Zalecenia

1. Zmień wszystkie ważne i istotne hasła
   Podczas ataku, włamywacze prawdopodobnie poznali Twoje hasła. Postaraj się jak najszybciej zmienić WSZYSTKIE hasła takie jak - hasło Administratora Joomli, hasło do bazy danych, hasło do logowania do poczty, do panelu administracyjnego. Podsumowując: zmień wszystkie hasła. Staraj się wszędzie używać innego hasła, zmniejszy to skutki przyszłych włamań.
2. Sprawdź logi serwera
   Zobacz gdzie i w jaki sposób atakujący zdobyli dostęp do Twojej strony. Możesz to uczynić poprzez uważne przejrzenie logów serwera. Uważnie zanotuj nazwy plików oraz czas w którym zostały zaatakowane. Pamiętaj że te logi mogą zostać usunięte lub wyczyszczone, więc brak niepokojących wpisów w logach nie musi oznaczać że nic się nie stało.
3. Lista niedawno zmodyfikowanych plików
   Zanim zaczniesz robić jakiekolwiek zmiany na stronie, sporządź listę ostatnio modyfikowanych plików.Tutaj jest skrypt który wygeneruje liste zmienianych plików. Usuń ten plik od razu po stworzeniu listy! Nie podawaj linku do tego pliku nikomu - nawet znajomym!
4. Zanotuj podejrzane ostatnio stworzone pliki
   Użyj tej listy by sprawdzić które pliki nie są właściwe na Twojej stronie. Zwróć szczególną uwagę na ich datę utworzenia oraz modyfikacji - porównaj je z datami ataków które zebrałeś w punkcie pierwszym ( z logów serwera).
5. Zanotuj podejrzane ostatnio zmodyfikowane pliki
   Użyj tej listy by sprawdzić które pliki nie są właściwe na Twojej stronie. Zwróć szczególną uwagę na ich modyfikacji - porównaj je z datami ataków które zebrałeś w punkcie pierwszym ( z logów serwera).
6. Współpracuj z Twoim hostingodawcą
   Jeśli zidentyfikowałeś już, w jaki sposób dokonano włamania, napisz do administratorów hostingu o tym. Jeśli korzystasz z hostingu dzierżawionego, możliwe że zostałeś zaatakowany z innego podatnego na włamania konta. Napisz o tym administratorom. Szanowana firma doceni Twoje stara w tej kwestii.
7. Skasuj cały katalog /public_html/ To jest najlepsze wyjście by zagwarantować że każda potencjalna dziura na stronie zostanie usunięta.
8. Usuń powiązane bazy danych/rekordy
   Ten krok może być zrobiony tylko w przypadku gdy masz dobre kopie bazy danych. Proste skrypty próbują tylko zainfekować stronę główną, nie psują bazy danych. Niestety, zdarzają się także profesjonalne skrypty, które działają po to by uzyskać prywatne dane użytkowników ze strony takie jak hasła. Skrypty te mogą udawać proste skrypty, by wielokrotnie ponawiać atak i tym samym nieraz ukraść dane z Twojej strony.
9. Przeinstaluj wszystko na stronie
   Użyj kopii strony sprzed włamania. Jeśli jej nie masz - idź do kroku 10.
10. Jeszcze raz zmodyfikuj wszystkie hasła
    Jeszcze raz musisz zmodyfikować wszystkie hasła, by mieć absolutną pewność że żaden ukryty wcześniej robak nie poznał któregokolwiek z Twoich nowych haseł.
11. Przebuduj stronę: Jeśli niemożliwe jest by odzyskać stronę z kopii z sprzed włamania zmuszony jesteś do zbudowania strony od początku używając do tego oryginalnych instalatorów - najlepiej takich które nigdy nie miały styczności z zainfekowanym serwerem. Używaj tylko stabilnych wersji komponentów, modułów dodatków, jak i samej Joomli. Zaglądaj także na listę podatnych na włamania dodatków.
12. Przejrzyj procesy bezpieczeństwa
    Przejrzyj standardowe, zalecane ustawienia bezpieczeństwa dla plików takichjak php.ini, globals.php, configuration.php, .htaccess, et cetera.
13. Zainteresuj się tworzeniem kopii bezpieczeństwa
    Jeśli nadal nie masz kopii bezpieczeństwa - dodaj niezawodny proces tworzenia kopii do swoich administracyjnych nawyków.
14. Obserwuj uważnie
    Atakujący często powracają na strony które wcześniej zaatakowali. Przygotuj się na to i w miarę możliwość postaraj się maksymalnie zabezpieczyć stronę przed włamaniem

Więcej informacji

1. Joomla! Admin Security Checklist
2. You think your site got hacked? Read this first, please!!!
3. Discussion topic for this FAQ