W artykule omówię kroki jakie należy podjąć po włamaniu na system Joomla, a na końcu artykułu dobre zasady, których należy się trzymać aby nie stracić reputacji, klientów i pieniędzy.

Po stwierdzeniu włamania wyłączamy stronę najlepiej zmieniając nazwę głównego katalogu strony (public_html) tak, aby w przypadku wywoływań zdalnych skryptów, które np. rozsyłają spam uniemożliwić dalsze działania hackerów. Jeśli jest to serwer VPS wyłączamy usługi pocztowe i serwer WWW. Kolejną sprawą są roboty indeksujące. Jeśli wykryją, że na stronie jest podmieniona treść albo trojany po jakimś czasie usuną stronę z indeksu, czego naprawa będzie bardziej kosztowna niż 1-2 dni niedziałającej strony.

Po wyłączeniu. Robimy kopię wszystkich plików oraz kopię bazy danych, które zapisujemy sobie w osobnym folderze na wszelki wypadek. Zmieniamy wszystkie hasła do kont pocztowych, ftp do Joomla zmienimy w kolejnym etapie.

UWAGA, w moim artykule zupełnie nie omawiam najtrudniejszego z włamań, które polega na złamaniu zabezpieczeń hostingu, serwera i wejściu na konto przez konsolę SSH. Przy tego typu włamaniu nie obejdzie się bez pomocy bardziej doświadczonych specjalistów bądź administratorów.