Волна взломов Joomla и WordPress, лето 2026: что делать

Лето 2026 стало сезоном массовых взломов сайтов на Joomla и WordPress. За июнь и июль в каталог активно эксплуатируемых уязвимостей CISA внесли сразу несколько максимально критичных дыр в популярных расширениях Joomla, а по WordPress прошла кампания WP-SHELLSTORM с тысячами забэкдоренных сайтов. Ломают автоматические боты, и бьют они по тем, кто не успел обновиться: окно между выходом патча и массовой атакой измеряется днями. Ниже: какие именно расширения под ударом, как понять, что вы уже в зоне поражения, и что делать в первую очередь.

Содержание
  1. Что происходит этим летом
  2. Проверьте сайт сейчас
  3. Joomla: четыре дыры
  4. Дефейс AntonKill (Helix3)
  5. WordPress: WP-SHELLSTORM
  6. Как понять, что вы под ударом
  7. Что сделать прямо сейчас
  8. Когда звать специалиста

Что происходит этим летом

Это не единичный взлом, а волна. Схема у всех случаев одна:

  • Исследователи находят критическую дыру в популярном расширении, выходит патч.
  • Через несколько дней в сети появляется готовый массовый эксплойт, и боты начинают сканировать весь интернет по признаку уязвимого расширения.
  • Ломают тех, кто не обновился. Регистрация на сайте не нужна: атаки идут без авторизации.

Часть этих дыр CISA внесла в каталог активно эксплуатируемых уязвимостей (KEV) и обязала госорганы США срочно пропатчиться. Для владельца малого сайта вывод простой: если расширение из списка ниже стоит и не обновлено, вы в очереди.

Проверьте сайт прямо сейчас

Инструмент откроет ваш сайт снаружи так, как его видят поисковый робот и посетитель с телефона. Дефейс, редирект, клоакинг и устаревшую версию CMS будет видно сразу. Доступ к сайту не нужен.

Проверяю: дефейс, мобильный редирект, клоакинг, версию CMS и её актуальность.

Проверяю сайт снаружи...

Joomla: четыре критические дыры лета 2026

Все четыре эксплуатируются в реальных атаках. Если у вас стоит расширение, обновите его до указанной версии немедленно:

  • iCagenda (CVE-2026-48939, CVSS 10.0). Загрузка произвольного файла через вложения приводит к выполнению PHP. Эксплуатируется как zero-day с 15 июня 2026. Фикс: версии 4.0.8 и 3.9.15.
  • Balbooa Forms (CVE-2026-56291, CVSS 10.0). Загрузка файла через форму приводит к удалённому выполнению кода. Уязвимы версии до 2.4.0 включительно. Фикс: 2.4.1.
  • JCE, редактор Joomla Content Editor (CVE-2026-48907, CVSS 10.0). Создание профиля редактора без авторизации позволяет загрузить и выполнить PHP. Уязвимы версии с 1.0.0 по 2.9.99.4. Фикс: 2.9.99.6. Готовый эксплойт уже опубликован.
  • Helix3, фреймворк шаблонов JoomShaper (CVE-2026-49049, CVSS 7.5). Запись в настройки шаблона в базе данных без авторизации. Уязвимы все версии до 3.1.1 на Joomla 3, 4 и 5. Фикс: 3.1.2.

Дефейс «Hacked by AntonKill» на Helix3: почему антивирус хостинга молчит

Именно через Helix3 идёт заметная волна дефейсов: с начала июля боты помечают сайты полноэкранным оверлеем с черепом и надписью «Hacked by AntonKill» или «Hacked by trenggalek6etar». Ключевая деталь: вредоносный код записывается не в файлы, а в параметры шаблона в базе данных. Каждая страница подгружает JavaScript прямо из настроек шаблона.

Поэтому антивирус хостинга показывает «всё чисто», а дефейс на месте: сканер проверяет файлы по сигнатурам, а код сидит в базе. Чистить нужно именно базу, а не только файлы. Подробнее об удалении этого дефейса на странице восстановления после взлома.

WordPress: кампания WP-SHELLSTORM

По WordPress этим летом прошла отдельная кампания. На незащищённом сервере злоумышленников нашли следы массового бэкдоринга: по их собственным подсчётам атаковано более 45 000 сайтов, забэкдорено свыше 17 000, доступ к ним перепродаётся.

  • Главный вход кампании: плагин кэширования Breeze (CVE-2026-3844), фикс в версии 2.4.5. Важно: дыра срабатывает только при включённой не дефолтной настройке «Host Files Locally - Gravatars», поэтому уязвимы не все установки.
  • Всего в наборе было 27 известных уязвимостей плагинов. Это не zero-day: атаковали то, что давно пропатчено, но не обновлено на сайтах.

Урок тот же, что и с Joomla: массово ломают не через секретные дыры, а через заброшенные необновлённые плагины.

Как понять, что вы уже под ударом

Признаки, по которым видно, что сайт уже взломан:

  • Полноэкранный дефейс с черепом и надписью «Hacked by...» или чужой контент вместо главной.
  • Сайт редиректит на казино, аптеки или спам, особенно с телефона или из поиска.
  • В админке появились пользователи или профили редактора, которых вы не создавали.
  • Незнакомые .php-файлы в папках uploads, media или в кэше.
  • Хостинг приостановил аккаунт за вредоносное ПО или Google пометил сайт как взломанный.

Что сделать прямо сейчас

  1. Обновите уязвимые расширения до фикс-версий: iCagenda 4.0.8 / 3.9.15, Balbooa Forms 2.4.1, JCE 2.9.99.6, Helix3 3.1.2, Breeze 2.4.5.
  2. Смените все пароли и ключи: админка, FTP и SSH, база данных, панель хостинга, секретные ключи CMS.
  3. Проверьте список администраторов и профилей редактора, удалите тех, кого не создавали.
  4. Для Helix3 проверьте параметры шаблона в базе (таблица #__template_styles) на сторонний JavaScript.
  5. Найдите и удалите веб-шеллы: незнакомые .php-файлы, часто через eval(base64_decode(...)). Проверьте задачи cron.

Важно: обновление закрывает вход, но НЕ убирает уже залитый бэкдор. Если сайт уже взломан, одного обновления мало, нужна чистка.

Когда звать специалиста

Есть смысл не терять время, если:

  • сайт уже задефейсен, редиректит или помечен Google;
  • вы обновили расширение, но заражение осталось;
  • код в базе (Helix3), а антивирус хостинга молчит;
  • хостинг заблокировал аккаунт;
  • рабочей чистой резервной копии нет.

Чищу сайты после этой волны на любой CMS: убираю дефейс и бэкдоры (включая код в базе на Helix3), закрываю точку входа и обновляю уязвимые расширения, чтобы не повторилось. Диагностика бесплатная. Работаю с владельцами сайтов из Украины, Польши и с русскоязычными в ЕС. С юридическими лицами, зарегистрированными в России, не работаю: это ограничение санкций ЕС.

Подробнее и заявка

Частые вопросы

Я обновил расширение. Я в безопасности?

Обновление закрывает вход, но не убирает то, что уже успели залить до обновления. Если сайт взломали раньше, чем вы обновились, бэкдор остаётся, и заражение вернётся. После обновления обязательно проверьте сайт на дефейс, редирект и веб-шеллы.

Антивирус хостинга говорит, что всё чисто, а дефейс есть. Как так?

Это типично для дефейса на Helix3: вредоносный код лежит в параметрах шаблона в базе данных, а не в файлах. Антивирус хостинга проверяет файлы по сигнатурам и базу не видит. Поэтому он честно показывает «чисто», а дефейс на месте. Чистить нужно базу.

У меня Joomla 4 или 5, а не 3. Меня это не касается?

Касается. Дыры этим летом не в ядре Joomla, а в расширениях: iCagenda, Balbooa Forms, JCE и Helix3 стоят и ломаются на Joomla 3, 4 и 5 одинаково. Версия ядра не защищает, важно, обновлены ли сами расширения.

Почему ломают массово, у меня же маленький сайт?

Потому что атакуют не вручную, а ботами: они сканируют весь интернет и бьют по любому сайту, где стоит уязвимое расширение. Боту всё равно, большой у вас сайт или маленький, важен только факт уязвимости. Малые сайты страдают чаще, потому что реже обновляются.

Успею обновиться сам?

Если сайт ещё не взломан, обновляйтесь немедленно: окно между патчем и массовой атакой всего несколько дней. Если же на сайте уже дефейс, редирект или чужие профили, обновление уже не лечит, оно только закроет вход на будущее, а убирать заражение и искать бэкдор придётся отдельно.

Telegram