
Caso di studio: bonifica completa di un sito Joomla 3 compromesso
- Joomla
- 1 luglio 2026
Indice dei contenuti
Caso di studio sulla bonifica di un sito Joomla 3 compromesso
Per chi gestisce un sito Joomla 3, una compromissione rappresenta una criticità grave. Durante un controllo automatico di sicurezza, il provider di hosting ha rilevato numerosi file PHP malevoli distribuiti in varie cartelle del sito web, segnale chiaro di un’infezione da malware.
Scenario e sintomi tipici della compromissione Joomla
Il provider ha adottato misure precauzionali bloccando:
- L’invio di email tramite PHP,
- Le connessioni in uscita verso servizi esterni.
L’analisi sul sito ha messo in luce la presenza di webshell camuffate, con nomi apparentemente innocui come cache.php, spesso posizionate in directory insolite e duplicate, per esempio:
cartella/
└── cartella/
└── cache.php
Indicazioni d’infezione tipiche includono:
- File PHP con nomi casuali nella root,
- Codice offuscato o funzioni pericolose come
eval(base64_decode(...)), - Possibilità di eseguire codice remoto o caricare nuovi file sul server.
Procedura di bonifica efficace
Una bonifica completa di un sito Joomla 3 compromesso deve seguire queste fasi ben definite:
| Fase | Descrizione |
|---|---|
| 1. Backup | Eseguire un backup completo di database e file per evitare perdite accidentali. |
| 2. Rimozione webshell | Eliminare tutti i file PHP sospetti (webshell, file con nomi casuali) e le directory duplicate. |
| 3. Ricerca backdoor | Scannerizzare tutto il sito per individuare codice offuscato e funzioni pericolose residue. |
| 4. Ripristino core Joomla | Sovrascrivere il core di Joomla con l’ultima versione della stessa major release, mantenendo dati. |
| 5. Controllo estensioni | Aggiornare, reinstallare o rimuovere completamente le estensioni, eliminando eventuali residui. |
| 6. Verifica utenti | Analizzare utenti amministratori per presenza di account sospetti o privilegi irregolari. |
| 7. Cambio credenziali | Resettare tutte le password: Joomla, FTP/SFTP, database e hosting. |
| 8. Controllo permessi | Rivedere file .htaccess, script pianificati e permessi sulle directory. |
| 9. Scansione finale | Confermare l’assenza di file malevoli e webshell prima di ripristinare i servizi dell’hosting. |
Considerazioni cruciali
Eliminare solo i file segnalati dal provider non garantisce la sicurezza definitiva. Anche una sola backdoor residua può consentire la ricreazione automatica di tutte le webshell rimuovendo inutilmente ogni intervento.
Una bonifica efficace deve combinare:
- Rimozione totale di codice malevolo e backdoor,
- Ripristino del core Joomla originale,
- Aggiornamenti e pulizia delle estensioni,
- Controllo rigoroso di credenziali e permessi,
- Verifica completa del filesystem.
Affidarsi a un esperto assistenza joomla è fondamentale per un intervento preciso e sicuro.
FAQ Bonifica Joomla
Come riconoscere una webshell su Joomla?
La presenza di file PHP con nomi sospetti come cache.php, funzioni eval con base64_decode e duplicazioni di cartelle sono segnali chiari.
È sufficiente eliminare i file segnalati dall’hosting? No. Occorre una scansione approfondita e ripristino del core, altrimenti il malware può rigenerarsi.
Come proteggersi dopo la bonifica? Aggiornare sempre Joomla e le estensioni, usare password forti e monitorare regolarmente il sito.






















