Fala włamań Joomla i WordPress, lato 2026: co robić
Lato 2026 stało się sezonem masowych włamań na strony Joomla i WordPress. W czerwcu i lipcu CISA dodała do katalogu aktywnie wykorzystywanych podatności kilka maksymalnie krytycznych luk w popularnych rozszerzeniach Joomla, a przez WordPress przeszła kampania WP-SHELLSTORM z tysiącami stron z backdoorami. Atakują automatyczne boty i uderzają w tych, którzy nie zdążyli się zaktualizować: okno między wydaniem łatki a masowym atakiem liczy się w dniach. Poniżej: które dokładnie rozszerzenia są celem, jak poznać, że już jesteś w strefie rażenia, i co zrobić w pierwszej kolejności.
Co się dzieje tego lata
To nie pojedyncze włamanie, lecz fala. Schemat w każdym przypadku jest ten sam:
- Badacze znajdują krytyczną lukę w popularnym rozszerzeniu, wychodzi łatka.
- W ciągu kilku dni w sieci pojawia się gotowy masowy exploit, a boty zaczynają skanować cały internet w poszukiwaniu podatnego rozszerzenia.
- Hakowani są ci, którzy się nie zaktualizowali. Konto nie jest potrzebne: ataki nie wymagają uwierzytelnienia.
Część tych luk CISA dodała do katalogu aktywnie wykorzystywanych podatności (KEV) i nakazała urzędom USA pilne załatanie. Dla właściciela małej strony wniosek jest prosty: jeśli rozszerzenie z listy poniżej jest zainstalowane i niezaktualizowane, jesteś w kolejce.
Sprawdź stronę teraz
Narzędzie otworzy Twoją stronę z zewnątrz tak, jak widzi ją wyszukiwarka i odwiedzający z telefonu. Defacement, przekierowanie, cloaking i przestarzałą wersję CMS będzie widać od razu. Dostęp do strony nie jest potrzebny.
Joomla: cztery krytyczne luki lata 2026
Wszystkie cztery są wykorzystywane w realnych atakach. Jeśli masz rozszerzenie, zaktualizuj je do podanej wersji natychmiast:
- iCagenda (CVE-2026-48939, CVSS 10.0). Wgranie dowolnego pliku przez załączniki prowadzi do wykonania PHP. Wykorzystywana jako zero-day od 15 czerwca 2026. Poprawka: wersje 4.0.8 i 3.9.15.
- Balbooa Forms (CVE-2026-56291, CVSS 10.0). Wgranie pliku przez formularz prowadzi do zdalnego wykonania kodu. Podatne wersje do 2.4.0 włącznie. Poprawka: 2.4.1.
- JCE, edytor Joomla Content Editor (CVE-2026-48907, CVSS 10.0). Utworzenie profilu edytora bez uwierzytelnienia pozwala wgrać i wykonać PHP. Podatne wersje od 1.0.0 do 2.9.99.4. Poprawka: 2.9.99.6. Gotowy exploit jest już publiczny.
- Helix3, framework szablonów JoomShaper (CVE-2026-49049, CVSS 7.5). Zapis do ustawień szablonu w bazie danych bez uwierzytelnienia. Podatne wszystkie wersje do 3.1.1 na Joomla 3, 4 i 5. Poprawka: 3.1.2.
Defacement „Hacked by AntonKill" na Helix3: dlaczego antywirus hostingu milczy
To właśnie przez Helix3 idzie zauważalna fala defacementów: od początku lipca boty oznaczają strony pełnoekranową nakładką z czaszką i napisem „Hacked by AntonKill" lub „Hacked by trenggalek6etar". Kluczowy szczegół: złośliwy kod zapisywany jest nie do plików, lecz do parametrów szablonu w bazie danych. Każda strona ładuje JavaScript prosto z ustawień szablonu.
Dlatego antywirus hostingu pokazuje „wszystko czyste", a defacement jest na miejscu: skaner sprawdza pliki według sygnatur, a kod siedzi w bazie. Czyścić trzeba właśnie bazę, a nie tylko pliki. Więcej o usuwaniu tego defacementu na stronie przywracania po włamaniu.
WordPress: kampania WP-SHELLSTORM
WordPress przeszedł tego lata osobną kampanię. Na niezabezpieczonym serwerze atakujących badacze znaleźli ślady masowego backdoorowania: według własnej rachuby atakujących zaatakowano ponad 45 000 stron, na ponad 17 000 umieszczono backdoora, a dostęp jest odsprzedawany.
- Głównym wejściem kampanii była wtyczka cache Breeze (CVE-2026-3844), poprawka w wersji 2.4.5. Ważne: luka działa tylko przy włączonym niedomyślnym ustawieniu „Host Files Locally - Gravatars", więc nie każda instalacja jest podatna.
- Zestaw obejmował łącznie 27 znanych luk wtyczek. To nie były zero-daye: atakowano to, co dawno załatano, ale nie zaktualizowano na stronach.
Wniosek jest ten sam co przy Joomli: masowo hakuje się nie przez tajne luki, lecz przez zaniedbane, niezaktualizowane wtyczki.
Jak poznać, że już jesteś celem
Oznaki, że strona jest już zhakowana:
- Pełnoekranowy defacement z czaszką i napisem „Hacked by..." albo obca treść zamiast strony głównej.
- Strona przekierowuje na kasyna, apteki lub spam, zwłaszcza na telefonie lub z wyszukiwarki.
- W panelu administracyjnym pojawili się użytkownicy lub profile edytora, których nie tworzyłeś.
- Nieznane pliki .php w folderach uploads, media lub cache.
- Hosting zawiesił konto za złośliwe oprogramowanie albo Google oznaczył stronę jako zhakowaną.
Co zrobić teraz
- Zaktualizuj podatne rozszerzenia do wersji z poprawką: iCagenda 4.0.8 / 3.9.15, Balbooa Forms 2.4.1, JCE 2.9.99.6, Helix3 3.1.2, Breeze 2.4.5.
- Zmień wszystkie hasła i klucze: panel administracyjny, FTP i SSH, baza danych, panel hostingu, tajne klucze CMS.
- Sprawdź listę administratorów i profili edytora, usuń tych, których nie tworzyłeś.
- W przypadku Helix3 sprawdź parametry szablonu w bazie (tabela
#__template_styles) pod kątem obcego JavaScriptu. - Znajdź i usuń web-shelle: nieznane pliki .php, często przez
eval(base64_decode(...)). Sprawdź zadania cron.
Ważne: aktualizacja zamyka wejście, ale NIE usuwa już wgranego backdoora. Jeśli strona jest już zhakowana, sama aktualizacja nie wystarczy, potrzebne jest czyszczenie.
Kiedy wezwać specjalistę
Warto nie tracić czasu, jeśli:
- strona jest już zdefacowana, przekierowuje lub oznaczona przez Google;
- zaktualizowałeś rozszerzenie, ale infekcja została;
- kod jest w bazie (Helix3), a antywirus hostingu milczy;
- hosting zablokował konto;
- nie ma działającej czystej kopii zapasowej.
Czyszczę strony dotknięte tą falą na dowolnym CMS: usuwam defacement i backdoory (w tym kod w bazie przy Helix3), zamykam punkt wejścia i aktualizuję podatne rozszerzenia, aby się nie powtórzyło. Diagnostyka jest bezpłatna. Pracuję z właścicielami stron z Ukrainy i z Polski oraz z rosyjskojęzycznymi w UE. Z osobami prawnymi zarejestrowanymi w Rosji nie współpracuję: to ograniczenie sankcji UE.
Szczegóły i zgłoszenieCzęste pytania
Zaktualizowałem rozszerzenie. Jestem bezpieczny?
Aktualizacja zamyka wejście, ale nie usuwa tego, co wgrano przed aktualizacją. Jeśli stronę zhakowano, zanim się zaktualizowałeś, backdoor zostaje, a infekcja wróci. Po aktualizacji koniecznie sprawdź stronę pod kątem defacementu, przekierowań i web-shelli.
Antywirus hostingu mówi, że wszystko czyste, a defacement jest. Jak to?
To typowe dla defacementu na Helix3: złośliwy kod leży w parametrach szablonu w bazie danych, a nie w plikach. Antywirus hostingu sprawdza pliki według sygnatur i nie widzi bazy. Dlatego uczciwie pokazuje czysto, a defacement jest na miejscu. Czyścić trzeba bazę.
Mam Joomla 4 lub 5, a nie 3. Czy to mnie nie dotyczy?
Dotyczy. Luki tego lata nie są w rdzeniu Joomla, lecz w rozszerzeniach: iCagenda, Balbooa Forms, JCE i Helix3 instaluje się i hakuje na Joomla 3, 4 i 5 tak samo. Wersja rdzenia nie chroni, liczy się to, czy same rozszerzenia są zaktualizowane.
Dlaczego masowo, przecież moja strona jest mała?
Bo ataki nie są ręczne, tylko botowe: boty skanują cały internet i uderzają w każdą stronę z podatnym rozszerzeniem. Botowi wszystko jedno, czy strona jest duża czy mała, liczy się tylko podatność. Małe strony obrywają częściej, bo rzadziej się aktualizują.
Zdążę zaktualizować się sam?
Jeśli strona nie jest jeszcze zhakowana, aktualizuj natychmiast: okno między łatką a masowym atakiem to tylko kilka dni. Ale jeśli strona ma już defacement, przekierowanie lub obce profile, aktualizacja już jej nie leczy, tylko zamyka wejście na przyszłość, a usunięcie infekcji i znalezienie backdoora to osobna praca.