Joomla-website gehackt? Spoedherstel & malware verwijderen

Je homepage stuurt bezoekers door naar een apothekersite. Onder je vermelding in Google staat "Mogelijk is deze site gehackt". Er duiken vreemde pagina's in buitenlandse talen op in de zoekresultaten voor jouw domein. Je hostingpartij heeft een malwarewaarschuwing gestuurd of je account zelfs zonder pardon opgeschort. Wat je ook hierheen heeft gebracht: een gehackte Joomla-website is te herstellen, en hoe sneller het goed wordt aangepakt, hoe minder schade het aanricht.

Wij zijn Europese Joomla-specialisten. Het herstellen van gecompromitteerde Joomla-installaties — van verwaarloosde Joomla 1.5-relikwieën tot actief onderhouden Joomla 5- en 6-sites — doen we elke week. We verwijderen de infectie, sporen het toegangspunt op en sluiten het, herstellen je reputatie bij Google en de beheerders van blocklists, en laten je achter op een beveiligd, ondersteund platform zodat het niet nog eens gebeurt.

Vraag nu spoedhulp aan →

Signalen dat je Joomla-site is gehackt

Sommige inbraken kondigen zichzelf luid aan; de lucratieve verbergen zich. De meest voorkomende symptomen die we op Joomla-websites tegenkomen:

  • Doorverwijzingen — bezoekers (vaak alleen vanuit Google, of alleen op mobiel) belanden op spam-, oplichtings- of pornosites, terwijl de site er voor jou normaal uitziet.
  • Waarschuwingen in browser en zoekmachine — rode "Misleidende site"-schermen, het label "Mogelijk is deze site gehackt" of "Deze site kan schadelijk zijn voor je computer" in de Google-resultaten.
  • SEO-spam — duizenden pagina's die je nooit hebt aangemaakt verschijnen in de zoekresultaten voor jouw domein: zoekwoorden over medicijnen, namaakmerken, gokken, of pagina's in het Japans (de klassieke "Japanese keyword hack").
  • Defacement — je homepage vervangen door het visitekaartje van een hacker. Grof, maar in elk geval eerlijk.
  • Onbekende beheerdersaccounts — nieuwe Super Users in het Joomla-gebruikersbeheer die niemand in je team heeft aangemaakt.
  • Spammail vanaf je domein — je server verstuurt opeens duizenden berichten; de afleverbaarheid stort in en je IP-adres belandt op e-mailblocklists.
  • Onverklaarbare bestanden en vertragingen — vreemde PHP-bestanden in je installatie, pieken in CPU-gebruik, of een host die klaagt over misbruik van resources (vaak cryptomining of spamscripts).
  • Uitgeschakelde beveiligingstools — je beveiligingsextensie staat plotseling uit, of je bent buitengesloten uit je eigen beheeromgeving.

Verscheidene hiervan kunnen tegelijk actief zijn. Aanvallers verhullen hun wijzigingen routinematig — ze tonen schone pagina's aan ingelogde beheerders en laten de infectie alleen aan zoekmachinecrawlers zien — en daarom is "bij mij ziet het er prima uit" nooit een bewijs dat de site schoon is.

Eerste stappen: wat je nu meteen moet doen

Voordat er een specialist bij betrokken raakt, zijn er dingen die je in het eerste uur veilig zelf kunt doen — en dingen die je juist beter kunt laten.

  1. Haal de site offline of zet hem in onderhoudsmodus. Elk uur dat een gecompromitteerde site online blijft, infecteert hij bezoekers, verstuurt hij spam en graaft hij je zoekreputatie dieper in het verderf. De offlinemodus van Joomla is het minimum; de site op hostingniveau blokkeren is beter.
  2. Wijzig elk wachtwoord — Joomla Super User-accounts, het hosting-controlepaneel, FTP/SFTP en de databasegebruiker. Gebruik lange, unieke wachtwoorden. Als je eigen computer de bron van de gestolen inloggegevens zou kunnen zijn, scan hem dan vóór je de nieuwe intikt.
  3. Bewaar het bewijs — begin niet met verwijderen. Maak een volledige back-up van de site en database zoals die nu is, geïnfecteerd, en download de toegangslogs van de server (die rouleren en verdwijnen snel). Aan de hand van die logs wordt het toegangspunt gevonden. Verdachte bestanden verwijderen vóór de analyse vernietigt het spoor en laat de achterdeur meestal gewoon openstaan.
  4. Zet niet zomaar de back-up van vorige week terug en ga door alsof er niets is gebeurd. Een herstel zonder diagnose plaatst dezelfde kwetsbare extensie, dezelfde gestolen inloggegevens en dezelfde ongepatchte Joomla terug — en heel vaak bevat de back-up zelf de achterdeur al. Teruggezette sites worden binnen enkele dagen opnieuw gehackt; we zien het voortdurend.
  5. Noteer de tijdlijn. Wanneer begonnen de symptomen? Wat is er recent veranderd — nieuwe extensies, nieuwe gebruikers, een hostingmigratie? Elk detail verkort het onderzoek.

Schakel daarna deskundige hulp in. Stuur ons wat je weet via onze contactpagina — inclusief "mijn host heeft het account opgeschort" als dat de situatie is — en wij nemen het vanaf daar over.

Waarom Joomla-sites worden gehackt

Aanvallen op websites van kleine bedrijven zijn vrijwel nooit persoonlijk bedoeld. Bots scannen het hele internet dag en nacht af op bekende kwetsbare software, en ze compromitteren wat ze maar vinden — een dorpsbakker en een multinational krijgen exact dezelfde behandeling. Bij Joomla-sites is het toegangspunt bijna altijd een van vier zaken:

Een Joomla-versie die end-of-life is

Joomla 3 kreeg zijn laatste beveiligingspatch in 2023; Joomla 4 bereikte end-of-life in oktober 2025. Elke kwetsbaarheid die sinds die data is ontdekt, blijft permanent openstaan op sites die er nog op draaien — en de details van kwetsbaarheden zijn openbaar, dus misbruik wordt binnen enkele dagen na bekendmaking geautomatiseerd. Een groot deel van de herstelwerkzaamheden die we uitvoeren betreft Joomla 1.5-, 2.5- en 3-sites die "prima werkten" tot ze het opeens niet meer deden. Herken je dit? Dan zijn herstel en een upgrade naar een ondersteunde versie hetzelfde project.

Kwetsbare of verlaten extensies

Het meest voorkomende afzonderlijke toegangspunt. Oude editors, bestandsbeheerders, formuliercomponenten en sliderplug-ins met bekende exploits — vaak extensies die de site niet eens meer gebruikt, maar die geïnstalleerd en vergeten op de plank liggen. Elke extensie is PHP-code die met de rechten van je site draait; een verlaten extensie is een open zijdeur.

Gestolen of zwakke inloggegevens

Hergebruikte wachtwoorden die in niet-gerelateerde datalekken zijn buitgemaakt, "admin/admin123", gedeelde accounts, geen multifactorauthenticatie, en malware op de computer van een beheerder die opgeslagen FTP-wachtwoorden oogst. De aanvaller breekt niet in; hij logt gewoon in.

De hostingomgeving

Op slecht geïsoleerde shared hosting kan een kwetsbare buur jouw probleem worden: één gecompromitteerd account wordt gebruikt om elke site te infecteren die de aanvaller op dezelfde server kan bereiken. Juist dit risico op kruisbesmetting is de reden dat onze managed Joomla-hosting uitsluitend sites draait die wij zelf hebben gebouwd of geüpgraded — wij bepalen wat er op de server staat, dus geen onbekende buur kan je platleggen.

Anatomie van een typische inbraak

Begrijpen hoe deze incidenten zich voltrekken, verklaart waarom een degelijk herstel eruitziet zoals het eruitziet. Het patroon dat we uit de serverlogs reconstrueren is opvallend consistent:

Weken voordat je iets merkt identificeert een geautomatiseerde scanner je site als draaiend op exploiteerbare software en buit een script die kwetsbaarheid uit — door een kleine "webshell" te uploaden, een bestand dat de aanvaller toegang op afstand geeft. Er verandert niets zichtbaars. Vervolgens nestelt de aanvaller (of vaker nog: zijn automatisering) zich stilletjes in: extra achterdeuren op verschillende plekken, een malafide beheerdersaccount, soms geplande taken die de achterdeur opnieuw aanmaken als die wordt verwijderd. Die redundantie is het hele punt — daarom beëindigt het verwijderen van dat ene verdachte bestand dat je vond nooit een incident.

Daarna begint het te gelde maken, en dat is meestal het moment waarop je erachter komt: spampagina's overspoelen de index van Google, doorverwijzingen schakelen in voor zoekverkeer, of de server begint phishingmail uit te pompen. Tegen de tijd dat de symptomen verschijnen, is de inbraak doorgaans al weken oud — wat eveneens verklaart waarom "zet de back-up van vorige week terug" zo vaak de achterdeur samen met de site terugplaatst.

De logs vertellen het verhaal. De toegangslogs van de webserver registreren het exploitverzoek, de uploads en elk daaropvolgend bezoek aan de achterdeur. Daarom is het direct bewaren van de logs zo belangrijk, en daarom begint ons proces met forensisch onderzoek in plaats van het verwijderen van bestanden: de logs wijzen het toegangspunt aan, het toegangspunt bepaalt de oplossing, en de oplossing is wat de site schoon houdt nadat wij vertrokken zijn.

Ons herstelproces

Joomla-herstel is forensisch werk, geen kwestie van bestanden verwijderen. Het proces dat we op elke gecompromitteerde site uitvoeren:

1. Triage en indamming

We brengen de situatie in kaart, halen de site veilig offline als dat nog niet zo is, stellen een forensische kopie van bestanden, database en logs veilig, en grendelen de toegang af — overal nieuwe inloggegevens, sessies beëindigd, onbekende beheerdersaccounts uitgeschakeld.

2. Onderzoek

Aan de hand van de serverlogs, de tijdstempels van bestanden en de malware zelf stellen we vast hoe de aanvaller binnenkwam, wanneer, en wat hij heeft aangeraakt. Deze stap scheidt herstel van cosmetische schoonmaak: als het toegangspunt niet wordt geïdentificeerd en gesloten, raakt de site opnieuw geïnfecteerd.

3. Opschoning

De Joomla-core wordt in zijn geheel vervangen door schone bestanden van de juiste release. Elke extensie wordt doorgelicht — legitieme extensies opnieuw geïnstalleerd uit schone bronnen, verlaten en kwetsbare exemplaren verwijderd. We sporen webshells, achterdeuren en geïnjecteerde code op in het bestandssysteem, in templates en overrides, in .htaccess, en in de database zelf, waar aanvallers doorverwijzingen, spamlinks en malafide beheerdersaccounts verstoppen in inhouds- en configuratietabellen.

4. Hardening

Overal verse inloggegevens en beveiligingssleutels, multifactorauthenticatie op beheerdersaccounts, correcte bestandsrechten, beperkingen op de beheerderstoegang, een web application firewall, en het verwijderen van elke achtergebleven installer, back-uparchief en verweesd script dat in de webroot rondslingert.

5. Reputatieherstel

Zodra de site aantoonbaar schoon is, vragen we via Google Search Console om een herbeoordeling om de waarschuwingen "misleidende site" en "gehackte site" te laten verwijderen, dienen we verwijderverzoeken in bij de relevante blocklists, handelen we de nasleep van SEO-spam af (geïnjecteerde pagina's uit de index halen), en controleren we e-mailblocklists als de server spam heeft verstuurd.

6. Rapport en nazorgplan

Je ontvangt een rapport in begrijpelijke taal: hoe ze binnenkwamen, wat ze deden, wat we hebben verwijderd, wat we hebben veranderd, en wat er hierna moet gebeuren. Met het oog op gegevensbescherming (zie hieronder) is deze documentatie net zo belangrijk als de opschoning zelf.

Hoelang duurt het herstel?

De indamming gebeurt op dag één — de site stopt binnen enkele uren nadat we beginnen met het schaden van bezoekers en je reputatie. Volledige opschoning en hardening van een typische Joomla-site van een klein bedrijf duurt één tot drie dagen, afhankelijk van de omvang van de site, de diepte van de infectie en de staat van de onderliggende Joomla-versie. De herbeoordeling door Google na een opschoonverzoek heft de browserwaarschuwingen doorgaans binnen enkele dagen na indiening op; resterende SEO-spam in de zoekresultaten kan langer in de index blijven hangen, en we houden dat in de gaten tot het verdwenen is.

Sites op een Joomla-versie die end-of-life is duren langer, want een eerlijk herstel houdt in dat we je op een ondersteund platform krijgen — het heeft geen zin een site op te poetsen die volgende maand via dezelfde ongepatchte core opnieuw gecompromitteerd wordt.

De AVG-klok: 72 uur

Voor Europese bedrijven is een gehackte website niet alleen een technisch incident — het kan een datalek van persoonsgegevens zijn. Als je site klantgegevens bevat (gebruikersaccounts, formulierinzendingen, bestellingen, nieuwsbriefaanmeldingen) en die gegevens mogelijk zijn ingezien, schrijft artikel 33 van de AVG voor dat je binnen 72 uur na ontdekking van het lek melding maakt bij je toezichthoudende autoriteit, tenzij het onwaarschijnlijk is dat het lek een risico voor de betrokkenen oplevert. Wanneer het risico voor individuen hoog is, moeten ook de betrokkenen zelf worden geïnformeerd.

Hier verdient de forensische kant van ons proces zichzelf terug: ons onderzoek stelt vast welke gegevens de aanvaller daadwerkelijk kon bereiken, en ons rapport geeft je de gedocumenteerde feiten die jij (en je juridisch adviseur) nodig hebben om te bepalen of melding vereist is en om die melding correct te doen. In welke richting dan ook gokken — stilletjes hopen dat er niets is buitgemaakt, of klanten in paniek waarschuwen voor een lek dat nooit persoonsgegevens raakte — zijn beide kostbare fouten. Onze AVG-compliancedienst dekt de voorbereidingskant af, zodat als er een volgende keer is, de gegevensinventaris en het responsplan al bestaan.

Opschonen, opnieuw bouwen of upgraden?

Niet elke gecompromitteerde site verdient een één-op-één herstel, en we vertellen je eerlijk in welke situatie je zit:

  • Ondersteunde Joomla, geïsoleerd lek — opschonen, harden, klaar. De site draait door op zijn huidige versie met betere verdediging.
  • Joomla die end-of-life is (1.x, 2.5, 3, 4) — opschonen én upgraden, als één project. We redden je inhoud en gegevens en bouwen vervolgens opnieuw op Joomla 5 of 6 via ons gestructureerde upgradeproces. Een niet-ondersteunde site opschonen zonder hem te upgraden is je twee keer laten betalen voor dezelfde hack.
  • Diep geïnfecteerd, stokoud of niet meer rendabel te repareren — een verse Joomla 6-build die je geverifieerd schone inhoud hergebruikt, is soms sneller en goedkoper dan archeologie. We offreren beide routes en laten jou kiezen.

Veilig blijven daarna

Vrijwel elke gehackte site die we herstellen heeft hetzelfde verhaal: niemand werkte hem bij, niemand hield hem in de gaten, en de hosting was wat in 2017 het goedkoopst was. De oplossing daarvoor is structureel, geen heldendaad:

  • Onderhoudsplannen — updates die prompt worden toegepast, beveiligingsmonitoring, dagelijkse back-ups buiten de server, en uptimecontroles, zodat kwetsbaarheden worden gepatcht voordat bots ze vinden.
  • Managed Europese hosting — een gecontroleerde serveromgeving zonder onbekende buren, proactieve monitoring, en infrastructuur die door dezelfde mensen wordt beheerd die je site onderhouden.
  • Best practice voor hardening — MFA op elk beheerdersaccount, gebruikers met minimale rechten, en een minimale set extensies. Onze Joomla-beveiligingsgids beschrijft hoe goed eruitziet.

Herstelklanten die overstappen op een onderhoudsplan krijgen de monitoringperiode na de hack inbegrepen — pogingen tot herinfectie zijn het meest waarschijnlijk in de eerste weken, en daar letten we op.

Wat kost het herstel van een Joomla-hack?

Dat hangt af van drie dingen: de omvang en complexiteit van de site, de diepte van de inbraak, en of de onderliggende Joomla-versie wordt ondersteund of end-of-life is. Een ingedamde infectie op een onderhouden Joomla 5-site zit aan de onderkant; een uitdijende Joomla 2.5-site met jarenlang opgestapelde extensies, spaminjectie op databaseniveau, en een vereiste platformupgrade is een groter project. We brengen het eerst in kaart en offreren een vaste prijs voordat het werk begint — geen open einde van uurtje-factuurtje terwijl je leegbloedt, en geen kosten voor de eerste beoordeling.

Ter context: de kosten van een professioneel herstel zijn vrijwel altijd lager dan de kosten van het alternatief — weken verloren verkeer onder een Google-waarschuwing, een mailserver op een blocklist, weggelopen klanten, en in het ergste geval een toezichthouder die vraagt waarom een ongepatchte site klantgegevens bewaarde.

Wat we van je nodig hebben om te starten

Het herstel verloopt het snelst wanneer de toegang samen met de aanvraag binnenkomt. Houd klaar wat je kunt — en maak je geen zorgen over wat niet lukt; we beginnen routinematig met veel minder:

  • Toegang tot het hosting-controlepaneel (of de naam van je hostingpartij en een contactpersoon met wie we kunnen schakelen — essentieel als het account is opgeschort).
  • SFTP/FTP- en database-inloggegevens, of de mogelijkheid om die in het paneel aan te maken.
  • Een Joomla Super User-login, als je er nog een hebt die werkt.
  • Welke back-ups er ook bestaan, hoe oud ook — zelfs een kopie van jaren geleden is waardevol als schone referentie om bestanden tegen af te zetten.
  • Toegang tot Google Search Console (of we voegen onszelf toe tijdens de opdracht) voor de herbeoordeling van waarschuwingen en het verwijderen van spampagina's.
  • De tijdlijn — wanneer de symptomen begonnen, recente wijzigingen, en eventuele e-mails van je host of van Google.

Alles wordt onder een geheimhoudingsovereenkomst afgehandeld, inloggegevens worden aan het eind van de opdracht vervangen, en — als EU-bedrijf dat op EU-infrastructuur werkt — hoeven je gegevens de Europese jurisdictie nooit te verlaten om het werk te kunnen uitvoeren.

De preventiechecklist

Als je site niet is gehackt en je dat zo wilt houden, sluiten deze acht punten de deuren waar de bovenstaande aanvallen doorheen lopen. Het is precies wat we controleren in de gratis audit:

  1. Joomla-core op een ondersteunde versie (5.x of 6.x) met updates die binnen enkele dagen na release worden toegepast, niet binnen enkele maanden.
  2. Elke extensie actief onderhouden door de ontwikkelaar — en elke ongebruikte extensie verwijderd, niet alleen uitgeschakeld.
  3. Multifactorauthenticatie afgedwongen op alle beheerdersaccounts.
  4. Unieke, sterke wachtwoorden voor Joomla, hosting, FTP en database — nergens hergebruik van inloggegevens.
  5. Dagelijkse geautomatiseerde back-ups die buiten de server worden bewaard, waarbij het terugzetten ook echt getest is.
  6. Een web application firewall vóór de site en beperkte beheerderstoegang.
  7. PHP op een ondersteunde versie en correct ingestelde bestandsrechten.
  8. Iemand die verantwoordelijk is voor het bewaken van al het bovenstaande — een mens met naam en toenaam, geen hoop.

Punt acht is het punt dat het vaakst faalt, en het is de hele reden dat onderhoudsplannen bestaan.

Veelgestelde vragen

Kan ik niet gewoon een back-up terugzetten en verdergaan?

Terugzetten verwijdert de zichtbare symptomen, maar houdt de kwetsbaarheid in stand — en vaak ook de achterdeur, als de back-up van na de eerste inbraak dateert (aanvallers zitten meestal weken onopgemerkt voordat ze iets zichtbaars doen). Zonder het toegangspunt te vinden en te sluiten, is herinfectie een kwestie van dagen. Terugzetten-en-bidden is de meest voorkomende reden dat sites voor de tweede of derde keer gehackt bij ons aankomen.

Waarom zou iemand mijn kleine website hacken?

Niemand koos jou — een bot vond je. Gecompromitteerde sites zijn handelswaar: ze worden te gelde gemaakt voor spamhosting, het injecteren van SEO-links, phishingpagina's, het verspreiden van malware en cryptomining. De waarde van je site voor een aanvaller is de schone reputatie en de gratis serverresources, niet je inhoud.

Verdwijnt de Google-waarschuwing na de opschoning?

Ja — na een geverifieerde opschoning vragen we via Google Search Console om een herbeoordeling, en de waarschuwingen worden doorgaans binnen enkele dagen opgeheven. Geïnjecteerde spampagina's kunnen wat langer in de zoekresultaten blijven hangen terwijl Google opnieuw crawlt; wij handelen de verwijderverzoeken af en monitoren tot je vermeldingen schoon zijn.

Mijn hostingpartij heeft mijn account opgeschort. Kunnen jullie dan toch helpen?

Ja. Dit is routine: we schakelen met de host, verkrijgen de bestanden, logs en database (hosts werken mee als er een professionele opschoning gaande is), voeren het herstel uit, en geven de host de bevestiging die hij nodig heeft om de dienst te hervatten. Als het incident de hosting zelf als onderdeel van het probleem blootlegt, is overstappen naar onze managed hosting op dat moment eenvoudig.

De site is heel oud — Joomla 1.5 / 2.5. Is die überhaupt nog te herstellen?

Te herstellen, ja — je inhoud en gegevens kunnen altijd worden gered. Maar de site kan niet veilig worden gemaakt op zijn oorspronkelijke platform, omdat er geen beveiligingspatches voor bestaan. Voor sites die zo oud zijn betekent herstel: je inhoud eruit halen en opschonen, en dan opnieuw bouwen op modern Joomla. Je houdt je site terug, sneller en ondersteund, in plaats van een opgelapte last.

Moet ik de hack melden onder de AVG?

Alleen als er waarschijnlijk persoonsgegevens zijn gecompromitteerd en het lek een risico vormt voor de betrokkenen — wat afhangt van wat je site opslaat en wat de aanvaller heeft bereikt. Ons forensische rapport geeft je de feitelijke basis voor die beslissing; het venster van 72 uur maakt snel handelen essentieel. Bij twijfel: win liever vroeg dan laat advies in.

Krijg je site terug

Hoe eerder een inbraak goed wordt aangepakt, hoe kleiner de schade — voor je bezoekers, je zoekposities en je reputatie. Vertel ons wat je ziet en wij reageren met een beoordeling en een vaste offerte.

Neem contact op voor spoedherstel →

Niet gehackt — alleen bezorgd? Onze gratis siteaudit controleert je Joomla-versie, bekende kwetsbaarheden en beveiligingshouding voordat iemand anders dat doet.

Wellicht ook interessant voor je