Mijn Joomla-site is gehackt — wat nu?

Je bent niet persoonlijk aangevallen. Dat klinkt misschien vreemd als je net een melding kreeg dat je site dubieuze bestanden bevat, maar het is zo. Niemand heeft jouw site uitgekozen. Wat er wél is gebeurd: een geautomatiseerde bot heeft het internet afgescand op Joomla-installaties met een bekende kwetsbaarheid — een verouderde extensie, een oude Joomla-versie, een zwak wachtwoord — en heeft die kwetsbaarheid automatisch uitgebuit.

...

Hoe komt een hacker op mijn site terecht?

Dat klinkt minder dramatisch dan een gerichte aanval. Maar de schade is even reëel.

Je site wordt nu waarschijnlijk gebruikt voor één van de volgende dingen: spam versturen vanuit jouw domein, phishing-pagina's hosten tussen je eigen pagina's, bezoekers doorsturen naar malafide sites, of als springplank voor aanvallen op andere servers. En intussen staat Google klaar om je uit de zoekresultaten te bannen als "onveilig".

De meeste site-eigenaren merken het pas als het te laat is: hun host stuurt een opschortingswaarschuwing, klanten melden rare mails, of Google toont een rode waarschuwingspagina voor de site.

Wat doe je de eerste 30 minuten?

Snel reageren maakt een groot verschil. Niet omdat de schade nog niet is aangericht — die is er al — maar omdat elke dag dat de site online blijft terwijl ze misbruikt wordt, de opruimklus groter maakt.

Stap 1: Site offline of in onderhoudsmodus

Haal de site tijdelijk offline. Bij de meeste hosters kan je dat via het controlepaneel. Als je Joomla nog kan bereiken: Systeem → Globale configuratie → Site offline = Ja. Dit voorkomt dat er meer bezoekers worden doorgestuurd naar malware.

Stap 2: Je hoster contacteren

Als je hoster je al heeft gecontacteerd: reageer. Als ze de site hebben opgeschort: vraag om toegang tot het bestandssysteem via FTP of cPanel, ook als de site geblokkeerd is. Je hebt die toegang nodig voor de opschoning.

Vertel ze eerlijk wat er aan de hand is. De meeste hosters werken mee als je aantoont dat je actief aan het oplossen bent. Ze schorsen liever niet permanent op.

Stap 3: Wachtwoorden wijzigen

Verander onmiddellijk het wachtwoord van je Joomla-beheerdersaccount, je FTP-account en je hosting-controlepaneel. Gebruik een wachtwoordmanager en kies voor elk een uniek, lang wachtwoord. Als de aanvaller via gecompromitteerde credentials is binnengekomen, mag hij er niet opnieuw in.

De opschoning zelf

Hier wordt het technisch. Er zijn twee aanpakken, en welke je kiest hangt af van hoe recent je back-up is.

Aanpak A: back-up terugzetten

Als je een recente, schone back-up hebt — van vóór de hack — is dit de snelste weg. Terugzetten, daarna onmiddellijk updaten (Joomla, extensies, alles), wachtwoorden wijzigen, en de kwetsbaarheid dichten die de inbraak mogelijk maakte.

Zorg wel dat je zeker weet dat de back-up schoon is. Als de hack al weken bezig was en je back-ups overschrijven zichzelf dagelijks, kan zelfs je "recente" back-up al besmet zijn. Controleer de datum van de back-up tegenover wanneer de hack waarschijnlijk is begonnen.

Aanpak B: handmatige opschoning

Geen recente schone back-up? Dan moet je door de bestanden. Dit is tijdrovend en vraagt technische kennis.

Wat je doet: de Joomla-kernbestanden vervangen door de originele versie (download van joomla.org), extensiebestanden vergelijken met de officiële versies, en de database doorzoeken op verdachte code — base64-gecodeerde strings, eval()-functies, vreemde redirects in de .htaccess.

Let op: malware verbergt zich. Een goede aanvaller plant backdoors op meerdere plaatsen tegelijk. Je kan denken dat je alles hebt opgeruimd terwijl er nog een verborgen ingang open staat.

Een hack oplossen betekent twee dingen: de rommel opruimen én de deur dichten waardoor de aanvaller is binnengekomen. Het eerste zonder het tweede is tijdverspilling.

De oorzaak vinden en dichten

Opruimen zonder te weten hoe de aanvaller is binnengekomen heeft weinig zin. Je site is een dag later opnieuw besmet.

De meest voorkomende inbraakpunten bij Joomla:

  • Verouderde extensies — veruit de meest voorkomende oorzaak. Extensies die maanden of jaren geen update hebben gekregen, maar wel bekende kwetsbaarheden hebben. Check de Joomla Vulnerable Extensions List op vel.joomla.org.
  • Verouderde Joomla-versie — als je nog op Joomla 3.x zit, heb je een systeem zonder beveiligingsupdates. Einde ondersteuning was eind 2023.
  • Zwakke inloggegevens — "admin" als gebruikersnaam, een wachtwoord van zes tekens zonder speciale tekens, of hetzelfde wachtwoord als voor je e-mail.
  • Ongebruikte extensies — extensies die geïnstalleerd maar niet actief zijn, tellen toch mee als aanvalsoppervlak. Verwijder wat je niet gebruikt.
  • Onveilige bestandsrechten — bestanden of mappen die schrijfbaar zijn voor iedereen.

Na de opschoning: Google en blacklists

Als Google je site als onveilig heeft gemarkeerd — je ziet dan een rode waarschuwingspagina voor je site — moet je na de opschoning een herziening aanvragen via Google Search Console.

Ga naar Search Console → Beveiliging en handmatige acties → Beveiligingsproblemen. Daar zie je wat Google heeft gevonden. Nadat je alles hebt opgeschoond, vraag je een herziening aan. Google neemt dat doorgaans binnen enkele dagen tot een week in behandeling.

Er zijn ook externe blacklists — Spamhaus, Sucuri's SiteCheck, MXToolbox. Controleer of je domein of IP-adres op lijsten staat. Als je domein wordt gebruikt om spam te versturen, kan je mail-reputatie maanden aangetast blijven ook na de opschoning.

Kan je dit zelf doen?

Dat hangt af van je technische kennis en van hoe ernstig de hack is. Een eenvoudige infectie — een paar verdachte bestanden, een recente schone back-up, duidelijk inbraakpunt — kan een technisch onderlegde eigenaar zelf aanpakken. Reken op een halve dag werk.

Een complexere hack — geen goede back-up, verborgen backdoors, database-infectie, lang lopende compromise — vraagt specialistische kennis. Als je halverwege de opschoning niet zeker weet of je alles hebt gevonden, is het beter om iemand te bellen dan een tweede ronde opruiming te riskeren.

Heb je hulp nodig? Ik kan de site opschonen, de oorzaak achterhalen en dichten, en daarna het onderhoud op orde brengen zodat het niet opnieuw gebeurt. Stuur me een berichtje met wat je ziet — een melding van je host, een waarschuwing van Google, rare mails vanuit je domein — en ik kijk zo snel mogelijk wat er aan de hand is.

Hoe voorkom je een volgende hack?

Dit is eigenlijk de enige vraag die telt. Want een eenmalige opschoning zonder structureel onderhoud is een kwestie van tijd voor het opnieuw fout loopt.

Wat werkt:

  • Regelmatig updaten — Joomla en alle extensies. Niet één keer per jaar, maar zodra er updates beschikbaar zijn. De meeste hacks misbruiken kwetsbaarheden die al maanden gefixt zijn door de ontwikkelaar, maar waar de site-eigenaar de update nog niet heeft doorgevoerd.
  • Alleen vertrouwde extensies — niet elke extensie op de Joomla Extension Directory is even goed onderhouden. Ik gebruik enkel wat actief wordt bijgehouden door serieuze ontwikkelaars.
  • Tweestapsverificatie op het beheerderspaneel — zit standaard in Joomla 4 en 5. Gebruik het.
  • Goede back-ups — en niet alleen hostingback-ups. Die worden soms automatisch overschreven of zijn niet toegankelijk als je account is opgeschort. Een aparte back-up buiten je hosting is de veiligheid.
  • Monitoring — weten dat er iets mis is vóór je klanten het merken.

Dat klinkt naar veel werk. Het is ook werk — maar het is precies wat er zit in een onderhoudsabonnement. Niet als dure verzekering, maar als het minimum dat je site nodig heeft om veilig te blijven.

In meer dan 7 jaar onderhoudsabonnementen bij mijn klanten heb ik twee kleine infecties meegemaakt. Beide snel opgelost, geen dataverlies, geen downtime die iemand heeft gemerkt. Dat is geen toeval — het is het resultaat van consequent updaten. Joomla zelf is de laatste jaren ook aanzienlijk veiliger geworden: het kernteam pakt kwetsbaarheden snel aan en de beveiligingsarchitectuur van Joomla 4 en 5 is een stuk robuuster dan die van versie 3. Het platform is niet het probleem. Achterstallig onderhoud is het probleem.

Hulp nodig na een hack?