Hackad Joomla-webbplats? Akut sanering och borttagning av skadlig kod

Din startsida omdirigerar till en apotekssajt. Google visar "Den här webbplatsen kan vara hackad" under din träff. Konstiga sidor på främmande språk dyker upp i sökresultaten för din domän. Ditt webbhotell har skickat en varning om skadlig kod – eller stängt av kontot helt. Oavsett vad som förde dig hit: en hackad Joomla-webbplats går att rädda, och ju snabbare den hanteras på rätt sätt, desto mindre skada gör den.

Vi är europeiska Joomla-specialister. Att rädda komprometterade Joomla-installationer – från eftersatta Joomla 1.5-relikter till aktivt underhållna Joomla 5- och 6-sajter – är något vi gör varje vecka. Vi rensar bort infektionen, hittar och stänger ingångsvägen, återställer ditt anseende hos Google och hos operatörer av spärrlistor, och lämnar dig på en säkrad plattform med support så att det inte händer igen.

Få akut hjälp nu →

Tecken på att din Joomla-sajt har blivit hackad

Vissa intrång gör väsen av sig; de lönsamma håller sig dolda. De vanligaste symtomen vi ser på Joomla-webbplatser:

  • Omdirigeringar – besökare (ofta bara de som kommer från Google, eller bara på mobil) skickas vidare till spam-, bluff- eller porrsajter, medan sajten ser helt normal ut för dig.
  • Varningar i webbläsare och sök – röda skärmar med "Falsk webbplats", samt etiketter som "Den här webbplatsen kan vara hackad" eller "Den här webbplatsen kan skada din dator" i Googles resultat.
  • SEO-spam – tusentals sidor du aldrig skapat som dyker upp i sökresultaten för din domän: läkemedelsord, piratkopierade varumärken, spel om pengar eller sidor på japanska (den klassiska "japanese keyword hack").
  • Defacement – din startsida ersatt med en hackares visitkort. Plumpt, men åtminstone ärligt.
  • Okända administratörskonton – nya superanvändare i Joomlas användarhanterare som ingen i ditt team har skapat.
  • Spam-e-post från din domän – din server börjar plötsligt skicka tusentals meddelanden; leveransbarheten kollapsar och din IP hamnar på spärrlistor för e-post.
  • Oförklarliga filer och tröghet – märkliga PHP-filer i din installation, plötsliga toppar i CPU-användning, eller ett webbhotell som klagar på resursmissbruk (ofta kryptobrytning eller spamskript).
  • Avstängda säkerhetsverktyg – din säkerhetsextension är på mystiskt vis avslagen, eller så är du utelåst från din egen admin.

Flera av dessa kan pågå samtidigt. Angripare maskerar rutinmässigt sina ändringar – de visar rena sidor för inloggade administratörer och infektionen enbart för sökmotorernas robotar – och därför är "det ser ju bra ut för mig" aldrig något bevis för att sajten är ren.

Första stegen: vad du ska göra direkt

Innan någon specialist blir inblandad finns det saker du tryggt kan göra under den första timmen – och saker du uttryckligen bör undvika.

  1. Ta sajten offline eller sätt den i underhållsläge. Varje timme en komprometterad sajt är publik smittar den besökare, skickar spam och gräver ner ditt sökanseende djupare. Joomlas offline-läge är minimum; att blockera sajten på webbhotellsnivå är ännu bättre.
  2. Byt varenda lösenord – Joomlas superanvändarkonton, webbhotellets kontrollpanel, FTP/SFTP och databasanvändaren. Använd långa, unika lösenord. Om din egen dator kan vara källan till stulna inloggningsuppgifter, scanna den innan du skriver in de nya.
  3. Bevara bevisen – börja inte radera. Ta en fullständig säkerhetskopia av sajt och databas som de ser ut just nu, infekterade, och ladda ner serverns åtkomstloggar (de roteras och försvinner snabbt). Det är via loggarna ingångsvägen hittas. Att radera misstänkta filer före analysen förstör spåret och lämnar oftast bakdörren kvar.
  4. Återställ inte bara förra veckans backup och kör vidare. En återställning utan diagnos sätter tillbaka samma sårbara extension, samma stulna inloggningsuppgifter, samma opatchade Joomla – och väldigt ofta innehåller backupen redan bakdörren. Återställda sajter blir hackade igen inom några dagar; vi ser det hela tiden.
  5. Notera tidsförloppet. När började symtomen? Vad ändrades nyligen – nya extensioner, nya användare, en flytt av webbhotell? Varje detalj kortar utredningen.

Skaffa sedan kompetent hjälp. Skicka det du vet via vår kontaktsida – inklusive "mitt webbhotell har stängt av kontot" om det är där du befinner dig – så tar vi det därifrån.

Varför Joomla-sajter blir hackade

Attacker mot småföretagssajter är nästan aldrig personliga. Bottar scannar hela internet dygnet runt efter känd sårbar programvara, och de komprometterar allt de hittar – ett bybageri och en multinationell koncern får exakt samma behandling. På Joomla-sajter är ingångsvägen nästan alltid en av fyra saker:

En Joomla-version som nått slutet på sin livscykel

Joomla 3 fick sin sista säkerhetsuppdatering 2023; Joomla 4 nådde slutet på sin livscykel i oktober 2025. Varje sårbarhet som upptäckts efter de datumen förblir permanent öppen på sajter som fortfarande kör dem – och detaljerna kring sårbarheterna är offentliga, så utnyttjandet automatiseras inom några dagar efter att de blivit kända. En stor del av de saneringar vi utför är Joomla 1.5-, 2.5- och 3-sajter som "fungerade alldeles utmärkt" ända fram till att de inte gjorde det. Om det här är du, så är sanering och en uppgradering till en version med support ett och samma projekt.

Sårbara eller övergivna extensioner

Den vanligaste enskilda ingångsvägen. Gamla editorer, filhanterare, formulärkomponenter och slider-plugins med kända sårbarheter – ofta extensioner som sajten inte ens använder längre, men som ligger kvar installerade och bortglömda. Varje extension är PHP-kod som körs med sajtens behörigheter; en övergiven sådan är en olåst sidodörr.

Stulna eller svaga inloggningsuppgifter

Återanvända lösenord som fastnat i orelaterade dataintrång, "admin/admin123", delade konton, ingen tvåfaktorsautentisering, och skadlig kod på en administratörs egen dator som skördar sparade FTP-lösenord. Angriparen bryter sig inte in; de loggar in.

Hostingmiljön

På dåligt isolerad delad hosting kan en sårbar granne bli ditt problem: ett komprometterat konto används för att infektera alla sajter angriparen kommer åt på samma server. Det är just den här risken för korskontaminering som gör att vår managed Joomla-hosting enbart kör sajter vi själva byggt eller uppgraderat – vi har kontroll över vad som finns på servern, så ingen okänd granne kan dra ner dig.

Anatomin hos ett typiskt intrång

Att förstå hur de här incidenterna utspelar sig förklarar varför en ordentlig sanering ser ut som den gör. Mönstret vi rekonstruerar från serverloggarna är anmärkningsvärt likartat:

Veckor innan du märker någonting identifierar en automatiserad scanner din sajt som körande sårbar programvara, och ett skript utnyttjar sårbarheten – och laddar upp ett litet "webshell", en fil som ger angriparen fjärrkontroll. Inget synligt ändras. Angriparen (eller oftare deras automatik) gräver sedan tyst ner sig: ytterligare bakdörrar på olika platser, en oäkta adminanvändare, ibland schemalagda jobb som återskapar bakdörren om den raderas. Redundansen är hela poängen – och det är därför ett raderande av den enda misstänkta fil du hittat aldrig avslutar en incident.

Sedan börjar monetiseringen, och det är oftast då du får reda på det: spamsidor översvämmar Googles index, omdirigeringar slås på för söktrafik, eller så börjar servern pumpa ut nätfiskemejl. När symtomen väl visar sig är intrånget vanligtvis flera veckor gammalt – vilket också är varför "återställ förra veckans backup" så ofta återställer bakdörren tillsammans med sajten.

Loggarna berättar historien. Webbserverns åtkomstloggar registrerar exploit-anropet, uppladdningarna och varje efterföljande besök hos bakdörren. Det är därför det är så viktigt att bevara loggarna omedelbart, och därför vår process börjar med forensik snarare än filradering: loggarna identifierar ingångsvägen, ingångsvägen avgör åtgärden, och åtgärden är det som håller sajten ren efter att vi lämnar.

Vår saneringsprocess

Joomla-sanering är forensiskt arbete, inte bara filradering. Processen vi kör på varje komprometterad sajt:

1. Triage och inneslutning

Vi bedömer situationen, tar tryggt sajten offline om den inte redan är det, säkrar en forensisk kopia av filer, databas och loggar, och låser ner åtkomsten – nya inloggningsuppgifter överallt, avslutade sessioner, avstängda okända adminkonton.

2. Utredning

Med hjälp av serverloggarna, filernas tidsstämplar och själva den skadliga koden fastställer vi hur angriparen tog sig in, när, och vad de rörde vid. Det här steget är vad som skiljer sanering från kosmetisk rensning: om ingångsvägen inte identifieras och stängs kommer sajten att återinfekteras.

3. Rensning

Joomlas kärnfiler byts ut i sin helhet mot rena versioner av rätt utgåva. Varje extension granskas – legitima installeras om från rena källor, övergivna och sårbara tas bort. Vi jagar reda på webshells, bakdörrar och injicerad kod i filsystemet, i mallar och overrides, i .htaccess och inuti själva databasen, där angripare gömmer omdirigeringar, spamlänkar och oäkta adminanvändare inne i innehålls- och konfigurationstabeller.

4. Härdning

Färska inloggningsuppgifter och säkerhetsnycklar genomgående, tvåfaktorsautentisering på administratörskonton, korrekta filrättigheter, begränsad adminåtkomst, en brandvägg för webbapplikationer (WAF), och borttagning av varje kvarlämnad installerare, backuparkiv och föräldralöst skript som ligger och skräpar i webbroten.

5. Återställning av anseende

När sajten är bevisligen ren begär vi granskning via Google Search Console för att rensa bort varningar om "falsk webbplats" och "hackad webbplats", skickar in avlistningsbegäranden till de relevanta spärrlistorna, hanterar efterdyningarna av SEO-spam (tar bort injicerade sidor från indexet) och kontrollerar spärrlistor för e-post om servern har skickat spam.

6. Rapport och plan för efterservice

Du får en rapport i klartext: hur de tog sig in, vad de gjorde, vad vi tog bort, vad vi ändrade och vad som måste hända härnäst. För dataskyddsändamål (se nedan) är den här dokumentationen lika viktig som själva rensningen.

Hur lång tid tar en sanering?

Inneslutningen sker dag ett – sajten slutar skada besökare och ditt anseende inom några timmar efter att vi startat. Fullständig rensning och härdning av en typisk Joomla-sajt för småföretag tar en till tre dagar beroende på sajtens storlek, infektionens djup och tillståndet hos den underliggande Joomla-versionen. Googles granskning efter en saneringsbegäran rensar vanligtvis bort webbläsarvarningar inom några dagar efter inskickad begäran; kvarvarande SEO-spam i sökresultaten kan ta längre tid att falla ur indexet, och vi bevakar det tills det är borta.

Sajter på Joomla-versioner som nått slutet på sin livscykel tar längre tid, eftersom en ärlig sanering inkluderar att få dig till en plattform med support – det är ingen mening med att putsa på en sajt som kommer att bli komprometterad igen via samma opatchade kärna nästa månad.

GDPR-klockan: 72 timmar

För europeiska företag är en hackad webbplats inte bara en teknisk incident – det kan vara en personuppgiftsincident. Om din sajt lagrar kunddata (användarkonton, formulärinskick, ordrar, nyhetsbrevsanmälningar) och dessa data kan ha kommits åt, kräver artikel 33 i GDPR att du anmäler det till din tillsynsmyndighet inom 72 timmar från att du blev medveten om incidenten, såvida det inte är osannolikt att den medför en risk för de berörda. Där risken för individerna är hög måste även de berörda personerna informeras.

Det är här den forensiska sidan av vår process gör skäl för sig: vår utredning fastställer vilka data angriparen faktiskt kunde nå, och vår rapport ger dig de dokumenterade fakta som du (och din juridiska rådgivare) behöver för att avgöra om en anmälan krävs och för att göra den korrekt. Att gissa åt något håll – att tyst hoppas att inget togs, eller att i panik varna kunder om en incident som aldrig rörde personuppgifter – är båda dyra misstag. Vår tjänst för GDPR-efterlevnad täcker beredskapssidan, så att om det blir en nästa gång finns datainventering och åtgärdsplan redan på plats.

Rensa, bygga om eller uppgradera?

Inte varje komprometterad sajt förtjänar en återställning rakt av, och vi säger ärligt vilket fall du befinner dig i:

  • Joomla med support, isolerat intrång – rensa, härda, klart. Sajten fortsätter på sin nuvarande version med bättre försvar.
  • Joomla som nått slutet på sin livscykel (1.x, 2.5, 3, 4) – rensa och uppgradera, som ett projekt. Vi räddar ditt innehåll och dina data och bygger sedan om på Joomla 5 eller 6 via vår strukturerade uppgraderingsprocess. Att rensa en sajt utan support utan att uppgradera den är att fakturera dig två gånger för samma hack.
  • Djupt infekterad, urgammal eller bortom ekonomiskt försvarbar reparation – ett nytt Joomla 6-bygge som återanvänder ditt verifierat rena innehåll är ibland snabbare och billigare än arkeologi. Vi offererar båda vägarna och låter dig välja.

Att förbli säker efteråt

Nästan varje hackad sajt vi räddar delar samma bakgrundshistoria: ingen uppdaterade den, ingen bevakade den, och hostingen var det som råkade vara billigast 2017. Lösningen på det är strukturell, inte heroisk:

  • Underhållsplaner – uppdateringar som tillämpas omgående, säkerhetsbevakning, dagliga backuper utanför servern och drifttidskontroller, så att sårbarheter patchas innan bottarna hittar dem.
  • Managed europeisk hosting – en kontrollerad servermiljö utan okända grannar, proaktiv övervakning och infrastruktur som drivs av samma personer som underhåller din sajt.
  • Härdning enligt best practice – tvåfaktorsautentisering på varje adminkonto, användare med lägsta möjliga behörighet och ett minimalt antal extensioner. Vår Joomla-säkerhetsguide visar hur det ser ut när det görs rätt.

Saneringskunder som går över till en underhållsplan får bevakningsperioden efter hacket inkluderad – återinfektionsförsök är mest sannolika under de första veckorna, och vi håller utkik efter dem.

Vad kostar en Joomla-sanering efter hack?

Det beror på tre saker: sajtens storlek och komplexitet, intrångets djup, och huruvida den underliggande Joomla-versionen har support eller har nått slutet på sin livscykel. En innesluten infektion på en underhållen Joomla 5-sajt ligger i den lägre änden; en vidlyftig Joomla 2.5-sajt med åratal av ackumulerade extensioner, spaminjektion på databasnivå och en nödvändig plattformsuppgradering är ett större projekt. Vi gör först en bedömning och offererar ett fast pris innan arbetet börjar – ingen öppen timdebitering medan du blöder, och ingen avgift för den inledande bedömningen.

För perspektiv: kostnaden för en professionell sanering är nästan alltid mindre än kostnaden för alternativet – veckor av förlorad trafik under en Google-varning, en spärrlistad mejlserver, tappade kunder, och i värsta fall en tillsynsmyndighet som frågar varför en opatchad sajt lagrade kunddata.

Vad vi behöver från dig för att börja

En sanering går snabbast när åtkomsten kommer tillsammans med förfrågan. Ha det du kan redo – och oroa dig inte för det du inte har; vi börjar rutinmässigt med betydligt mindre:

  • Åtkomst till webbhotellets kontrollpanel (eller namnet på ditt webbhotell och en kontakt vi kan samarbeta med – nödvändigt om kontot är avstängt).
  • SFTP/FTP- och databasuppgifter, eller möjligheten att skapa dem i panelen.
  • En inloggning som Joomla-superanvändare, om du fortfarande har en som fungerar.
  • Vilka backuper som än finns, hur gamla de än är – även en flera år gammal kopia är värdefull som ren referens att jämföra filer mot.
  • Åtkomst till Google Search Console (eller så lägger vi till oss själva under uppdraget) för granskning av varningar och borttagning av spamsidor.
  • Tidsförloppet – när symtomen började, nyliga ändringar, eventuella mejl från ditt webbhotell eller från Google.

Allt hanteras under ett sekretessavtal, inloggningsuppgifter roteras vid uppdragets slut, och – eftersom vi är ett EU-företag som arbetar på EU-infrastruktur – behöver dina data aldrig lämna europeisk jurisdiktion för att arbetet ska kunna utföras.

Checklistan för förebyggande

Om din sajt inte har blivit hackad och du tänker hålla det så, stänger de här åtta punkterna de dörrar som attackerna ovan tar sig in genom. Det är precis vad vi kontrollerar i den kostnadsfria granskningen:

  1. Joomlas kärna på en version med support (5.x eller 6.x) med uppdateringar tillämpade inom dagar efter utgåva, inte månader.
  2. Varje extension aktivt underhållen av sin utvecklare – och varje oanvänd extension avinstallerad, inte bara avstängd.
  3. Tvåfaktorsautentisering påtvingad på alla administratörskonton.
  4. Unika, starka lösenord för Joomla, hosting, FTP och databas – ingen återanvändning av inloggningsuppgifter någonstans.
  5. Dagliga automatiska backuper lagrade utanför servern, med återställning som faktiskt testats.
  6. En brandvägg för webbapplikationer (WAF) framför sajten och begränsad adminåtkomst.
  7. PHP på en version med support och korrekt inställda filrättigheter.
  8. Någon som är ansvarig för att bevaka allt ovanstående – en namngiven människa, inte ett önsketänkande.

Punkt åtta är den som oftast brister, och den är hela anledningen till att underhållsplaner finns.

Vanliga frågor

Kan jag inte bara återställa en backup och gå vidare?

En återställning tar bort de synliga symtomen men behåller sårbarheten – och ofta bakdörren, om backupen är gjord efter det initiala intrånget (angripare sitter ofta obemärkta i veckor innan de gör något synligt). Utan att hitta och stänga ingångsvägen är återinfektion en fråga om dagar. "Återställ och be en bön" är den vanligaste orsaken till att sajter kommer till oss hackade för andra eller tredje gången.

Varför skulle någon hacka min lilla webbplats?

Ingen valde dig – en bot hittade dig. Komprometterade sajter är handelsvaror: de monetiseras för spamhosting, injektion av SEO-länkar, nätfiskesidor, distribution av skadlig kod och kryptobrytning. Sajtens värde för en angripare är dess rena anseende och gratis serverresurser, inte ditt innehåll.

Försvinner Google-varningen efter en sanering?

Ja – efter en verifierad sanering begär vi granskning via Google Search Console, och varningar lyfts vanligtvis inom några dagar. Injicerade spamsidor kan dröja kvar något längre i sökresultaten medan Google indexerar om; vi hanterar borttagningsbegäranden och bevakar tills dina träffar är rena.

Mitt webbhotell stängde av mitt konto. Kan ni ändå hjälpa till?

Ja. Det är rutin: vi samarbetar med webbhotellet, får ut filerna, loggarna och databasen (webbhotell samarbetar när en professionell sanering pågår), utför saneringen och ger webbhotellet den bekräftelse de behöver för att återställa tjänsten. Om incidenten avslöjar att själva hostingen är en del av problemet är det enkelt att vid den punkten flytta till vår managed hosting.

Sajten är väldigt gammal – Joomla 1.5 / 2.5. Går den ens att rädda?

Räddningsbar, ja – ditt innehåll och dina data kan alltid sparas. Men den kan inte göras säker på sin ursprungliga plattform, eftersom inga säkerhetsuppdateringar finns för den. För så här gamla sajter innebär en räddning att vi extraherar och rensar ditt innehåll och sedan bygger om på modern Joomla. Du får tillbaka din sajt, snabbare och med support, i stället för en lappad belastning.

Måste jag anmäla hacket enligt GDPR?

Bara om personuppgifter sannolikt komprometterats och incidenten medför en risk för de berörda personerna – vilket beror på vad din sajt lagrar och vad angriparen kom åt. Vår forensiska rapport ger dig den faktiska grunden för det beslutet; 72-timmarsfönstret gör att det är avgörande att agera snabbt. Är du osäker, ta råd tidigt snarare än sent.

Få tillbaka din sajt

Ju tidigare ett intrång hanteras på rätt sätt, desto mindre blir skadan – för dina besökare, dina sökplaceringar och ditt anseende. Berätta vad du ser så svarar vi med en bedömning och ett fast pris.

Kontakta oss för akut sanering →

Inte hackad – bara orolig? Vår kostnadsfria granskning av sajten kontrollerar din Joomla-version, kända sårbarheter och säkerhetsläge innan någon annan gör det.

Du kan också vara intresserad av