Sito Joomla violato? Recupero d'emergenza e rimozione malware

La tua homepage reindirizza a un sito di farmaci online. Sotto il tuo risultato, Google mostra l'avviso "Questo sito potrebbe essere stato violato". Tra i risultati di ricerca per il tuo dominio compaiono pagine strane in lingue straniere. Il tuo provider di hosting ti ha inviato un avviso di malware, o ha addirittura sospeso l'account. Qualunque sia il motivo che ti ha portato qui: un sito Joomla violato si può recuperare e, prima viene gestito nel modo corretto, minori sono i danni.

Siamo specialisti Joomla europei. Recuperare installazioni Joomla compromesse — dai reperti di Joomla 1.5 trascurati ai siti Joomla 5 e 6 mantenuti attivamente — fa parte di ciò che facciamo ogni settimana. Eliminiamo l'infezione, individuiamo e chiudiamo il punto di accesso, ripristiniamo la tua reputazione presso Google e i gestori delle blocklist e ti lasciamo su una piattaforma sicura e supportata, così che non si ripeta.

Richiedi assistenza d'emergenza ora →

I segnali che il tuo sito Joomla è stato violato

Alcune compromissioni si manifestano apertamente; quelle redditizie si nascondono. Ecco i sintomi più comuni che riscontriamo sui siti Joomla:

  • Reindirizzamenti — i visitatori (spesso solo quelli provenienti da Google, o solo da mobile) vengono inviati verso siti di spam, truffe o contenuti per adulti, mentre a te il sito appare normale.
  • Avvisi del browser e dei motori di ricerca — le schermate rosse "Sito ingannevole", oppure le etichette "Questo sito potrebbe essere stato violato" o "Questo sito potrebbe danneggiare il tuo computer" nei risultati di Google.
  • Spam SEO — migliaia di pagine che non hai mai creato compaiono nei risultati di ricerca per il tuo dominio: parole chiave farmaceutiche, marchi contraffatti, gioco d'azzardo o pagine in giapponese (il classico "Japanese keyword hack").
  • Defacement — la tua homepage sostituita dal biglietto da visita di un hacker. Volgare, ma almeno onesto.
  • Account amministratore sconosciuti — nuovi Super User nel gestore utenti di Joomla che nessuno del tuo team ha creato.
  • Email di spam dal tuo dominio — il tuo server inizia improvvisamente a inviare migliaia di messaggi; la recapitabilità crolla e il tuo IP finisce nelle blocklist di posta elettronica.
  • File anomali e rallentamenti — strani file PHP nella tua installazione, picchi di utilizzo della CPU, o l'host che si lamenta di un abuso di risorse (spesso cryptomining o script di spam).
  • Strumenti di sicurezza disattivati — la tua estensione di sicurezza risulta misteriosamente spenta, oppure ti ritrovi bloccato fuori dal tuo stesso pannello di amministrazione.

Diversi di questi sintomi possono presentarsi contemporaneamente. Gli aggressori mascherano abitualmente le proprie modifiche — mostrando pagine pulite agli amministratori connessi e l'infezione solo ai crawler dei motori di ricerca — ed è per questo che "a me sembra tutto a posto" non è mai una prova che il sito sia pulito.

Primi passi: cosa fare subito

Prima ancora che intervenga uno specialista, ci sono cose che puoi fare in sicurezza nella prima ora — e cose che dovresti specificamente evitare di fare.

  1. Metti il sito offline o in modalità manutenzione. Ogni ora che un sito compromesso resta pubblico, infetta i visitatori, invia spam e affossa ancora di più la tua reputazione nei motori di ricerca. La modalità offline di Joomla è il minimo indispensabile; bloccare il sito a livello di hosting è meglio.
  2. Cambia tutte le password — gli account Super User di Joomla, il pannello di controllo dell'hosting, FTP/SFTP e l'utente del database. Usa password lunghe e univoche. Se il tuo computer potrebbe essere la fonte delle credenziali rubate, eseguine una scansione prima di digitare quelle nuove.
  3. Conserva le prove — non iniziare a cancellare. Crea un backup completo del sito e del database nello stato attuale, infetto, e scarica i log di accesso del server (ruotano e spariscono in fretta). I log sono ciò che permette di individuare il punto di accesso. Cancellare i file sospetti prima dell'analisi distrugge le tracce e di solito lascia la backdoor al suo posto.
  4. Non limitarti a ripristinare il backup della settimana scorsa per poi andare avanti. Un ripristino senza diagnosi rimette in funzione la stessa estensione vulnerabile, le stesse credenziali rubate, lo stesso Joomla non aggiornato — e molto spesso il backup stesso contiene già la backdoor. I siti ripristinati vengono violati di nuovo nel giro di giorni; lo vediamo continuamente.
  5. Annota la cronologia degli eventi. Quando sono iniziati i sintomi? Cosa è cambiato di recente — nuove estensioni, nuovi utenti, una migrazione di hosting? Ogni dettaglio accorcia l'indagine.

Poi affidati a chi è competente. Inviaci ciò che sai tramite la nostra pagina dei contatti — incluso "il mio host ha sospeso l'account" se è questa la tua situazione — e da lì pensiamo a tutto noi.

Perché i siti Joomla vengono violati

Gli attacchi ai siti delle piccole imprese non sono quasi mai personali. I bot scansionano l'intera rete 24 ore su 24 alla ricerca di software con vulnerabilità note e compromettono tutto ciò che trovano — un panificio di paese e una multinazionale ricevono lo stesso identico trattamento. Sui siti Joomla, il punto di accesso è quasi sempre una di queste quattro cose:

Una versione di Joomla a fine vita

Joomla 3 ha ricevuto la sua ultima patch di sicurezza nel 2023; Joomla 4 ha raggiunto la fine del ciclo di vita a ottobre 2025. Ogni vulnerabilità scoperta dopo quelle date resta aperta in modo permanente sui siti che le usano ancora — e i dettagli delle vulnerabilità sono pubblici, quindi lo sfruttamento viene automatizzato entro pochi giorni dalla divulgazione. Buona parte dei recuperi che eseguiamo riguarda siti Joomla 1.5, 2.5 e 3 che "funzionavano benissimo" fino al momento in cui hanno smesso di farlo. Se è il tuo caso, il recupero e l'aggiornamento a una versione supportata sono lo stesso progetto.

Estensioni vulnerabili o abbandonate

È il singolo punto di accesso più comune. Vecchi editor, file manager, componenti per i form e plugin slider con exploit noti — spesso estensioni che il sito non utilizza nemmeno più, installate e dimenticate. Ogni estensione è codice PHP che gira con i privilegi del tuo sito; una abbandonata è una porta laterale lasciata aperta.

Credenziali rubate o deboli

Password riutilizzate finite in violazioni di dati di terzi, "admin/admin123", account condivisi, assenza di autenticazione a più fattori e malware sul computer di un amministratore che raccoglie le password FTP salvate. L'aggressore non sfonda; semplicemente accede.

L'ambiente di hosting

Su un hosting condiviso mal isolato, un vicino vulnerabile può diventare un tuo problema: un account compromesso viene usato per infettare ogni sito che l'aggressore riesce a raggiungere sullo stesso server. Questo rischio di contaminazione incrociata è esattamente il motivo per cui il nostro hosting Joomla gestito ospita solo siti che abbiamo realizzato o aggiornato noi stessi — controlliamo ciò che gira sul server, così nessun vicino sconosciuto può mandarti offline.

Anatomia di una tipica compromissione

Capire come si sviluppano questi incidenti spiega perché un recupero fatto bene segue un certo percorso. Lo schema che ricostruiamo dai log del server è notevolmente costante:

Settimane prima che tu noti qualcosa, uno scanner automatizzato individua il tuo sito come basato su software sfruttabile e uno script lo compromette — caricando una piccola "webshell", un file che dà all'aggressore il controllo remoto. Nulla cambia in modo visibile. L'aggressore (o, più spesso, la sua automazione) si insedia quindi in silenzio: backdoor aggiuntive in posizioni diverse, un utente amministratore fasullo, a volte attività pianificate che ricreano la backdoor se viene cancellata. La ridondanza è il punto chiave — è il motivo per cui cancellare l'unico file sospetto che hai trovato non pone mai fine a un incidente.

Poi inizia la monetizzazione, ed è di solito allora che te ne accorgi: pagine di spam inondano l'indice di Google, i reindirizzamenti si attivano per il traffico di ricerca, oppure il server inizia a sfornare email di phishing. Quando compaiono i sintomi, la compromissione ha tipicamente già settimane di vita — ed è anche per questo che "ripristina il backup della settimana scorsa" così spesso ripristina la backdoor insieme al sito.

I log raccontano la storia. I log di accesso del server registrano la richiesta dell'exploit, i caricamenti e ogni visita successiva alla backdoor. È per questo che conservare subito i log conta così tanto, ed è il motivo per cui il nostro processo parte dall'analisi forense anziché dalla cancellazione di file: i log identificano il punto di accesso, il punto di accesso determina la soluzione, e la soluzione è ciò che mantiene il sito pulito dopo il nostro intervento.

Il nostro processo di recupero

Il recupero di Joomla è un lavoro forense, non una semplice cancellazione di file. Ecco il processo che applichiamo a ogni sito compromesso:

1. Triage e contenimento

Valutiamo la situazione, mettiamo il sito offline in sicurezza se non lo è già, mettiamo al sicuro una copia forense di file, database e log e blocchiamo gli accessi — nuove credenziali ovunque, sessioni terminate, account amministratore sconosciuti disabilitati.

2. Indagine

Servendoci dei log del server, dei timestamp dei file e del malware stesso, stabiliamo come l'aggressore è entrato, quando e cosa ha toccato. È questa la fase che distingue un vero recupero da una pulizia cosmetica: se il punto di accesso non viene identificato e chiuso, il sito verrà reinfettato.

3. Pulizia

I file core di Joomla vengono sostituiti integralmente con versioni pulite della release corretta. Ogni estensione viene verificata — quelle legittime reinstallate da fonti pulite, quelle abbandonate e vulnerabili rimosse. Diamo la caccia a webshell, backdoor e codice iniettato nel file system, nei template e negli override, nel file .htaccess e all'interno dello stesso database, dove gli aggressori nascondono reindirizzamenti, link di spam e utenti amministratore fasulli dentro le tabelle dei contenuti e della configurazione.

4. Hardening

Credenziali e chiavi di sicurezza nuove ovunque, autenticazione a più fattori sugli account amministratore, permessi sui file corretti, restrizioni sull'accesso all'area di amministrazione, un web application firewall e la rimozione di ogni installer residuo, archivio di backup e script orfano lasciato nella web root.

5. Recupero della reputazione

Una volta che il sito è dimostrabilmente pulito, richiediamo una revisione tramite Google Search Console per rimuovere gli avvisi "sito ingannevole" e "sito violato", inviamo richieste di rimozione alle blocklist pertinenti, gestiamo le conseguenze dello spam SEO (eliminando le pagine iniettate dall'indice) e controlliamo le blocklist di posta elettronica se il server stava inviando spam.

6. Report e piano di assistenza post-intervento

Ricevi un report in linguaggio chiaro: come sono entrati, cosa hanno fatto, cosa abbiamo rimosso, cosa abbiamo modificato e cosa deve succedere ora. Ai fini della protezione dei dati (vedi sotto), questa documentazione conta tanto quanto la pulizia stessa.

Quanto tempo richiede il recupero?

Il contenimento avviene nel primo giorno — il sito smette di danneggiare i visitatori e la tua reputazione entro poche ore dall'inizio del nostro intervento. La pulizia completa e l'hardening di un tipico sito Joomla di una piccola impresa richiedono da uno a tre giorni, a seconda delle dimensioni del sito, della profondità dell'infezione e dello stato della versione Joomla sottostante. La revisione di Google dopo una richiesta di pulizia rimuove tipicamente gli avvisi del browser entro pochi giorni dall'invio; lo spam SEO residuo nei risultati di ricerca può impiegare più tempo a uscire dall'indice, e noi lo monitoriamo finché non sparisce.

I siti su versioni di Joomla a fine vita richiedono più tempo, perché un recupero onesto include il passaggio a una piattaforma supportata — non ha senso lucidare un sito che verrà nuovamente compromesso attraverso lo stesso core non aggiornato il mese prossimo.

Il conto alla rovescia del GDPR: 72 ore

Per le imprese europee, un sito web violato non è solo un incidente tecnico — può essere una violazione di dati personali. Se il tuo sito conserva dati dei clienti (account utente, invii di form, ordini, iscrizioni alla newsletter) e tali dati potrebbero essere stati consultati, l'articolo 33 del GDPR impone la notifica alla tua autorità di controllo entro 72 ore dal momento in cui si viene a conoscenza della violazione, a meno che sia improbabile che la violazione presenti un rischio per le persone interessate. Quando il rischio per gli individui è elevato, anche gli interessati stessi devono essere informati.

È qui che la componente forense del nostro processo si dimostra preziosa: la nostra indagine stabilisce a quali dati l'aggressore poteva effettivamente accedere, e il nostro report ti fornisce i fatti documentati che tu (e il tuo consulente legale) avete bisogno per decidere se la notifica è necessaria e per effettuarla in modo accurato. Tirare a indovinare in una delle due direzioni — sperare in silenzio che non sia stato sottratto nulla, oppure notificare nel panico ai clienti una violazione che non ha mai toccato dati personali — sono entrambi errori costosi. Il nostro servizio di conformità al GDPR copre il lato della preparazione, così che, se ci sarà una prossima volta, l'inventario dei dati e il piano di risposta esistano già.

Pulire, ricostruire o aggiornare?

Non ogni sito compromesso merita un ripristino identico all'originale, e ti diremo onestamente in quale caso ti trovi:

  • Joomla supportato, violazione isolata — pulire, mettere in sicurezza, fatto. Il sito prosegue sulla versione attuale con difese migliori.
  • Joomla a fine vita (1.x, 2.5, 3, 4) — pulire e aggiornare, come un unico progetto. Recuperiamo i tuoi contenuti e dati, poi ricostruiamo su Joomla 5 o 6 attraverso il nostro processo di aggiornamento strutturato. Pulire un sito non supportato senza aggiornarlo significa farti pagare due volte per lo stesso attacco.
  • Profondamente infetto, datato o non più conveniente da riparare — una nuova realizzazione su Joomla 6 che riutilizza i tuoi contenuti verificati come puliti è a volte più rapida ed economica dell'archeologia digitale. Preventiviamo entrambe le strade e ti lasciamo scegliere.

Restare al sicuro in seguito

Quasi tutti i siti violati che recuperiamo hanno la stessa storia alle spalle: nessuno li aggiornava, nessuno li teneva d'occhio e l'hosting era quello più economico in circolazione nel 2017. Il rimedio è strutturale, non eroico:

  • Piani di manutenzione — aggiornamenti applicati tempestivamente, monitoraggio della sicurezza, backup giornalieri esterni al server e controlli di uptime, così che le vulnerabilità vengano corrette prima che i bot le trovino.
  • Hosting europeo gestito — un ambiente server controllato senza vicini sconosciuti, monitoraggio proattivo e un'infrastruttura gestita dalle stesse persone che mantengono il tuo sito.
  • Buone pratiche di hardening — MFA su ogni account amministratore, utenti con privilegi minimi e un numero ridotto di estensioni. La nostra Guida alla sicurezza di Joomla spiega come dovrebbe essere fatto bene.

I clienti del servizio di recupero che passano a un piano di manutenzione ricevono incluso il periodo di monitoraggio post-attacco — i tentativi di reinfezione sono più probabili nelle prime settimane, e noi li teniamo d'occhio.

Quanto costa il recupero di un Joomla violato?

Dipende da tre fattori: le dimensioni e la complessità del sito, la profondità della compromissione e se la versione di Joomla sottostante sia supportata o a fine vita. Un'infezione circoscritta su un sito Joomla 5 mantenuto si colloca nella fascia bassa; un sito Joomla 2.5 esteso, con anni di estensioni accumulate, iniezione di spam a livello di database e un aggiornamento di piattaforma necessario, è un progetto più grande. Valutiamo prima e preventiviamo un prezzo fisso prima di iniziare i lavori — niente conteggio a ore senza limiti mentre tu perdi sangue, e nessun costo per la valutazione iniziale.

Per dare un'idea: il costo di un recupero professionale è quasi sempre inferiore al costo dell'alternativa — settimane di traffico perso sotto un avviso di Google, un mail server in blocklist, clienti persi e, nel peggiore dei casi, un'autorità di controllo che chiede perché un sito non aggiornato conservava dati dei clienti.

Cosa ci serve da te per iniziare

Il recupero procede più rapidamente quando gli accessi arrivano insieme alla richiesta. Prepara ciò che puoi — e non preoccuparti di ciò che non hai; iniziamo abitualmente con molto meno:

  • Accesso al pannello di controllo dell'hosting (oppure il nome del tuo provider di hosting e un contatto con cui possiamo interfacciarci — essenziale se l'account è sospeso).
  • Credenziali SFTP/FTP e del database, oppure la possibilità di crearle nel pannello.
  • Un accesso Super User di Joomla, se ne hai ancora uno funzionante.
  • Qualsiasi backup esistente, per quanto datato — anche una copia vecchia di anni è preziosa come riferimento pulito con cui confrontare i file.
  • Accesso a Google Search Console (oppure ci aggiungiamo noi durante l'intervento) per la revisione degli avvisi e la rimozione delle pagine di spam.
  • La cronologia degli eventi — quando sono iniziati i sintomi, le modifiche recenti, eventuali email dal tuo host o da Google.

Tutto viene gestito sotto un accordo di riservatezza, le credenziali vengono rinnovate al termine dell'intervento e — essendo un'azienda dell'UE che lavora su infrastrutture dell'UE — i tuoi dati non hanno mai bisogno di lasciare la giurisdizione europea perché il lavoro venga svolto.

La checklist della prevenzione

Se il tuo sito non è stato violato e intendi che resti così, questi otto punti chiudono le porte attraverso cui passano gli attacchi descritti sopra. Sono esattamente ciò che verifichiamo nell'audit gratuito:

  1. Core di Joomla su una versione supportata (5.x o 6.x) con aggiornamenti applicati entro pochi giorni dal rilascio, non dopo mesi.
  2. Ogni estensione mantenuta attivamente dal suo sviluppatore — e ogni estensione inutilizzata disinstallata, non solo disabilitata.
  3. Autenticazione a più fattori imposta su tutti gli account amministratore.
  4. Password univoche e robuste per Joomla, hosting, FTP e database — nessun riutilizzo di credenziali da nessuna parte.
  5. Backup automatici giornalieri archiviati esternamente al server, con il ripristino effettivamente testato.
  6. Un web application firewall davanti al sito e l'accesso all'area di amministrazione limitato.
  7. PHP su una versione supportata e permessi sui file impostati correttamente.
  8. Qualcuno responsabile del controllo di tutto quanto sopra — una persona in carne e ossa, non una speranza.

L'ottavo punto è quello che viene meno più spesso, ed è l'intera ragione per cui esistono i piani di manutenzione.

Domande frequenti

Posso semplicemente ripristinare un backup e andare avanti?

Il ripristino elimina i sintomi visibili ma mantiene la vulnerabilità — e spesso anche la backdoor, se il backup è successivo alla compromissione iniziale (gli aggressori restano comunemente inosservati per settimane prima di fare qualcosa di visibile). Senza individuare e chiudere il punto di accesso, la reinfezione è questione di giorni. "Ripristina e prega" è il motivo più comune per cui i siti arrivano da noi violati per la seconda o terza volta.

Perché qualcuno dovrebbe violare il mio piccolo sito?

Nessuno ha scelto te — un bot ti ha trovato. I siti compromessi sono merce: vengono monetizzati per l'hosting di spam, l'iniezione di link SEO, le pagine di phishing, la distribuzione di malware e il cryptomining. Il valore del tuo sito per un aggressore è la sua reputazione pulita e le risorse server gratuite, non i tuoi contenuti.

L'avviso di Google sparirà dopo la pulizia?

Sì — dopo una pulizia verificata richiediamo una revisione tramite Google Search Console e gli avvisi vengono tipicamente rimossi entro pochi giorni. Le pagine di spam iniettate possono permanere nei risultati di ricerca un po' più a lungo, mentre Google effettua una nuova scansione; gestiamo noi le richieste di rimozione e monitoriamo finché i tuoi risultati non sono puliti.

Il mio provider di hosting ha sospeso l'account. Potete comunque aiutarmi?

Sì. È una situazione di routine: ci interfacciamo con l'host, otteniamo i file, i log e il database (gli host collaborano quando è in corso una pulizia professionale), eseguiamo il recupero e forniamo all'host la conferma di cui ha bisogno per ripristinare il servizio. Se l'incidente rivela che l'hosting stesso è parte del problema, a quel punto passare al nostro hosting gestito è semplice.

Il sito è molto vecchio — Joomla 1.5 / 2.5. È addirittura recuperabile?

Recuperabile sì — i tuoi contenuti e dati possono sempre essere salvati. Ma non può essere reso sicuro sulla sua piattaforma originale, perché non esistono patch di sicurezza per essa. Per i siti così datati, recupero significa estrarre e pulire i tuoi contenuti, per poi ricostruire su un Joomla moderno. Ti ritrovi con il tuo sito di nuovo online, più veloce e supportato, anziché un rappezzo a rischio.

Devo segnalare l'attacco ai sensi del GDPR?

Solo se è probabile che siano stati compromessi dati personali e la violazione comporti un rischio per le persone interessate — il che dipende da cosa conserva il tuo sito e da cosa ha raggiunto l'aggressore. Il nostro report forense ti fornisce la base fattuale per quella decisione; la finestra di 72 ore rende essenziale agire in fretta. Nel dubbio, fatti consigliare presto anziché tardi.

Riprenditi il tuo sito

Prima una compromissione viene gestita nel modo corretto, minore è il danno — per i tuoi visitatori, il tuo posizionamento nei risultati di ricerca e la tua reputazione. Raccontaci cosa stai osservando e ti risponderemo con una valutazione e un preventivo a prezzo fisso.

Contattaci per il recupero d'emergenza →

Non sei stato violato — solo preoccupato? Il nostro audit gratuito del sito controlla la tua versione di Joomla, le vulnerabilità note e il tuo livello di sicurezza prima che lo faccia qualcun altro.

Potrebbe interessarti anche