Как вычистить сайт? - Безопасность сайтов на Joomla

Всем привет!

Прошу помощи и совета у компетентных спецов.

При разработке своего сайта привлек к работе 2-х людей, которым предоставил для работы полный доступ в админку.
После работы одного из исполнителей на сайте появился небольшой глюк, который я обнаружил почти случайно.
В общем, закрались подозрения, что он там чего-то начудил.
Нашел пару лишних файлов в папке с текущим шаблоном сайта...
Сайт только разработан, с несколькими тестовыми записями. Т.е. для меня важна только БД и правленные людьми файлы (верстка).
Вчера с утра, когда озадачился обнаруженными проблемами - сел перечитывать эту тему на этом форуме и на других вдоль и поперек.
Решил начать со скана файлов сайта 2-я сканерами от flyingspook: flc.php и ssf.php.
Несколько строк сканирывания выкладываю здесь, остальное - даю ссылкой.

Сcылка на полный листинг скана файлов:

В общем, судя по информации на форуме - на сайте полно base64, GET, POST и т.п. Посмотрите.
Собственно, меня интересуют и волнуют 2 момента:
1.Все это г... уже было в скриптах или частично мне его занесли помогавшие?
2.Возможно на сайте появились какие-то новые вредоносные файлы, которые я пока не обнаружил. Да и найти такие,
если они есть, думаю, практически не реально.
Сайт на тестовом хостинге и доступ из сети к нему только у меня. Этим 2-м людям открывал доступ по IP.
Т.е. в данный момент, зайти из сети на мой сайт и чего-то там стырить или нашкодить со стороны не возможно.
Другое дело - когда я его выложу в паблик и открою к нему доступ (и поменяю логины и пароли к админке и БД).

В этой связи у меня вопрос как лучше поступить, чтобы обезопасить сайт от сюрпризов?

У меня мысли следующие:
1.Попробовать установить на отдельном домене Joomla в такой же конфигурации (с такими же плагинами и компонентами),
и перенести туда из БД те таблицы, которые относятся к компоненту, который я настраивал (выбрав в БД по названию таблиц) и,
естественно, изменив префикс / имя и пароль  БД.
Перед установкой все компоненты можно протестировать на наличие вредоносного кода (касперским и no Links?).
И на сайте, после установки допроверить теми же 2-я вышеуказанными сканерами.
Отказаться от JCE-редактора или установить самую последнюю версию (на крайняк).
И перенести (проверив) основные правленые файлы /шаблоны и верстки (css)/.
Получится ли таким образом корректно перенести сайт?

И, можно, теоретически, попробовать вычистить текущий сайт. Но не представляю, как найти левые файлы, если их туда уже залили.

Посоветуйте, pls, как лучше поступить.
Сайт уже можно выкладывать в паблик, но стремно. Хочется его подчистить и уберечь себя от возможных проблем..

Спасибо за дельные комментарии и советы.

по переносу- алгоритм правильный.

Сканер показывает список всех файлов которые необходимо проверить на присутствие в них угроз, списка исключений нету, просматривать код файлов требуется весь и всех. Сканер это не антивирусник и все они создаются для разработчиков, ни как не для пользователя с нулевыми знаниями.
Ну а то что вы про сканировали увидели список и испугались , так это совсем не факт что у вас что то на сайте присутствует из заражений.

flyingspook,
я как бы и не испугался. Я написал, что меня это вопрос волнует. Ну, всякое, знаете, бывает...
Береженного Бог бережет
Какую работоспособную связку компонентов/плагинов стоить установить для оптимальной защиты Joomla3.3?
RSFirewall (защита от иньекций) + Admin Tools Pro  (блокировка по IP, защита входа в админку паролем и с IP и т.д.) + ?
защита входа в админку (или это делает Admin Tools Pro)?  P.S. Посмотрел - делает.
Что Вы порекомендуете?

Просканировал файлы сайта и другими сайтами - около 270 попадают в подохрительные.
Как узнать какой код зловредный, а какой - можно оставить?

Просканировал файлы сайта и другими сайтами - около 270 попадают в подохрительные.
Как узнать какой код зловредный, а какой - можно оставить?

В первую очередь, вам нужно знать синтаксис кода и общее представления об уязвимостях в функциях и методы использования их под аналог eval();, во вторых сами CMS могут использовать их в теле своих сценариев, т.е зацепите не то и CMS упадет!

Что Вы порекомендуете?

ни чего не рекомендую правильная настройка сервера на стороне сервера или на стороне сайта
анекдот в тему
в армии врач солдату разламывает таблетку и говорит дая первую половинку говорит
- это от головы
дает вторую и говорит
- а это от жо...

так что ставьте все подряд  результат один и тот же

ни чего не рекомендую правильная настройка сервера на стороне сервера или на стороне сайта
анекдот в тему
в армии врач солдату разламывает таблетку и говорит дая первую половинку говорит
- это от головы
дает вторую и говорит
- а это от жо...

так что ставьте все подряд  результат один и тот же

flyingspook,
как для модератора - так это очень информативное сообщение.

flyingspook,
как для модератора - так это очень информативное сообщение.

информативное или нет это кому как, это вам дан совет, хотите слушайте, хотите нет, и выражено сугубо ИМХО, или вы думали что поддержу ваше мнение и распишу все, или на свое ИМХО вам тут книгу по настройкам сервера напишу и по шагам распишу все, может видео еще сделать пошаговое, спросили кто что посоветует вот и совет

ни чего лишнего все делать теми средствами что имеется, ну если у вас шарада хост, то тут уж придется минимум VPS приобрести, уж такова действительность, что шарада как и умерший бесплатный хостинг отмирает потихоньку, и минимум "островок" в 1Гб ОЗУ от сервера в своих руках необходимо иметь, да же если типа "- да уменя просто визитка" или "- да я просто учусь", это не оправдания, это уровень того что человек хочет не "жену вечером ласкать, а москвич купить и в гараже вечером...."

устанавливая сторонние расширения вы минимум увеличите нагрузку на серверную часть, и возможность появления дополнительной уязвимости на сайте возрастает, какое бы расширение не было по защите или иное, вариантов массы

информативное или нет это кому как, это вам дан совет, хотите слушайте, хотите нет, и выражено сугубо ИМХО, или вы думали что поддержу ваше мнение и распишу все, или на свое ИМХО вам тут книгу по настройкам сервера напишу и по шагам распишу все, может видео еще сделать пошаговое, спросили кто что посоветует вот и совет

ни чего лишнего все делать теми средствами что имеется, ну если у вас шарада хост, то тут уж придется минимум VPS приобрести, уж такова действительность, что шарада как и умерший бесплатный хостинг отмирает потихоньку, и минимум "островок" в 1Гб ОЗУ от сервера в своих руках необходимо иметь, да же если типа "- да уменя просто визитка" или "- да я просто учусь", это не оправдания, это уровень того что человек хочет не "жену вечером ласкать, а москвич купить и в гараже вечером...."

устанавливая сторонние расширения вы минимум увеличите нагрузку на серверную часть, и возможность появления дополнительной уязвимости на сайте возрастает, какое бы расширение не было по защите или иное, вариантов массы

Это все патетика. Ни о чем...
Я от Вас, как от модератора, расчитывал услышать примерно следующее:
1.Сайт на зарубежном хостинге (защита от отечественых наездов);
2.SSL-шифрование соединения с сайтом (защита от перехвата логинов и паролей);
3.Скрыть вход в админку (подобрать компонент/плагин);
4.Установить плагин блокирования по IP в случае попыток перебора паролей (с фронтэнда и бакэнда);
5.Защита от SQL и других иньекций (например, RSFirewall);
6.Компонент с широкими возможностями (например, Admin Tools Pro);
7.Желательно - плагин гернерации паролей для пользователей;
8.Не хранить пароли в ПО (для ftp и браузерах);
9.Ставить лицензионные компоненты и перед установкой проверять антивирусами (например, Касперским).

Понятно, что настройки сервера, htaccess, папки /tmp и configuration.php и т.п.- тоже необходимо привести в порядок согласно рекомендациям.
Как-то так...

Позже отпишусь по возможным конфигурациям компонентов/плагинов для защиты сайта.ё

В общем, появилось свободное время - отписываюсь.
Нормальная связка: Admin Tools Pro (скрытие админки, экран + ещё масса возможностей) + RSFirawall (защита от иньекций + масса возможностей) + Brute Force Stop (защита от подбора пароля перебором /бакэнд + фронтенд/ + масса настроек).
+ перенести файл configuration.php и папки /tmp.
Остальное - по желанию.