообщение «Hacked By CoupDeGrace» или «Hacked by trenggalek6etar».

На своей странице разработчик четко указал, что в версии 3.1.1 от 29.06.2026 года исправлена уязвимость в фреймворке Helix3. Таким образом, причина взлома сайтов та же, что и в предыдущих случаях — отсутствие обновления или несвоевременное обновление расширения.

Если вы используете какое-либо устаревшее расширение от JoomShaper — обновите его немедленно!

Что делать, если ваш сайт взломали

Если есть подозрение, что сайт был скомпрометирован, действовать нужно как можно быстрее. Не стоит полагать, что проблема будет решена после удаления одного вредоносного файла или установки обновления. Если злоумышленник уже получил доступ к серверу, он мог оставить скрытые бэкдоры, создать новые учетные записи, похитить пароли или изменить системные файлы. Поэтому главная задача — не только восстановить работу сайта, но и полностью устранить последствия взлома.

Рекомендуется выполнить следующие действия:

  1. Немедленно переведите сайт в режим технического обслуживания или временно ограничьте доступ к нему, чтобы предотвратить дальнейшее распространение вредоносного кода.
  2. Создайте резервную копию текущего состояния сайта и базы данных. Она может понадобиться для анализа инцидента или восстановления важной информации.
  3. Обновите Joomla и все установленные расширения до актуальных версий, в которых известные уязвимости уже устранены.
  4. Проверьте файлы сайта на наличие веб-шелов, бэкдоров, сторонних PHP-скриптов и других подозрительных изменений. Особое внимание следует уделить каталогам с возможностью загрузки файлов и системным папкам CMS.
  5. Просмотрите журналы доступа (Access Log) и журналы ошибок (Error Log), чтобы определить способ проникновения, время атаки и действия, которые совершал злоумышленник.
  6. Замените все пароли, связанные с сайтом: администратора Joomla, базы данных, FTP, SSH, панели управления хостингом и почтовых ящиков. Если пароли не изменить, злоумышленник может повторно получить доступ даже после очистки сайта.
  7. Проверьте все учётные записи пользователей и администраторов, удалите неизвестные аккаунты и убедитесь, что права доступа соответствуют их назначению.
  8. Если на одном хостинг-аккаунте размещено несколько сайтов, проверьте каждый из них. После взлома одного сайта вредоносный код часто распространяется и на другие проекты в том же аккаунте.
  9. После очистки сайта выполните повторное сканирование, проверьте его работоспособность и убедитесь, что новых подозрительных файлов или изменений больше не появляется.

Если у вас нет достаточного опыта в администрировании серверов и обеспечении безопасности Joomla, лучше обратиться к специалистам. Неполная очистка системы часто приводит к повторному взлому через несколько часов или дней, поскольку скрытый бэкдор остается активным. Профессиональный анализ позволяет не только удалить вредоносный код, но и установить причину компрометации, устранить её и минимизировать риск повторного инцидента.

Пошаговая инструкция по восстановлению сайта на CMS Joomla после взлома

Самый простой способ восстановить сайт на CMS Joomla — это, конечно же, резервная копия. Но мы не знаем, когда именно злоумышленник начал загружать на сайт вредоносные файлы. И не знаем, в каких именно каталогах находятся эти файлы, сколько их и каковы они. Поэтому сейчас я расскажу вам о самом эффективном, на мой взгляд, способе восстановления сайта после взлома.

  1. Заблокируйте доступ ко всем сайтам, размещённым в хостинг-аккаунте, с помощью deny from all в файле .htaccess или команды chmod o-x для каталога каждого сайта (без рекурсивного изменения прав).

    Прежде всего необходимо изолировать взломанный сайт, чтобы злоумышленник больше не мог выполнять на нём никаких действий, а вредоносный код не продолжал заражать другие сайты в вашем аккаунте. Директива deny from all в файле .htaccess запрещает доступ к сайту через веб-сервер для всех посетителей, а команда chmod o-x лишает посторонних пользователей права входить в каталог сайта через файловую систему. Использовать chmod o-x нужно только для самого каталога сайта, без рекурсивного изменения прав для всех вложенных файлов и папок, иначе можно случайно нарушить работу системы и затруднить дальнейшее восстановление.

  2. Измените все пароли, с помощью которых можно получить доступ к сайту или серверу: FTP, SSH, панели управления хостингом, базы данных MySQL и электронной почты. Если злоумышленник уже узнал хотя бы один из них, он сможет повторно войти в систему даже после удаления вредоносного кода. Для каждого сервиса используйте отдельный сложный пароль, содержащий заглавные и строчные буквы, цифры и специальные символы. Не используйте простые или распространённые пароли. На сегодняшний день рекомендуемая длина паролей составляет 12–16 символов.
  3. Укажите новые пароли к базе данных в конфигурационных файлах сайтов.

    После смены пароля к базе данных сайт больше не сможет подключиться к ней, пока новый пароль не будет указан в его файле конфигурации (configuration.php). Если этого не сделать, вместо страниц сайта появится сообщение об ошибке подключения к базе данных.

  4. Проверьте список задач cron и удалите оттуда подозрительные задачи.

    Cron — это планировщик задач, который автоматически запускает программы по расписанию. После взлома хакеры нередко добавляют в него собственные задачи, чтобы регулярно запускать вредоносные скрипты или вновь получать доступ к сайту даже после его очистки.

  5. Откройте доступ к одному сайту с одного (вашего) IP-адреса с помощью следующих строк в .htaccess:
    deny from all
    allow from xx.xxx.xx.xxx

    где xx.xxx.xx.xxx — ваш IP-адрес, который можно узнать с помощью любого специализированного онлайн-сервиса.

    После изоляции всех сайтов вам необходимо открыть доступ только к тому сайту, который вы восстанавливаете, и только для своего IP-адреса. Это не позволит посторонним пользователям и потенциальному злоумышленнику открыть сайт через браузер, но даст вам возможность безопасно выполнять работы по очистке и восстановлению.

  6. Проверьте, не появились ли в CMS сайта лишние пользователи с правами администратора.

    После взлома злоумышленники нередко создают собственные учётные записи с правами администратора, чтобы в любой момент снова получить доступ к сайту. Удалите все неизвестные учетные записи.

  7. Измените пароль администратора на новый и достаточно сложный.

    Если злоумышленники получили доступ к базе данных сайта, то высока вероятность того, что они завладели учётными данными всех пользователей, включая администратора. Поэтому даже после полной очистки сайта от вредоносных файлов остается риск, что они смогут войти в административную панель, используя ваш логин и пароль.

  8. Если сайт не использует SSL, включите SSL в свойствах www-домена и обратитесь в службу технической поддержки с просьбой установить бесплатный сертификат (например, Let's Encrypt) .

    SSL-сертификат шифрует данные, передаваемые между сайтом и посетителем, поэтому их значительно сложнее перехватить или подменить. Кроме того, сайты, работающие через защищенный протокол HTTPS, вызывают больше доверия у пользователей и лучше соответствуют современным требованиям безопасности.

  9. Обновите CMS до последней стабильной версии, возможно, для этого потребуется выполнить несколько последовательных обновлений.

    Обновление CMS устраняет известные уязвимости, через которые злоумышленники могли получить доступ к сайту. Если ваш сайт использует очень старую версию Joomla, может потребоваться несколько последовательных обновлений, поскольку перейти сразу к последней версии не всегда возможно.

  10. После обновления переименуйте каталог сайта с <sitename> в <sitename>.infected и создайте новый пустой каталог для сайта.

    Не работайте с заражёнными файлами напрямую. Переименование каталога позволяет сохранить их для дальнейшего анализа, а новый пустой каталог станет основой для развёртки чистой копии сайта без риска повторного использования заражённых файлов.

  11. Скачайте дамп базы данных сайта, после чего удалите базу и создайте новую пустую (если тарифный план допускает использование нескольких баз данных, то можно просто создать новую пустую базу данных, не удаляя старую).

    База данных содержит статьи, настройки и другой контент сайта, поэтому перед любыми изменениями обязательно создайте её резервную копию. Использование новой пустой базы данных помогает избежать переноса скрытых изменений или нежелательных настроек, которые могли быть оставлены злоумышленниками.

  12. Загрузите в только что созданный пустой каталог сайта дистрибутив последней стабильной версии CMS. Файлы CMS обязательно загружайте с официального сайта и устанавливайте CMS с нуля в пустую базу данных.

    Установка CMS с нуля гарантирует, что все системные файлы будут чистыми и не будут содержать скрытого вредоносного кода. Загружайте дистрибутив только с официального сайта разработчика, чтобы быть уверенными в его подлинности и безопасности.

  13. Загрузите в базу данных ранее созданный дамп или измените в конфигурационном файле CMS настройки БД и подключитесь к старой базе данных.

    После установки «чистой» CMS необходимо вернуть в неё содержимое вашего сайта: статьи, меню, настройки и другие данные, хранящиеся в базе данных. Если вы используете новую базу данных, импортируйте в неё резервную копию, а если оставили старую — просто укажите новые параметры подключения в конфигурационном файле CMS.

  14. Перенесите из каталога <sitename>.infected в соответствующие каталоги нового сайта изображения, документы, медиаконтент и другие пользовательские файлы. При этом внимательно следите за тем, чтобы в переносимых файлах не было .htaccess и исполняемых PHP-файлов. Не копируйте исполняемые файлы PHP, файлы .htaccess и другие системные элементы, поскольку именно в них чаще всего скрывается вредоносный код, который может повторно заразить уже восстановленный сайт.
  15. Установите/переустановите плагины и темы для CMS. Но перед их установкой обязательно проверьте, не обнаруживались ли в последнее время уязвимости в этих плагинах.

    Плагины и шаблоны могут содержать уязвимости, поэтому устанавливайте только их актуальные версии, загруженные из официальных источников. Перед установкой стоит проверить, не сообщали ли разработчики или специалисты по кибербезопасности о критических проблемах безопасности в этих расширениях.

  16. Защитите каталог с административной частью CMS с помощью http-авторизации (установите пароль на папку administrator для CMS Joomla).

    Дополнительный пароль на каталог административной части создает еще один уровень защиты, который затрудняет несанкционированный доступ к панели управления сайтом. Даже если злоумышленник узнает пароль администратора Joomla, без прохождения HTTP-авторизации он не сможет открыть страницу входа в административную панель.

Некоторые из приведенных шагов могут оказаться ненужными именно в вашей ситуации. Кроме того, восстановление сайта можно выполнять не только непосредственно на хостинге, но и на локальном сервере, а по завершении работ перенести готовый сайт вместе с базой данных на рабочий сервер.

Главное — понять сам принцип безопасного восстановления. Он заключается в том, чтобы развернуть чистую копию CMS из официального дистрибутива, перенести в неё только безопасные пользовательские файлы (например, изображения из каталога images) и подключить базу данных, в которой хранятся статьи, меню, настройки и другой контент сайта.

Такой подход значительно снижает риск повторного заражения.

Перед началом любых работ обязательно создайте полную резервную копию файлов сайта и базы данных. Это позволит вернуться к исходному состоянию, если во время восстановления возникнут непредвиденные проблемы.

Main Menu