SOS Joomla
hibajavítás

Vannak esetek, amikor azonnali beavatkozás szükséges egy-egy Joomla weboldal megmentése érdekében. A vírust, malware kódot tartalmazó weboldalt a keresőrobotok (Google, Bing, DuckDuckGo stb.) észlelik és felhasználóik érdekében nem ajánlják, sőt, megakadályozzák a megtekintésüket.

Ha több napon keresztül fennáll a kompromittáló, káros kódsor a weblapon, a legtöbb keresőmotor szankciókat, büntetéseket és lesorolást alkalmaz. Ugyanúgy lesorolás járhat olyan esetekben is, ha az oldal hibás, hibás adatokat tartalmaz, nem jelenik meg megfelelően, nem működik. Ilyenkor nem érdemes késlekedni, mert akár anyagi kár, bevételkiesés is keletkezhet ezekből a súlyos hibákból.

Tapasztalataink alapján a kisebb, nem napi szinten adminisztrált webhelyeknél a keresőmotor előbb érzékeli, hogy az oldal kártékony kódot, gyanús átírányítást tartalmaz, mint maga a webhelytulajdonos. Mindenestre a legtöbb esetben tudomást szerez róla, hiszen időnként "megtekinti" az oldalt, és ha van Search Console fiók, akkor ezt ott jelzi is. Az esetek többségében még használható is a Search Console támadási riportja.

Miután a hiba ténylegesen kijavításra kerül, érdemes azt a megfelelő űrlapon a Google-nek beküldeni. Egy gyors hibajavítással a Google leszedi, vagy jobb esetben fel sem rakja az oldalt a saját tiltólistájára, mely azzal jár, hogy az oldalt elkezdi kiszedni a találati listából.

Támadás hibaelhárítás után javasolt folyamatosan nézni a Search Console jelentéseit, mert így ha a támadók, támadó robotok mást is megfertőztek, akkor könnyebben tudomást tudunk róla szerezni.

Jogos kérdés, kinek áll érdekében megtámadni mondjuk egy nonprofit gyermekalapítvány weboldalát? Sejthető, hogy egy ilyen oldalon szenzitív adatok nem túlzottan találhatóak, ám az oldal tiszta és van reputációja, amely egy adathalász támadás esetán nagyon jól tud jönni a hackerek számára. Szoftvereikkel folyamatosan az ismert informatikai hibákat keresik (low hanging fruits), és ha be tudnak avatkozni, hogy átvegyék a weboldal adminisztrálását, akkor azt megteszik.

Jellemzően ezt is programok végzik, automatán keresik a sérülékenységeket és ahol megtalálják, oda például feltöltenek egy hamis netbankos belépési felületet. Ha ez megtörtént, más oldalakról megpróbálják átírányítani a látogatókat erre a felületre, mely első ránézésre ugyanúgy néz ki, mint a megszokott banki felület. Itt, aki megadja a jelszavát, azonosítóit, a weboldal továbbítja a hackerek felé, akik ezután már manuálisan akcióba lépnek. Mindezt úgy, hogy sem a webhely tulajdonosának, sem a látogatónak nem tűnik fel.

Ennél egyszerűbb, ha spam vagy adathalász levélküldésre használják fel a megtört weboldalunkat, így annak SEO értékét elinflálva, hiszen egy idő után feketelistára fogják rakni a hackelt weboldalt (és ennek eredményeképp a találati listából is elkezdik kivezetni). Amíg viszont ezt nem teszik meg, addig az egy érvényes email lesz, tehát nem a spambe fog menni. Ez alatt a kis idő alatt sokféle csalást, sok ezer levelet ki lehet küldeni.

Ezen kívül rengeteg féleképpen fel lehet használni egy bejáratott weboldalt, webshopot, hogy egy másik támadást fedezzen, vagy közvetlenül kiszolgálja azt. Éppen ezért nem válogatnak a robotok, hogy nonprofit weboldalt törnek-e meg, vagy egy egyszerű blogot.

Természetesen támadhatják. Ahogy azt a rendszert is támadhatják, amin a Joomla fut (PHP környezetet, CentOS-t, Cpanelt, Webmint stb.). Mivel a Wordpress egy jóval elterjedtebb CMS, mint a Joomla, (forrás: CMS statisztikák) ezért arra több kártékony kód létezik, hiszen nagyobb a támadási szórás, több oldalon lehetnek elérhetőek (befoltozatlanok) ugyanazok a támadási felületek.

Ettől a Wordpress rendszer nem lesz roszabb, és a Joomla sem lesz jobb, legfeljebb a hackelési valószínűség lehet magasabb a Wordpress esetében a Joomla-hoz viszonyítva.

• Az oldal feltűnően lassan tölt be
• Bizonyos menüpontokra lépve más webcímekre irányít az oldal, esetleg ismeretlen hirdetések jelennek meg, ismeretlen popup-ok (felugró ablakok) jönnek elő
• SPAM-be kerülnek a levelek, hirtelen lesorolás tapasztalható a keresők által
• A böngésző figyelmeztet arra, hogy az oldal kártékony kódokat tartalmaz
• A hosztingcég lezárja az oldal működését (belső víruskeresésük vírust talál)
• Teljesen más tartalmat (pl. bank belépési felületet) hoz be az oldal, mint amit kellene
• Furcsa hibaüzeneteket ír ki a weboldal, jellemzően a lábléc környékén
• Figyelmeztet a Google Search Console
• IT Biztonsági cég figyelmeztet emailben és feketelistára helyezi az oldalt vagy bizonyos részeit
• Új (admin) userek találhatóak az adatbázisban

• Folyamatosan frissítsük a CMS rendszert
• Ne használjunk (deprecated) öreg, nem használt bővítményeket
• Csak olyan bővítményt telepítsünk, ami megtalálható a JED-ben vagy aminek megvizsgáltuk a kódját.
• Tartsuk frissen a Joomla bővítményeit
• Használjunk friss PHP környeztet, minimum 7.4 felett
• Használjunk olyan hosztingprogramokat, ahol könnyedén tudunk menteni és visszaállítani (JetBackup, Softaculous, Installatron)
• Használjunk erős jelszavakat, erős felhasználóneveket, ezek legyenek egyediek, máshol ne használjuk őket
• Ne hagyjunk a public_html-ben zippelt állományokat (pl. adminisrator.zip stb.)
• Ha tehetjük, használjunk 2 lépcsős authentikációt a backenden (2FA)
• Lehetőleg minden JS-t, CSS-t, fontot, képet szolgáljunk ki a saját szerverünkről
• Időnként nézzük át az error logokat, illetve a Joomla Rendszerinformációjában a mappa jogosultság riportot
• Frissítéskor nézzük át, hogy mi van a patch-ben, tájékozódjunk a Joomla-s hírekről
• Ha Webmester / adminisztrátor jogosultságú felhasználót váltottunk, töröljük a régi felhasználót
• Nézzük át időnként a Joomla ACL riportját
• Használjunk valamilyen ReCaptcha szolgáltatást, ha engedélyezzük a felhasználói regisztrációt
• Szedjük ki egy pluginnal a Joomla Generator metakódot az oldalból