En Joomla-webb som blivit hackad brukar visa det på ett av tre sätt: konstig text eller reklam dyker upp på sidor, webben omdirigerar besökare till okända adresser, eller så är den helt nere med ett kryptiskt felmeddelande. Ibland märker du det inte alls — det är Google Search Console eller ditt antivirusprogram som flaggar det.
Oavsett hur du fick reda på det gäller samma sak: agera fort, men inte paniksnabbt.
Ta webben offline direkt
Första steget är att begränsa skadan. Sätt webben i underhållsläge eller ta ner den tillfälligt via din webbhotellspanel. Det stoppar spridning av skadlig kod till besökarna och hindrar angriparen från att fortsätta använda webben.
Om du inte kommer åt Joomla-adminpanelen — vilket är vanligt om lösenordet ändrats — logga in direkt via FTP eller filhanteraren hos ditt webbhotell och lägg en enkel index.html överst som ersätter index.php temporärt.
Bekräfta att du faktiskt blivit hackad
Inte allt som ser konstigt ut är ett hack. En misslyckad uppdatering eller ett trasigt tillägg kan orsaka liknande symptom.
Sök i filsystemet efter typiska tecken på kompromiss:
- PHP-filer på ställen där de inte hör hemma, exempelvis i
images/-mappen - Ny kod överst i
index.phpellerconfiguration.phpsom du inte lade dit - Filer med namn som
shell.php,c99.phpeller slumpmässiga strängar eval(base64_decode(...))-kod i PHP-filer
Du kan också köra webbadressen genom vårt gratis webbtest för en snabb yttre genomgång.
Ta en backup — av det hackade tillståndet
Det låter bakvänt, men ta en kopia av allt innan du gör något mer. Du behöver den om du vill undersöka hur intrånget gick till, och din hostingleverantör kan vilja ha den för sin egen utredning.
Om du har en ren backup från innan hacket — perfekt. Återställ den till en staging-miljö, verifiera att den är ren och publicera sedan om. Men hoppa inte förbi resten av den här guiden för det; du behöver fortfarande täppa till hålet som användes.
Hitta hur de tog sig in
Detta är steget de flesta hoppar över, och det är därför samma webbplats hackas igen inom veckor.
Vanliga ingångspunkter i Joomla:
Föråldrade tillägg. Det absolut vanligaste. Tredjepartskomponenter, moduler och plugins uppdateras oregelbundet av många Joomla-ägare, och gamla versioner innehåller kända hål.
Svaga administratörslösenord. Brute force mot /administrator-inloggningen är standardprocedur för automatiserade angripare. Om lösenordet var under tolv tecken eller återanvändes från annan tjänst — anta att det är orsaken.
Komprometterat webbhotell. Ibland är problemet inte din Joomla-installation utan en annan webb på samma hosting-konto. Skadlig kod från en gammal, övergiven WordPress-installation kan sprida sig.
Kolla serverns access-loggar om du kan. Ovanligt många förfrågningar mot /administrator/ under en kort period pekar mot brute force. En fil som plötsligt POST:ades mot är sannolikt en webshell som laddades upp.
Städa upp — eller börja om
Om du vet att du har en ren backup som är färsk nog — återställ den. Det är snabbare och säkrare än att försöka rensa manuellt.
Har du ingen bra backup behöver du gå igenom filerna för hand eller med ett verktyg. Joomla har inget inbyggt malware-scanner, men du kan:
- Ladda ner en ren version av samma Joomla-version och jämföra kärnfilerna
- Ta bort alla tillägg du inte aktivt använder
- Ersätt kärnfiler med de officiella versionerna
- Sök igenom
tmp/,cache/ochimages/efter PHP-filer och radera dem
Databasen bör du också titta igenom. Skadlig JavaScript kan injiceras direkt i innehållstabellerna, speciellt jos_content. Sök efter <script-taggar och iframe-taggar i din databas som inte ska vara där.
Har du en mer komplex situation hjälper vi på Sitesupport med hackad Joomla och kan ta hand om hela processen.
Täpp till hålet
När du städat upp och fått webben ren igen — och inte förrän då — är det dags att hindra nästa attack.
Uppdatera Joomla till senaste versionen. Uppdatera alla tillägg. Ta bort sådant du inte använder — inaktiverade tillägg som fortfarande finns installerade är lika farliga som aktiva. Byt alla lösenord: administrator, FTP, databas. Skapa ett nytt administratörskonto och radera det gamla om det användes under intrånget.
Aktivera tvåfaktorsautentisering på administratörskontot. Joomla har haft inbyggt stöd för det sedan version 3.2.
Överväg också att byta URL:en till admingränssnittet. Standardadressen /administrator är känd för alla. Tillägg som AdminExile eller RSFirewall kan göra det.
Anmäl och informera vid behov
Om webben samlade in personuppgifter och den hackade koden kan ha exponerat dem — kontaktformulär, kundregister, betaldata — har du sannolikt en anmälningsskyldighet till Integritetsskyddsmyndigheten (IMY) inom 72 timmar. Det är ett separat ämne, men det är värt att ha i bakhuvudet.
Ett löpande Joomla-supportavtal innebär att uppdateringar sköts regelbundet och att någon faktiskt kollar att allt ser rätt ut — utan att du behöver tänka på det.