Joomla マルウェアとハ​​ッキングの除去に関する完全ガイド – ハッキングされた Joomla Web サイトを修正する

ハッキングを特定

Joomla サイトをスキャンして、マルウェアの場所と悪意のあるペイロードを特定します。 Astra の統合された Joomla セキュリティ は、ハッキングされた Joomla サイトのタイムリーな監視と識別を保証します。

その後、コア ファイルを含む変更されたファイルを確認します。これを行うには、SFTP 経由で手動でファイルを確認してください。

悪意のあるユーザー アカウントと管理者を監査します。

Joomla サイトが Google やその他のウェブサイト セキュリティ機関によってブラックリストに登録されている場合は、Joomla! のセキュリティ ステータスを確認できます。診断ツールを使用して Web サイトを調べます。 Google の透明性を確認するには、表示できるセーフ ブラウジング サイト ステータスのウェブサイトにアクセスしてください

• サイトの安全性に関する詳細 悪意のあるリダイレクト、スパム、ダウンロードに関する情報を提供します。
• テストの詳細 マルウェアを発見した最新の Google スキャンについて通知します。

  Google Webmasters Central、Bing Webmaster Tools、Norton SafeWeb などの無料のセキュリティ監視ツールを利用して、ウェブサイトのセキュリティ レポートを確認してください。

  関連ブログ – 検索エンジンのブラックリスト

Joomla ハックの修正

潜在的なマルウェアの場所、侵害されたユーザー、および脅威の評価に関する情報を入手したら、Web サイトを完全にクリーンにすることを選択します。感染したファイルを以前のバックアップと比較して、変更の程度を評価し、悪意のある変更を削除します。 PHPMyAdmin などのデータベース管理パネルや Search-Replace-DB などのツールを使用して、ハッキングされた Joomla データベースを消去します または管理者。

次のステップは、すべてのユーザー アカウントを保護することです。多くの場合、ハッカーは複数のバックドアを残して、Web サイトがクリーンアップされた後でも再びアクセスできるようにします。通常、バックドアは正当に見えるファイルに埋め込まれていますが、間違ったディレクトリに配置されています。したがって、バックドアからファイルを完全に駆除することが不可欠です。そうしないと、再感染の脅威が生じます。

1.データベースのクリーンアップ

まず、感染したデータベースからクリーニングを開始します。 Joomla SQL インジェクションは、新しいデータベース ユーザーを作成できます。特定の日付以降に作成された新しいユーザーを探すには、次のコードを使用します:

Select * from users  as u

AND u.created > UNIX_TIMESTAMP(STR_TO_DATE('My_Date', '%M %d %Y '));

不正なユーザーが見つかったら。そのため、SQL ステートメント Drop User; を使用してそれらを削除します .これだけでなく、将来の感染を避けるために:

• ユーザー入力をサニタイズします。
• データベースのアクセス許可をアカウントに制限する
• データベース エラーの開示をローカルのみにブロックする
• 可能な限り型キャストを使用します。

  2.サーバーの保護

  インストールが安全であっても、障害サーバーが Joomla のハッキングを引き起こす可能性があります。 Joomla のセキュリティ問題の大きなリストがありますが。覚えておくべき重要なポイントは次のとおりです。

• 開いているポートをすべて閉じます。
• 未使用のサブドメインを削除します。
• 構成の問題を定期的に確認する
• サーバーを共有している場合は、サブネット化を行ってください。または VPN を使用してください。
• 情報が漏れるエラー メッセージをブロックします。
• 強力でランダムなパスワードを FTP アカウントとデータベースに付与してください!
• ファイアウォールまたは何らかのセキュリティ ソリューションを使用していることを確認します。

  3.権限の設定

• 主に、ユーザーが .php のような実行可能ファイルをアップロードできないようにします .aspx など。サーバーにアップロードするのは画像ファイルのみです。
• 次に、サーバーのファイル権限の設定に進みます。おそらく、最も機密性の高いファイルは .htaccess ファイルです。したがって、適切なファイル権限を設定するには。 .htaccess を設定します 444 (r–r–r–) への許可 または多分 440 (r–r—–) .
• また、PHP ファイルが上書きされないようにしてください。したがって、 *.php  を設定する必要があります 444 (r–r–r–)まで .
• 最も重要なことは、一般的なファイル拡張子を使用することです。 Joomla は非常に大きな CMS であるため、常に代替が存在します。人気のある拡張機能は、脆弱性が発生した場合に、より迅速に更新を取得します。したがって、ほとんどの場合、人気のある需要に合わせてください!

  4. Joomla で変更されたファイルを確認する

  ほとんどの場合、ハッカーはファイルを変更してスパムを挿入します。それはあなたのインストールに本当の混乱を引き起こす可能性があります.新規インストールが必要になる場合があります。このすべてを回避するには、常にバックアップを保持してください。 Joomla のハッキング後にファイルを分析する際に、diff コマンドが便利です。変更されたファイルをチェックするのに役立ちます。すべての Joomla ファイルは、Github で公開されています。これは比較に使用できます。 SSH コマンドを使用してコア ファイルの整合性を確認するには、次の手順を実行します。

  $ mkdir joomla $ cd joomla

  まず、joomla という名前のディレクトリを作成しました それに切り替えました。

  $ wget https://github.com/joomla/joomla-cms/releases/download/3.6.4/

  Joomla_3.6.4-Stable-Full_Package.tar.gz

  $ tar -zxvf Joomla_3.6.4-Stable-Full_Package.tar.gz

  wget コマンドは、GitHub から Joomla ファイルをダウンロードしました。コードの 2 行目

  $ diff -r joomla-3.6.4 ./public_html

  最後に、差分 ここでのコマンドは内容を比較しています。今回は

  public_html ファイル。同様に、複数のファイルをチェックできます。さらに、ファイル

  手動で確認できます。任意の FTP クライアントを使用してログインし、ファイルをチェックするだけです。 SSH

  ファイルの変更を一覧表示できます。

  $ find ./ -type f -mtime -15
  ここで、この SSH コマンドは、過去 15 日間に変更されたファイルを明らかにします。同様に、あなた

  タイムスタンプを変更できます。最近変更されたファイルに注意してください!

  5.ユーザー ログを確認する

  システム ログは、Joomla ハッキングの原因を特定するための最適なツールです。システムログ記録

  以前に行われたすべての活動。したがって、XSS または SQL インジェクションが発生するたびに、

  リクエストの記録は常にあります。さらに、ハッカーは新しい管理者アカウントを作成する傾向があります。不審なユーザーを確認するには、次のようにします。

さらに、Google診断レポートを使用して原因を見つけます。包括的なビューを提供します

あなたのサイトの。サイトがブラックリストに登録されている場合は、Google と緊密に連携してください。診断レポートは

あなたはブラックリストの原因です。感染を見つけて取り除くために使用してください!

Joomla のバージョン、拡張機能、プラグインを定期的に更新します。

安全な Joomla サイトは、定期的に更新されるサイトです。すべてのバージョン アップデートは、セキュリティ強化とバグ修正とともにリリースされます。古いバージョンの Joomla またはその他の古い拡張機能/プラグインがハッカーに忍び込む可能性があります。

強力なパスワードを使用する :

脆弱な認証情報は、最終的に ブルート フォース によって漏えいする可能性があります また、一般的なセキュリティ ホールとして機能し、セキュリティの侵害につながります。簡単に推測できるパスワードとデフォルトの管理者アカウントにより、加害者は Joomla Web サイトに不正にアクセスしやすくなり、多数の悪意のあるアクティビティが公開されます。複数の文字を含む長いパスワードは、短いパスワードよりも安全なパスコードになります。

定期的なバックアップ:

ファイルとデータベースのアーカイブを定期的にバックアップすることで、何か問題が発生した場合に備えることができます。 Easy Joomla Backup などの一部の拡張機能は、ハッキングによってデータが失われた場合に後で復元できる自動スケジュール バックアップを提供します。

管理ページへのアクセスを制限:

加害者は、簡単に推測できる管理者ログイン ページに対してブルート フォース攻撃を行うことがよくあります。したがって、管理者エリアへのアクセスを制限することが不可欠です。デフォルトの管理者ログイン ページ URL を使用せず、特定の名前に置き換えることをお勧めします。さらに、管理パネルはパスワードで保護する必要があります。管理ツール、RSFirewall などの拡張機能により、Joomla サイトの所有者はログイン ページの URL を変更できます

セキュリティ拡張:

セキュリティ拡張機能を使用すると、Joomla サイトを保護するのに大いに役立ちます。これらの拡張機能をサイトで適切に構成すると、あらゆる種類の悪意のあるアクティビティをブロックし、セキュリティ ホールを隠蔽できます。拡張機能により、ハッカーの攻撃をブロックし、Joomla サイトのセキュリティ ホールを閉じることができます。

二要素認証の使用:

2 要素認証コード (一般にワンタイム パスワード:OPT として知られています) により、Joomla サイトがさらに安全になります。パスワードが推測または漏えいしたとしても、アカウントへの不正アクセスを得るには、認証コードを通過する必要があります。

破損したダウンロードに注意してください:

認証されていない、または非公式のソースから、プレミアム拡張機能、プラグイン、またはアイテムを無料でダウンロードしないでください。提供元不明のプラグインは、破損しているかマルウェアを含んでいる可能性があり、サイトに損害を与える可能性があります。ここでお金を節約することを考えないでください。むしろ、本物の情報源に費やしてください。

SSL 認定:

ユーザーがサイトにログインするたびに、ユーザーの資格情報が暗号化されずにサーバーに送信されます。 SSL 証明書を使用することで、これらの資格情報はサーバーに送信される前に暗号化されます。このように、SSL 証明書は Joomla Web サイトに追加の保護レイヤーを提供します。

FTP レイヤーを無効にする:

通常、Joomla では FTP レイヤーは必要なく、デフォルトで無効になっています。有効な FTP レイヤーは Joomla サイトの主要なセキュリティ ホールであるため、これを維持する必要があります。

適切なファイルとディレクトリのアクセス許可:

ファイルとディレクトリへのパーミッションを常に管理し、パーミッション 777 のフル アクセスを決して与えないでください。フル アクセスまたはパーミッション 777 を決して与えず、フォルダーには 755、ファイルには 644、configuration.php ファイルには 444 を使用してください