Хвиля зломів Joomla і WordPress, літо 2026: що робити
Літо 2026 стало сезоном масових зломів сайтів на Joomla і WordPress. За червень і липень у каталог активно експлуатованих вразливостей CISA внесли одразу кілька максимально критичних дір у популярних розширеннях Joomla, а по WordPress пройшла кампанія WP-SHELLSTORM із тисячами забекдорених сайтів. Ламають автоматичні боти, і бʼють вони по тих, хто не встиг оновитися: вікно між виходом патча і масовою атакою вимірюється днями. Нижче: які саме розширення під ударом, як зрозуміти, що ви вже в зоні ураження, і що робити насамперед.
Що відбувається цього літа
Це не поодинокий злом, а хвиля. Схема в усіх випадках одна:
- Дослідники знаходять критичну діру в популярному розширенні, виходить патч.
- За кілька днів у мережі зʼявляється готовий масовий експлойт, і боти починають сканувати весь інтернет за ознакою вразливого розширення.
- Ламають тих, хто не оновився. Реєстрація на сайті не потрібна: атаки йдуть без авторизації.
Частину цих дір CISA внесла в каталог активно експлуатованих вразливостей (KEV) і зобовʼязала держоргани США терміново пропатчитися. Для власника малого сайта висновок простий: якщо розширення зі списку нижче стоїть і не оновлене, ви в черзі.
Перевірте сайт прямо зараз
Інструмент відкриє ваш сайт ззовні так, як його бачать пошуковий робот і відвідувач із телефону. Дефейс, редирект, клоакінг і застарілу версію CMS буде видно одразу. Доступ до сайту не потрібен.
Joomla: чотири критичні діри літа 2026
Усі чотири експлуатуються в реальних атаках. Якщо у вас стоїть розширення, оновіть його до вказаної версії негайно:
- iCagenda (CVE-2026-48939, CVSS 10.0). Завантаження довільного файлу через вкладення призводить до виконання PHP. Експлуатується як zero-day з 15 червня 2026. Фікс: версії 4.0.8 і 3.9.15.
- Balbooa Forms (CVE-2026-56291, CVSS 10.0). Завантаження файлу через форму призводить до віддаленого виконання коду. Вразливі версії до 2.4.0 включно. Фікс: 2.4.1.
- JCE, редактор Joomla Content Editor (CVE-2026-48907, CVSS 10.0). Створення профілю редактора без авторизації дозволяє завантажити і виконати PHP. Вразливі версії з 1.0.0 по 2.9.99.4. Фікс: 2.9.99.6. Готовий експлойт уже опубліковано.
- Helix3, фреймворк шаблонів JoomShaper (CVE-2026-49049, CVSS 7.5). Запис у налаштування шаблона в базі даних без авторизації. Вразливі всі версії до 3.1.1 на Joomla 3, 4 і 5. Фікс: 3.1.2.
Дефейс «Hacked by AntonKill» на Helix3: чому антивірус хостингу мовчить
Саме через Helix3 іде помітна хвиля дефейсів: з початку липня боти позначають сайти повноекранним оверлеєм із черепом і написом «Hacked by AntonKill» або «Hacked by trenggalek6etar». Ключова деталь: шкідливий код записується не у файли, а в параметри шаблона в базі даних. Кожна сторінка підвантажує JavaScript прямо з налаштувань шаблона.
Тому антивірус хостингу показує «все чисто», а дефейс на місці: сканер перевіряє файли за сигнатурами, а код сидить у базі. Чистити треба саме базу, а не лише файли. Докладніше про видалення цього дефейсу на сторінці відновлення після злому.
WordPress: кампанія WP-SHELLSTORM
По WordPress цього літа пройшла окрема кампанія. На незахищеному сервері зловмисників знайшли сліди масового бекдорингу: за їхніми власними підрахунками атаковано понад 45 000 сайтів, забекдорено понад 17 000, доступ до них перепродається.
- Головний вхід кампанії: плагін кешування Breeze (CVE-2026-3844), фікс у версії 2.4.5. Важливо: діра спрацьовує лише за увімкненого не дефолтного налаштування «Host Files Locally - Gravatars», тому вразливі не всі встановлення.
- Усього в наборі було 27 відомих вразливостей плагінів. Це не zero-day: атакували те, що давно пропатчено, але не оновлено на сайтах.
Урок той самий, що й з Joomla: масово ламають не через секретні діри, а через занедбані неоновлені плагіни.
Як зрозуміти, що ви вже під ударом
Ознаки, за якими видно, що сайт уже зламано:
- Повноекранний дефейс із черепом і написом «Hacked by...» або чужий контент замість головної.
- Сайт редиректить на казино, аптеки чи спам, особливо з телефону або з пошуку.
- В адмінці зʼявилися користувачі або профілі редактора, яких ви не створювали.
- Незнайомі .php-файли в папках uploads, media чи в кеші.
- Хостинг призупинив акаунт за шкідливе ПЗ або Google позначив сайт як зламаний.
Що зробити прямо зараз
- Оновіть вразливі розширення до фікс-версій: iCagenda 4.0.8 / 3.9.15, Balbooa Forms 2.4.1, JCE 2.9.99.6, Helix3 3.1.2, Breeze 2.4.5.
- Змініть усі паролі й ключі: адмінка, FTP і SSH, база даних, панель хостингу, секретні ключі CMS.
- Перевірте список адміністраторів і профілів редактора, видаліть тих, кого не створювали.
- Для Helix3 перевірте параметри шаблона в базі (таблиця
#__template_styles) на сторонній JavaScript. - Знайдіть і видаліть веб-шели: незнайомі .php-файли, часто через
eval(base64_decode(...)). Перевірте завдання cron.
Важливо: оновлення закриває вхід, але НЕ прибирає вже залитий бекдор. Якщо сайт уже зламано, одного оновлення мало, потрібна чистка.
Коли кликати фахівця
Має сенс не гаяти час, якщо:
- сайт уже задефейсено, редиректить або позначено Google;
- ви оновили розширення, але зараження лишилося;
- код у базі (Helix3), а антивірус хостингу мовчить;
- хостинг заблокував акаунт;
- робочої чистої резервної копії немає.
Чищу сайти після цієї хвилі на будь-якій CMS: прибираю дефейс і бекдори (зокрема код у базі на Helix3), закриваю точку входу і оновлюю вразливі розширення, щоб не повторилося. Діагностика безкоштовна. Працюю з власниками сайтів з України, Польщі та з російськомовними в ЄС. З юридичними особами, зареєстрованими в Росії, не працюю: це обмеження санкцій ЄС.
Докладніше і заявкаЧасті запитання
Я оновив розширення. Я в безпеці?
Оновлення закриває вхід, але не прибирає те, що вже встигли залити до оновлення. Якщо сайт зламали раніше, ніж ви оновилися, бекдор лишається, і зараження повернеться. Після оновлення обовʼязково перевірте сайт на дефейс, редирект і веб-шели.
Антивірус хостингу каже, що все чисто, а дефейс є. Як так?
Це типово для дефейсу на Helix3: шкідливий код лежить у параметрах шаблона в базі даних, а не у файлах. Антивірус хостингу перевіряє файли за сигнатурами і базу не бачить. Тому він чесно показує «чисто», а дефейс на місці. Чистити треба базу.
У мене Joomla 4 або 5, а не 3. Мене це не стосується?
Стосується. Діри цього літа не в ядрі Joomla, а в розширеннях: iCagenda, Balbooa Forms, JCE і Helix3 стоять і ламаються на Joomla 3, 4 і 5 однаково. Версія ядра не захищає, важливо, чи оновлені самі розширення.
Чому ламають масово, у мене ж маленький сайт?
Бо атакують не вручну, а ботами: вони сканують весь інтернет і бʼють по будь-якому сайту, де стоїть вразливе розширення. Боту байдуже, великий у вас сайт чи маленький, важливий лише факт вразливості. Малі сайти страждають частіше, бо рідше оновлюються.
Чи встигну оновитися сам?
Якщо сайт ще не зламано, оновлюйтеся негайно: вікно між патчем і масовою атакою всього кілька днів. Якщо ж на сайті вже дефейс, редирект чи чужі профілі, оновлення вже не лікує, воно лише закриє вхід на майбутнє, а прибирати зараження і шукати бекдор доведеться окремо.