Joomla jest nadal bardzo popularnym systemem CMS do budowy prostych, jak i bardziej złożonych serwisów WWW.

Wielu naszych klientów korzysta z oprogramowania Joomla na naszych serwerach wirtualnych. Jak każde inne, Joomla wymaga przestrzegania zasad bezpieczeństwa. Popularność Joomli sprawia, że jest ona bardzo częstym celem ataków. Pozostawienie więc na serwerze nieaktualnej instalacji, używanie zbyt prostych haseł, czy też instalacja rozszerzenia pochodzącego z niezaufanych źródeł, może oznaczać konieczność zmierzenia się z faktem uzyskania dostępu przez niepowołaną osobę trzecią.

Włamanie przez wykorzystanie luk w oprogramowaniu bądź złamanie hasła może być bardzo groźne w skutkach. Hacker może zmodyfikować treść strony, doprowadzić do usunięcia cennych materiałów, bądź też wykorzystać dostęp do rozsyłania niechcianej korespondencji. Nasze serwery są wyposażone w mechanizmy służące szybkiemu wykrywaniu takich incydentów. W takich wypadkach jesteśmy zmuszeni do całkowitego zablokowania dostępu do zainfekowanego oprogramowania, co niestety powoduje niedostępność całej strony internetowej.

Co zrobić w momencie, gdy strona oparta o Joomla zostanie zainfekowana i osoba trzecia uzyska nieautoryzowany dostęp?

Zabezpieczanie dostępu z zewnątrz

W pierwszej kolejności musisz zablokować dostęp do strony z zewnątrz, jeśli administrator serwera nie założył takowej blokady. Wykorzystaj do tego plik .htaccess, który prawdopodobnie już się znajduje w folderze, gdzie masz zainstalowaną Joomlę. Jeśli nie, utwórz go. Na górze pliku dodaj zapis:

order deny,allow
deny from all
allow from TWÓJ_ADRES_IP

Taki zapis powoduje, że wyłącznie z Twojego adresu IP będzie można uzyskać dostęp do strony. Pozwoli Ci to w bezpieczny sposób wykonać niezbędne prace. Dopóki wszystkie poniższe czynności nie zostaną wykonane, nie wolno całkowicie zdejmować blokady.

Znajdowanie i usuwanie złośliwego oprogramowania

Skorzystaj na początku z narzędzia do poszukiwania wirusów na koncie (na naszych serwerach jest to Skaner Antywirusowy ClamAV). Pliki wykryte przez skaner należy usunąć lub oczyścić. Oczyszczenie pliku jest niezbędne, jeżeli dany plik jest częścią oprogramowania Joomla i został zainfekowany, zaś jego usunięcie spowoduje uszkodzenie całej instalacji. Istnieje jednak duże prawdopodobieństwo, że skaner nie wykryje całego złośliwego kodu.

Nastepnie przejrzyj przy użyciu protokołu FTP bądź Menedżera Plików wszystkie foldery i pliki na swoim koncie. Bardzo często złośliwe oprogramowanie znajduje się w plikach o nazwach podobnych do plików systemowych Joomla i trudno je zauważyć. Najczęściej jednak podglądając zawartość takiego pliku widać, że jest ona zaszyfrowana (np. plik zaczyna się od funkcji eval oraz base64_decode, która wykonuje kod zaszyfrowany funkcją base64). Poszukaj więc wszystkich wywołań tych funkcji. Często złośliwe oprogramowanie posiada ukryty kod, np. rozdzielone nazwy funkcji, bądź wywołania pobierane z cookies. Warto poszukać też np. takich wystąpień:

"base" . "64_decode
$_COOKIE =
@include

Zwróć też uwagę na daty modyfikacji plików, gdyż złośliwe oprogramowanie często ma inne daty modyfikacji, niż pozostałe pliki.

Sprawdź trzy razy, czy na pewno całe złośliwe oprogramowanie zostało usunięte, również w podfolderach. Czy na przykład folder z obrazkami zawiera jakieś pliki php? Jeśli tak, to sygnał, że problem nie został rozwiązany. Pamiętaj, że przeoczenie jakiegoś złośliwego pliku to zostawienie furtki włamywaczowi do ponownego uzyskania dostępu do Twojego bloga. Porównaj zawartość plików na serwerze do oryginalnych plików Twojego oprogramowania.

Dostęp administracyjny

W menu "Użytkownicy" sprawdź listę kont z uprawnieniami administracyjnymi. Często się zdarza, że osoba trzecia uzyskując dostęp tworzy dodatkowe konto administracyjne. Usuń wszystkie konta, których nie znasz. Wszystkim pozostałym administratorom zmień hasła na nowe, odpowiednio trudne. Pamiętaj, że włamanie mogło nastąpić nie ze względu na błędy oprogramowania, ale też z powodu stosowania zbyt prostych haseł.

Joomla - lista użytkowników z uprawnieniami administracyjnymi

Wersja Joomla

Czy posiadasz zainstalowaną najnowszą wersję Joomla? Sprawdzisz to w menu "Komponenty" -> "Aktualizacja Joomla". Jeśli dostęna jest aktualizacja, z tego poziomu możesz ją pobrać i wykonać. Możesz również ponownie zainstalować Joomlę w tej samej wersji, jeśli podejrzewasz, że jakieś jej pliki zostały uszkodzone. Zwróć uwagę jednak, że nadpisanie uszkodzonych bądź zainfekowanych plików nie rozwiąże problemu, jeżeli atakujący pozostawił inne pliki o innych nazwach niż standardowe.

Joomla - aktualizacja core

Co jednak, jeśli korzystasz z Joomla w wersji 1.x lub 2.x? Niestety nie mamy tutaj dobrych wieści. Przede wszystkim powinieneś sprawdzić, czy korzystasz z najnowszych wersji w ramach danego wydania, a jeśli nie to natychmiast wykonać aktualizację. Najnowsze wersje z drzewa 1.x to 1.5.26 wydane w marcu 2012, zaś z drzewa 2.x to 2.5.28 wydane w grudniu 2014. Od tego czasu żadna z tych wersji nie jest już rozwijana. Co gorsze, w obydwu znaleziono krytyczne błędy bezpieczeństwa. Istnieją dla nich tzw. hot-fixy, o których mowa na oficjalnej stronie Joomla. Można i należy je stamtąd pobrać, a następnie zaaplikować. Nie ma jednak żadnej gwarancji, że inne problemy nie pojawią się wkrótce.

Nie ma również możliwości prostej aktualizacji do wersji 3.x z wersji 1.x lub 2.x. Istnieją co prawda narzędzia, które pomagają w wykonaniu takich aktualizacji, najczęściej jednak kończą się one niepowodzeniem. Wynika to ze stosowanych komponentów czy szablonów strony, które muszą być dostosowane do nowych wersji Joomla, a najczęściej nie są. Wykonanie takiej aktualizacji możesz zlecić specjalistom, będzie to jednak dość kosztowne. Dlatego też warto rozważyć całkowitą rezygnację z użytkowania starej wersji Joomla i dokonanie czystej instalacji najnowszej wersji.

Aktualizacje komponentów

Joomla proponuje również aktualizacje swoich komponentów. Jeżeli na liście aktualizacji pojawiają się takowe, wykonaj je jak najszybciej.

Joomla - automatycznie wykrywane aktualizacje

Niestety wiele komponentów nie będzie automatycznie wykrywać aktualizacji. W takim wypadku musisz je ręcznie przejrzeć i dla każdego z nich sprawdzić na stronie autora, czy wydawane są dla nich aktualizacje.

Joomla - komponenty

W przypadku starszych komponentów często się zdarza, że ich rozwój został zakończony. Korzystanie z takich komponentów może nieść ze sobą duże ryzyko. Wszystkie takie komponenty zalecamy niezwłocznie usunąć, nawet jeśli spowoduje to problemy z działaniem niektórych części strony.

Rejestracja nowych użytkowników

Jeśli nie jest to absolutnie wymagane, zablokuj możliwość rejestracji nowych użytkowników w swoim serwisie. Większość takich rejestracji to roboty, które liczą na uzyskanie dostępu do niepublicznych części witryny, badź możliwość umieszczania własnych, śmieciowych treści. Jeśli jednak musisz pozwolić na rejestracje (np. prowadzisz mały sklep internetowy w oparciu o Joomla), upewnij się, że nowi użytkownicy nie otrzymują uprawnień administracyjnych.

Joomla - ustawienia rejestracji użytkowników

Uruchomienie i sprawdzenie działania strony

Czy zmieniłeś wszystkie hasła związane z Twoim kontem? Mowa tu o głównym haśle do logowania się do konta, hasła do dodatkowych kont FTP, hasło logowania do bazy danych MySQL, oraz hasła administratorów strony. Pamiętaj, stosuj trudne hasła, zawierające małe i duże litery oraz cyfry. Nie stosuj w haśle imion lub popularnych słów.

Pamiętaj, że powyższe czynności musisz powtórzyć dla każdej instalacji oprogramowania na swoim koncie, jeśli masz ich więcej niż jedną. Jeśli jakaś instalacja jest niepotrzebna, możesz ją też całkowicie usunąć. Jeśli wszystkie czynności są zakończone, możesz zdjąć blokadę i ponownie uruchomić swój serwis.

Zgłoszenie usunięcia problemu do Google

Jeśli Twoja strona w Google jest oznaczona, jako strona dokonująca ataków lub wyłudzająca dane, musisz zgłosić do Google prośbę o jej ponowne przeanalizowanie. W tym celu musisz zalogować się do narzędzia Google Search Console, następnie autoryzować dostęp do swojej domeny internetowej oraz wysłać prośbę przy użyciu dedykowanego formularza. Google poprosi Cię też o opisanie wykonanych działań zabezpieczających witrynę przed włamaniami w przyszłości.

Zamów usługę dla swojej instalacji Joomla

Mamy nadzieję, że powyższe informacje okazały się przydatne i być może zdecydujesz się na wykonanie tych czynności samodzielnie. Pamiętaj jednak, że nieodpowiednia realizacja dowolnego kroku grozi ryzykiem ponownej infekcji oprogramowania oraz ponownej blokady. Rozważ skorzystanie z pomocy specjalistów, którzy nie tylko rozwiążą wszystkie zauważone problemy ale na dodatek zaoferują gwarancję, że Twoja strona internetowa będzie działać bez dalszych przerw.

Zobacz opis naszej usługi oczyszczania z wirusów i konserwacji WordPress oraz Joomla i skontaktuj się z nami jak najszybciej.

Masz pytania?

Masz pytania? Jesteśmy do Twojej dyspozycji! Skontaktuj się z nami. Zapraszamy!