Si por mala suerte o por descuidarnos en la seguridad nos hackean nuestro Joomla!

  1. Subida de fichero/s no controlado o webshell a carpeta con permisos erróneos o por una falla en algún componente. Suele ser la carpeta de images la más “golosa” para esta práctica, alli miraremos primero, buscaremos todo fichero peligroso tipo .php, .js, jsp o incluso se han visto webshell camufladas con nombres de imagenes y lo borraremos por FTP, en ocasiones el usuario de ftp no tiene permiso para borrarlo y debemos hacerlo por ssh o pedirlo al soporte del hosting que utilicemos. (o hacerlo desde un administrador de ficheros de joomla o si nos vemos capaces creando un fichero php, lo subimos por FTP y lo lanzamos por el navegador. (usando la función ulink y chmod)
  2. Modificación del core, los ficheros index.php, .htaccess, configuracion.php, y las carpetas “includes”, “libraries”, “logs”, “tmp”, “languages”, “cli”, incluso “administrator” podrían haber sido modificadas
  3. Deface o suplantación de la página o páginas de inicio de nuestra web (index.php, index.html, .htaccess) un atacante cambia o modifica la página de inicio de nuestra web.
  4. Inyeccion SQL en la base de datos, por el método de sql injection un atacante podría aprovechando alguna vulnerabilidad del núcleo o de algún módulo instalado introducir un codigo malicoso entre nuestros datos provocando con ello que se muestre en nuestra web como si de código legítimo se tratase.
  5. Captura de la contraseña del administrador o robo de sesion, joomla no incluye ningún sistema para evitar el ataque por “fuerza bruta” así que si tenemos una contraseña “débil” y usamos el usuario admin un atacante podría probar tantas contraseñas como necesite hasta dar con al decuada.

Todos se evitan del mismo modo, manteniendo actualizado Joomla! utiilzando solo componentes oficiales y actualizandolos.

Una buena medida es añadir una autenticación por directorio (apache) a la carpeta /administrator

En caso de que tengas algunos de estos problemas viene muy bien haber guardado una copia “limpia” de tu sitio y restaurar al menos de ahi las carpetas del nucleo, administrator, etc que son las que suelen ser atacadas.