Hackerwelle Joomla und WordPress, Sommer 2026: was tun
Der Sommer 2026 ist zur Saison massenhafter Hacks gegen Joomla- und WordPress-Seiten geworden. Im Juni und Juli nahm CISA mehrere maximal kritische Schwachstellen in beliebten Joomla-Erweiterungen in ihren Katalog aktiv ausgenutzter Schwachstellen auf, und eine WP-SHELLSTORM-Kampagne versah Tausende WordPress-Seiten mit Backdoors. Die Angreifer sind automatische Bots, und sie treffen jeden, der nicht rechtzeitig aktualisiert hat: das Fenster zwischen Patch und Massenausnutzung misst sich in Tagen. Unten: welche Erweiterungen genau betroffen sind, wie Sie erkennen, ob Sie schon im Einschlagbereich sind, und was zuerst zu tun ist.
Was diesen Sommer passiert
Das ist kein Einzel-Hack, sondern eine Welle. Das Muster ist in jedem Fall gleich:
- Forscher finden eine kritische Lücke in einer beliebten Erweiterung, ein Patch erscheint.
- Innerhalb weniger Tage taucht ein fertiger Massen-Exploit auf, und Bots scannen das gesamte Internet nach der verwundbaren Erweiterung.
- Gehackt wird, wer nicht aktualisiert hat. Ein Konto ist nicht nötig: die Angriffe laufen ohne Authentifizierung.
Mehrere dieser Lücken nahm CISA in ihren Katalog aktiv ausgenutzter Schwachstellen (KEV) auf, mit einer verbindlichen Patch-Frist für US-Behörden. Für den Betreiber einer kleinen Seite ist die Schlussfolgerung einfach: Ist bei Ihnen eine Erweiterung aus der Liste unten installiert und nicht aktualisiert, sind Sie das nächste Ziel.
Prüfen Sie Ihre Website jetzt sofort
Das Werkzeug öffnet Ihre Website von außen, so wie eine Suchmaschine und ein mobiler Besucher sie sehen. Defacement, eine Weiterleitung, Cloaking und eine veraltete CMS-Version werden sofort sichtbar. Ein Zugang zur Website ist nicht nötig.
Joomla: vier kritische Lücken im Sommer 2026
Alle vier werden in echten Angriffen ausgenutzt. Wenn Sie die Erweiterung installiert haben, aktualisieren Sie sie sofort auf die unten genannte Version:
- iCagenda (CVE-2026-48939, CVSS 10.0). Das Hochladen beliebiger Dateien über Anhänge führt zur PHP-Ausführung. Seit dem 15. Juni 2026 als Zero-Day ausgenutzt. Behoben in den Versionen 4.0.8 und 3.9.15.
- Balbooa Forms (CVE-2026-56291, CVSS 10.0). Das Hochladen einer Datei über ein Formular führt zu Remote Code Execution. Verwundbar sind Versionen bis einschließlich 2.4.0. Behoben in 2.4.1.
- JCE, der Joomla Content Editor (CVE-2026-48907, CVSS 10.0). Das Anlegen eines Editor-Profils ohne Authentifizierung erlaubt das Hochladen und Ausführen von PHP. Verwundbar sind Versionen von 1.0.0 bis 2.9.99.4. Behoben in 2.9.99.6. Ein funktionierender Exploit ist bereits öffentlich.
- Helix3, das JoomShaper-Template-Framework (CVE-2026-49049, CVSS 7.5). Unauthentifiziertes Schreiben in die Template-Einstellungen in der Datenbank. Betroffen sind alle Versionen bis 3.1.1 auf Joomla 3, 4 und 5. Behoben in 3.1.2.
Das Defacement „Hacked by AntonKill" auf Helix3: warum der Hosting-Virenscanner schweigt
Über Helix3 läuft eine spürbare Welle von Defacements: seit Anfang Juli versehen Bots Seiten mit einem Vollbild-Overlay mit Totenkopf und dem Schriftzug „Hacked by AntonKill" oder „Hacked by trenggalek6etar". Das entscheidende Detail: Der Schadcode wird nicht in Dateien geschrieben, sondern in die Template-Parameter in der Datenbank. Jede Seite lädt JavaScript direkt aus den Template-Einstellungen.
Deshalb meldet der Hosting-Virenscanner „alles sauber", während das Defacement da ist: Der Scanner prüft Dateien nach Signaturen, und der Code sitzt in der Datenbank. Bereinigen muss man die Datenbank, nicht nur die Dateien. Mehr zum Entfernen dieses Defacements auf der Seite zur Wiederherstellung nach einem Hack.
WordPress: die WP-SHELLSTORM-Kampagne
WordPress erlebte diesen Sommer eine eigene Kampagne. Auf einem offenen Angreifer-Server fanden Forscher Spuren massenhaften Backdoorings: nach eigener Zählung der Angreifer wurden über 45.000 Seiten angegriffen und über 17.000 mit einer Backdoor versehen, der Zugang wird weiterverkauft.
- Der Haupteinstieg der Kampagne war das Caching-Plugin Breeze (CVE-2026-3844), behoben in Version 2.4.5. Wichtig: Die Lücke greift nur bei aktivierter, nicht standardmäßiger Einstellung „Host Files Locally - Gravatars", daher ist nicht jede Installation betroffen.
- Das Toolkit deckte insgesamt 27 bekannte Plugin-Lücken ab. Das waren keine Zero-Days: angegriffen wurde, was längst gepatcht, aber auf den Seiten nicht aktualisiert war.
Die Lehre ist dieselbe wie bei Joomla: massenhaft gehackt wird nicht über geheime Lücken, sondern über vernachlässigte, nicht aktualisierte Plugins.
Wie Sie erkennen, ob Sie schon betroffen sind
Die Anzeichen, dass eine Seite bereits gehackt ist:
- Ein Vollbild-Defacement mit Totenkopf und „Hacked by..."-Meldung oder fremder Inhalt statt Ihrer Startseite.
- Die Seite leitet auf Casinos, Apotheken oder Spam weiter, besonders mobil oder aus der Suche.
- Im Adminbereich sind Benutzer oder Editor-Profile aufgetaucht, die Sie nicht angelegt haben.
- Unbekannte .php-Dateien in den Ordnern uploads, media oder cache.
- Der Hoster hat das Konto wegen Schadsoftware gesperrt, oder Google hat die Seite als gehackt markiert.
Was Sie jetzt sofort tun
- Aktualisieren Sie die verwundbaren Erweiterungen auf die behobenen Versionen: iCagenda 4.0.8 / 3.9.15, Balbooa Forms 2.4.1, JCE 2.9.99.6, Helix3 3.1.2, Breeze 2.4.5.
- Ändern Sie alle Passwörter und Schlüssel: Admin, FTP und SSH, Datenbank, Hosting-Panel, geheime CMS-Schlüssel.
- Prüfen Sie die Liste der Administratoren und Editor-Profile, entfernen Sie alle, die Sie nicht angelegt haben.
- Bei Helix3 prüfen Sie die Template-Parameter in der Datenbank (Tabelle
#__template_styles) auf fremdes JavaScript. - Finden und löschen Sie Web-Shells: unbekannte .php-Dateien, oft über
eval(base64_decode(...)). Prüfen Sie Cron-Jobs.
Wichtig: Ein Update schließt das Einfallstor, entfernt aber NICHT eine bereits hochgeladene Backdoor. Ist die Seite schon gehackt, reicht ein Update nicht, sie muss bereinigt werden.
Wann Sie einen Fachmann rufen
Es lohnt sich, keine Zeit zu verlieren, wenn:
- die Seite bereits defaced ist, weiterleitet oder von Google markiert wurde;
- Sie die Erweiterung aktualisiert haben, die Infektion aber geblieben ist;
- der Code in der Datenbank steckt (Helix3) und der Hosting-Virenscanner schweigt;
- der Hoster das Konto gesperrt hat;
- kein funktionierendes sauberes Backup vorhanden ist.
Ich bereinige von dieser Welle getroffene Seiten auf jedem CMS: entferne Defacement und Backdoors (auch datenbankseitigen Code bei Helix3), schließe das Einfallstor und aktualisiere die verwundbaren Erweiterungen, damit es nicht wieder passiert. Die Diagnose ist kostenlos. Ich arbeite mit Website-Betreibern aus der Ukraine und aus Polen und mit Russischsprachigen in der EU. Mit in Russland registrierten juristischen Personen arbeite ich nicht: Das ist eine Beschränkung der EU-Sanktionen.
Details und AnfrageHäufige Fragen
Ich habe die Erweiterung aktualisiert. Bin ich sicher?
Ein Update schließt das Einfallstor, entfernt aber nicht, was vor dem Update bereits hochgeladen wurde. Wurde die Seite gehackt, bevor Sie aktualisiert haben, bleibt die Backdoor und die Infektion kommt zurück. Prüfen Sie nach dem Update die Seite unbedingt auf Defacement, Weiterleitungen und Web-Shells.
Der Hosting-Virenscanner sagt alles sauber, aber das Defacement ist da. Wie das?
Das ist typisch für das Helix3-Defacement: Der Schadcode liegt in den Template-Parametern in der Datenbank, nicht in Dateien. Der Hosting-Virenscanner prüft Dateien nach Signaturen und sieht die Datenbank nicht. Deshalb meldet er ehrlich sauber, während das Defacement da ist. Bereinigen muss man die Datenbank.
Ich habe Joomla 4 oder 5, nicht 3. Betrifft mich das nicht?
Doch. Die Lücken dieses Sommers stecken nicht im Joomla-Kern, sondern in Erweiterungen: iCagenda, Balbooa Forms, JCE und Helix3 werden auf Joomla 3, 4 und 5 gleichermaßen installiert und gehackt. Die Kernversion schützt nicht, entscheidend ist, ob die Erweiterungen selbst aktualisiert sind.
Warum massenhaft, meine Seite ist doch klein?
Weil die Angriffe nicht manuell laufen, sondern von Bots: sie scannen das gesamte Internet und treffen jede Seite mit einer verwundbaren Erweiterung. Dem Bot ist egal, ob Ihre Seite groß oder klein ist, entscheidend ist nur die Verwundbarkeit. Kleine Seiten trifft es öfter, weil sie seltener aktualisieren.
Schaffe ich das Update rechtzeitig selbst?
Ist die Seite noch nicht gehackt, aktualisieren Sie sofort: das Fenster zwischen Patch und Massenausnutzung beträgt nur wenige Tage. Zeigt die Seite aber schon ein Defacement, eine Weiterleitung oder fremde Profile, heilt ein Update sie nicht mehr, es schließt nur das Einfallstor für die Zukunft, während das Entfernen der Infektion und das Finden der Backdoor eine eigene Arbeit ist.