Joomla-Website gehackt: was tun
Im Sommer 2026 rollte eine Welle massenhafter automatisierter Angriffe über Joomla-Websites hinweg. Die Angreifer gehen nicht von Hand vor und suchen sich keine Opfer aus: Bots durchkämmen das Internet, finden eine verwundbare Erweiterung und laden innerhalb von Sekunden eine Webshell hoch. Wenn Ihre Website plötzlich Besucher auf fremde Seiten weiterleitet, Spam verschickt oder die Meldung „Hacked by...“ anzeigt, gehen wir im Folgenden Schritt für Schritt durch, was Sie jetzt tun sollten und wie Sie die Kontrolle zurückgewinnen.
- Wie Sie erkennen, dass die Website wirklich gehackt wurde
- Warum im Sommer 2026 massenhaft Joomla gehackt wird
- Die erste Stunde: Was sofort zu tun ist
- Wie Sie die Website richtig bereinigen
- Wiederherstellung aus dem Backup: Wann das funktioniert
- Wie Sie die Lücke schließen, damit es nicht wieder passiert
- Wann Sie einen Fachmann hinzuziehen sollten
Wie Sie erkennen, dass die Website wirklich gehackt wurde
Manchmal ist der Hack sofort sichtbar: Statt der Startseite erscheint eine fremde Botschaft. Häufiger aber arbeitet er im Stillen, oft über Wochen, und Sie erfahren als Letzter davon. Hier die Anzeichen, an denen sich eine Infektion verrät:
- Die Website leitet Besucher auf fremde Seiten weiter (Casinos, Online-Apotheken, dubiose Downloads), besonders beim Aufruf aus der Suche oder vom Smartphone.
- In der Suche tauchen unter Ihrer Website fremde Seiten oder wirre Zeichen auf, und Google zeigt die Warnung „Diese Website wurde möglicherweise gehackt“.
- Im Admin-Bereich sind Benutzer mit Super-User-Rechten aufgetaucht, die Sie nicht angelegt haben.
- Der Hoster hat eine Benachrichtigung über Schadcode oder ungewöhnliche Last verschickt, manchmal verbunden mit einer Sperrung des Kontos.
- Der Server verschickt ohne Ihr Wissen Spam, und die IP-Adresse des Mailservers ist auf den RBL-Sperrlisten gelandet.
- In den Ordnern media, images, tmp sind unbekannte PHP-Dateien aufgetaucht, Dateien mit doppelter Endung (.xml.php) oder ungewöhnlicher Schreibweise (.pHp).
- Der organische Traffic ist stark eingebrochen: Seiten sind aus dem Index geflogen oder als unsicher markiert.
Schon ein einziger Punkt aus dieser Liste ist Grund für eine vollständige Prüfung. Oft arbeitet ein Hack gezielt: Für den normalen Besucher wirkt die Website ganz in Ordnung, die Weiterleitung greift nur bei denen, die aus Google kommen, oder nur einmal pro Gerät. Deshalb heißt „bei mir öffnet sich alles“ noch lange nicht „alles ist sauber“.
Warum im Sommer 2026 massenhaft Joomla gehackt wird
Die Ursache liegt fast nie am Joomla-Kern selbst, der ist im Gegenteil recht gut geschützt, sondern bei beliebten Erweiterungen von Drittanbietern. In kurzer Zeit wurden gleich mehrere kritische Schwachstellen bekannt (CVSS bis 10.0), die das unauthentifizierte Hochladen und Ausführen von PHP-Code erlauben. Also die vollständige Übernahme der Website ganz ohne Passwort:
- JCE (Joomla Content Editor): CVE-2026-48907, behoben in Version 2.9.99.5.
- SP Page Builder: CVE-2026-48908, behoben in 6.6.2.
- iCagenda: CVE-2026-48939, behoben in 4.0.8 und 3.9.15.
- Page Builder CK: CVE-2026-56290, behoben in 3.6.0.
Ein Teil davon wurde als 0-day ausgenutzt, noch bevor der Patch erschien, und alle wurden in den Katalog aktiv ausgenutzter Schwachstellen der CISA (KEV) aufgenommen. Die Exploits sind öffentlich, und die Angriffe laufen über Bots im gesamten Internet. Deshalb zieht das Argument „meine Website ist klein, wer sollte sich dafür interessieren“ nicht: Den Bots ist es egal, wie viel Traffic Sie haben, sie schlagen nach dem Merkmal „verwundbare Erweiterung installiert“ zu.
Das Ausmaß bestätigen auch die nationalen Cybersicherheitszentren. Am 9. Juli 2026 warnte das Australische Cybersicherheitszentrum (ACSC) vor einer großen, andauernden globalen Kampagne: Angreifer scannen massenhaft Websites auf CMS-Basis und platzieren Webshells, und Joomla JCE wird ausdrücklich in der Liste der verwundbaren Software genannt. Das ACSC weist darauf hin, dass die Kampagne vermutlich durch KI beschleunigt wird, wodurch sich die Zeit von der Bekanntgabe einer Schwachstelle bis zum Angriff auf wenige Stunden verkürzt.
Eine eigene, deutlich sichtbare Welle sind Defacements der Startseite mit der Signatur „Hacked by AntonKill“. Fachquellen zu Joomla bringen sie vor allem mit einer Schwachstelle im Template-Framework Helix3 von JoomShaper in Verbindung (CVE-2026-49049): Der Schadcode wird direkt in die Template-Parameter in der Datenbank eingeschleust, weshalb das bloße Bereinigen der Dateien manchmal nicht ausreicht.
Die erste Stunde: Was sofort zu tun ist
Aufgabe der ersten Stunde ist nicht das „Heilen“, sondern den Schaden zu stoppen und sich die Möglichkeit zu bewahren, in Ruhe alles aufzuklären. Der Reihe nach:
- Ändern Sie die Passwörter. Joomla-Administrator, Zugänge zu Hosting und Panel, FTP/SFTP und Datenbank. Wenn ein Passwort an mehreren Stellen verwendet wurde, ändern Sie es überall.
- Sperren Sie die Website für Besucher. Versetzen Sie sie in den Wartungsmodus (Offline in Joomla) oder liefern Sie vorübergehend eine Platzhalterseite aus. Das schützt Besucher vor Weiterleitungen und Schadsoftware und stoppt den Spamversand.
- Sichern Sie die Spuren. Laden Sie die aktuellen Serverlogs (access und error) herunter und erstellen Sie ein vollständiges Archiv der Website sowie einen Datenbank-Dump „so wie er ist“, vor der Bereinigung. Über die Logs findet man sowohl den Zeitpunkt als auch den Weg des Eindringens.
- Prüfen Sie die Administratoren. Sperren oder löschen Sie Konten mit Super-User-Rechten, die Sie nicht angelegt haben. Sehen Sie zugleich nach, ob nicht die E-Mail-Adresse Ihres eigenen Kontos ausgetauscht wurde.
- Informieren Sie den Hoster. Viele Hoster helfen bei der ersten Diagnose, geben Zugang zu ihren Scannern und sperren, was wichtig ist, das Konto nicht, wenn sie sehen, dass Sie sich bereits um das Problem kümmern.
- Suchen Sie das letzte saubere Backup. Prüfen Sie, ob es eine Sicherungskopie aus der Zeit vor der Infektion gibt. Davon hängt ab, welchen Weg die Wiederherstellung nimmt.
Wie Sie die Website richtig bereinigen
Der Hauptfehler klingt so: „Habe eine seltsame Datei gefunden, gelöscht, beruhigt.“ Eine Webshell ist fast nie die einzige: Daneben liegen versteckte Kopien, und in der Datenbank sowie in legitimen Dateien stecken Einschleusungen, die den Zugang wiederherstellen. Bereinigung ist ein System, keine einzelne Handlung.
1. Webshells finden und entfernen
Suchen Sie nach neuen und verdächtigen PHP-Dateien dort, wo sie nicht sein sollten: in images, media, tmp, cache. Anzeichen: doppelte Endung (.xml.php), ungewöhnliche Schreibweise (.pHp), kürzlich geändertes Datum sowie PHP mit den Funktionen eval, base64_decode, gzinflate, assert und preg_replace mit dem Modifikator /e. Solche Einschleusungen sind fast immer schädlich.
2. Dateien mit einer sauberen Kopie abgleichen
Am zuverlässigsten ist es, die Website-Dateien mit einem Original zu vergleichen: Laden Sie ein sauberes Joomla Ihrer Version und dieselben Erweiterungen aus den offiziellen Quellen herunter und gleichen Sie ab. Alles, was sich im Kern und in den Erweiterungsdateien unterscheidet, ist ein Kandidat für den Austausch. Ihre eigenen Anpassungen (Template, Konfiguration) halten Sie dabei getrennt.
3. Die Datenbank bereinigen
Prüfen Sie die Datenbank auf Injektionen: in den Template-Parametern (besonders Helix3), in Artikeln, in Modulen und in System-Plugins. Suchen Sie nach script- und iframe-Tags, Einschleusungen mit document.write und der Einbindung externer Domains. Prüfen Sie zugleich die Benutzertabelle und die Erweiterungstabelle: Dort verstecken sich sowohl versteckte Admins als auch schädliche Plugins, die die Shells immer wieder neu erzeugen.
4. Persistenz-Punkte prüfen
Werfen Sie einen Blick in die .htaccess (Weiterleitungsregeln und PHP-Einbindung), in die geplanten Aufgaben (cron) und in die System-Plugins von Joomla, die bei jedem Laden anspringen. Genau hier wird am häufigsten ein „zweiter Schlüssel“ hinterlassen, um nach der Bereinigung zurückzukehren.
Wiederherstellung aus dem Backup: wann das funktioniert
Das Backup ist der schnellste Weg, aber nur unter zwei Bedingungen: Die Kopie wurde nachweislich vor der Infektion erstellt und Sie wissen genau, worüber der Angriff erfolgte. Wenn Sie die Website wiederherstellen, aber die verwundbare Erweiterung nicht aktualisieren, ist die erneute Infektion eine Frage von Stunden.
Die Schwierigkeit besteht darin, dass ein Hack oft erst nach Wochen bemerkt wird und alle aktuellen Backups bereits eine Shell enthalten. Dann gibt es zwar eine saubere Kopie, aber sie ist zu alt: Seitdem sind neue Artikel, Bestellungen und Einstellungen hinzugekommen. In diesem Fall ist es optimal, zu kombinieren: die alte saubere Kopie als Basis aufzusetzen, den aktuellen Inhalt aus der Datenbank vorsichtig darauf zu übertragen (nachdem Sie ihn geprüft haben) und unbedingt alles zu aktualisieren, worüber der Angriff hätte erfolgen können.
Und noch gesondert zur Zukunft: Ein Backup ist genau so viel wert, wie es tatsächlich existiert und geprüft ist. Sicherungskopien sollten automatisch erstellt, getrennt von der Website gespeichert werden (damit ein Verschlüsselungstrojaner oder Defacement sie nicht erreicht) und zumindest gelegentlich zum Test aufgespielt werden, um sicherzugehen, dass sie funktionieren.
Wie Sie die Lücke schließen, damit es nicht wieder passiert
Die Website zu bereinigen ist die halbe Arbeit. Wenn die Ursache nicht beseitigt wird, wiederholt sich alles. Das Grundpaket an Schutz:
- Aktualisieren Sie Joomla und alle Erweiterungen rechtzeitig. Die meisten Hacks des Jahres 2026 sind kein „raffinierter Angriff“, sondern der Einstieg über eine Erweiterung, für die der Patch längst erschienen ist. Löschen Sie, was Sie nicht nutzen: Jede überflüssige Erweiterung ist eine zusätzliche Tür.
- Aktivieren Sie die Zwei-Faktor-Authentifizierung für Admin-Konten und entfernen Sie offensichtliche Logins wie admin.
- Setzen Sie die Rechte für Dateien und Ordner korrekt (in der Regel 644 für Dateien, 755 für Ordner) und verbieten Sie die Ausführung von PHP in den Upload-Ordnern (media, images), wo sie nichts zu suchen hat.
- Stellen Sie die Website hinter Cloudflare oder eine andere WAF: Sie fängt einen Teil der automatisierten Angriffe und Scanner ab, noch bevor sie Joomla erreichen.
- Erstellen Sie automatische Backups mit Speicherung getrennt von der Website und prüfen Sie sie.
- Entfernen Sie Entwicklungsspuren vom Server: alte Kopien, Testskripte, vergessene phpMyAdmin-Installationen und Archive. Oft werden gerade sie zum Einstieg.
Wann Sie einen Fachmann hinzuziehen sollten
Vieles aus dem Aufgezählten lässt sich tatsächlich selbst erledigen, besonders wenn der Hack früh bemerkt wurde und ein aktuelles sauberes Backup vorhanden ist. Doch es gibt Situationen, in denen Zögern und halbe Maßnahmen teurer kommen als Hilfe:
- Die Schadsoftware kehrt nach jeder Bereinigung zurück: Das heißt, eine Hintertür wurde übersehen oder die ursprüngliche Lücke nicht geschlossen.
- Es gibt kein sauberes Backup, und auf der Website liegen aktuelle Inhalte und Bestellungen, die nicht verloren gehen dürfen.
- Der Hoster hat das Konto gesperrt oder die Website ist bei Google als „unsicher“ markiert, und Sie müssen schnell eine erneute Prüfung durchlaufen.
- Das Defacement sitzt in der Datenbank (genau dieses Helix3 und „AntonKill“), wo das Bereinigen der Dateien nicht ausreicht.
- Die Website ist kommerziell, und jeder Tag Ausfall bedeutet verlorene Anfragen und Positionen.
Wenn das auf Sie zutrifft, stelle ich Joomla-Websites nach einem Hack schlüsselfertig wieder her: Ich finde und entferne Shells und Weiterleitungen, bereinige die Datenbank, schließe die Schwachstelle, bringe die Website zurück in die Suche und richte den Schutz ein, damit es nicht wieder passiert. Mehr zur Leistung und zu den Preisen auf der Seite Website-Wiederherstellung nach einem Hack. Die Diagnose mache ich kostenlos, noch vor Beginn der Arbeiten.
Häufige Fragen
Wie erkenne ich, dass meine Joomla-Website gehackt wurde?
Die wichtigsten Anzeichen: Weiterleitungen auf fremde Websites (besonders aus der Suche und vom Smartphone), unbekannte PHP-Dateien in den Ordnern media und images, neue Benutzer mit Super-User-Rechten, Beschwerden des Hosters über Schadsoftware, Spamversand vom Server und die Markierung „Diese Website wurde möglicherweise gehackt“ bei Google. Schon ein einziges solches Anzeichen ist Grund für eine vollständige Prüfung.
Was ist als Erstes zu tun, wenn die Website infiziert ist?
Ändern Sie alle Passwörter (Admin, Hosting, FTP, Datenbank), versetzen Sie die Website in den Wartungsmodus, sichern Sie die Logs und ein vollständiges Backup „so wie es ist“ zur Analyse, löschen Sie unbekannte Administratoren und informieren Sie den Hoster. Stellen Sie nicht sofort aus dem Backup wieder her: Zuerst müssen Sie verstehen, worüber der Angriff erfolgte, sonst wird die Website erneut infiziert.
Warum werden im Sommer 2026 massenhaft Joomla-Websites gehackt?
Wegen einer Reihe kritischer Schwachstellen in beliebten Erweiterungen (JCE, SP Page Builder, iCagenda, Page Builder CK) und im Template-Framework Helix3. Sie erlauben es, PHP-Code ohne Passwort hochzuladen und auszuführen. Die Exploits sind öffentlich, die Angriffe führen Bots automatisch aus, weshalb auch kleine Websites ins Visier geraten.
Kann ich einfach die Virusdatei löschen, und das war's?
Fast nie. Eine Webshell ist selten die einzige, und der Zugang wird oft in der Datenbank, in der .htaccess, im cron und in System-Plugins verankert. Wenn Sie eine Datei löschen und die Schwachstelle nicht schließen, wird die Website erneut infiziert. Nötig ist eine systematische Bereinigung plus die Beseitigung der Ursache.
Hilft die Wiederherstellung aus einer Sicherungskopie?
Ja, wenn die Kopie vor der Infektion erstellt wurde und Sie die Schwachstelle geschlossen haben. Das Problem ist, dass ein Hack oft spät bemerkt wird und die aktuellen Backups bereits infiziert sind. Dann nimmt man eine alte saubere Kopie als Basis und überträgt darauf geprüfte aktuelle Inhalte, wobei man die verwundbaren Erweiterungen unbedingt aktualisiert.
Was ist „Hacked by AntonKill“ und warum ist das gefährlich?
Das ist eine massenhafte Welle von Startseiten-Defacements von Joomla-Websites im Jahr 2026, die man mit einer Schwachstelle der Helix3-Templates (CVE-2026-49049) in Verbindung bringt. Die Besonderheit besteht darin, dass der Schadcode in den Template-Parametern in der Datenbank sitzt, weshalb das Bereinigen der Dateien allein nicht ausreicht: Man muss auch die Datenbank bereinigen.
Wie schütze ich eine Joomla-Website vor einem erneuten Hack?
Aktualisieren Sie Kern und Erweiterungen rechtzeitig, löschen Sie ungenutzte, aktivieren Sie die Zwei-Faktor-Authentifizierung, richten Sie die Dateirechte und das PHP-Verbot in den Upload-Ordnern ein, stellen Sie die Website hinter Cloudflare oder eine andere WAF und erstellen Sie automatische Backups mit Speicherung getrennt von der Website.
Was kostet es, eine Website nach einem Hack wiederherzustellen?
Das hängt vom Ausmaß ab: Manchmal genügt es, die Shells zu entfernen und ein paar Erweiterungen zu aktualisieren, manchmal ist ein vollständiger Neuaufbau aus einer sauberen Kopie mit Inhaltsübertragung nötig. Ich schätze das nach der kostenlosen Diagnose ein, wenn der tatsächliche Umfang sichtbar ist. Schreiben können Sie auf Telegram, ich antworte innerhalb eines Werktags.
Sie kommen mit der Bereinigung nicht allein zurecht?
Ich helfe Ihnen, Joomla nach einem Hack wiederherzustellen: Ich entferne Shells und Weiterleitungen, schließe die Lücke und bringe Ihre Website zurück in die Suche. Die Diagnose ist kostenlos, ich antworte innerhalb eines Werktags.