In den vergangenen Wochen haben wir gleich mehrere gehackte Joomla-Webseiten übernommen, gereinigt und teilweise komplett neu aufgebaut. Das Muster war immer dasselbe – und der Grund ebenfalls: eine kritische Sicherheitslücke im weit verbreiteten Editor-Plugin JCE (Joomla Content Editor). Wenn Sie eine Joomla-Seite betreiben, sollten Sie diesen Artikel bis zum Ende lesen.
Was ist passiert?
Im Juni 2026 wurde eine schwerwiegende Schwachstelle im JCE-Plugin öffentlich: CVE-2026-48907. Sie erhielt den höchstmöglichen Bedrohungswert – CVSS 10.0 von 10 („kritisch"). Das US-amerikanische Cyber-Sicherheitsamt CISA hat die Lücke am 16. Juni 2026 in seinen Katalog der aktiv ausgenutzten Schwachstellen aufgenommen und Behörden eine Frist zum Patchen gesetzt.
Das Tückische: Ein Angreifer braucht kein Passwort und keinen Login. Über eine ungeschützte Import-Funktion des Editors („profiles.import") kann er ein gefälschtes Editor-Profil anlegen und darüber eine Schaddatei mit PHP-Code auf den Server hochladen und ausführen. Das Ergebnis ist eine sogenannte Web-Shell – eine Hintertür, mit der der Angreifer dauerhaft die Kontrolle über die Webseite übernimmt.
Warum das so gefährlich ist
Drei Faktoren machen diese Lücke besonders brandgefährlich:
- Keine Anmeldung nötig: Die Schwachstelle ist „unauthenticated" – jeder im Internet kann sie ausnutzen.
- Vollautomatische Angriffe: Es kursieren öffentlich funktionierende Exploit-Tools. Bots scannen das Internet rund um die Uhr und greifen automatisiert an. Auch kleine, unbekannte Webseiten ohne öffentliche Registrierung sind betroffen – niemand ist zu klein, um ins Visier zu geraten.
- JCE ist überall: Das Plugin gehört zu den meistgenutzten Joomla-Erweiterungen überhaupt – installiert auf hunderttausenden Webseiten.
Bin ich betroffen?
Betroffen sind alle JCE-Versionen bis einschließlich 2.9.99.4. Geschlossen wurde die Lücke erst mit Version 2.9.99.5 (Anfang Juni 2026), weitere Härtungen folgten in 2.9.99.6. Wenn Ihre Joomla-Seite JCE einsetzt und nicht auf dem aktuellen Stand ist, gehen Sie davon aus, dass Sie angreifbar sind – oder bereits angegriffen wurden.
Achtung: Das Update allein reicht nicht!
Das ist der Punkt, den die meisten übersehen – und der bei unseren Kunden für tagelange Ausfälle gesorgt hat: Ein Update schließt nur die offene Tür. Es entfernt nicht, was der Angreifer bereits hinterlassen hat.
Wer vor dem Update bereits kompromittiert wurde, hat mit hoher Wahrscheinlichkeit eine versteckte Hintertür auf dem Server. Diese bleibt nach dem Update bestehen – der Angreifer kommt jederzeit zurück. Eine befallene Seite muss daher vollständig analysiert, bereinigt und oft sauber neu aufgebaut werden. Genau das haben wir zuletzt für mehrere Kunden übernommen.
Was Sie jetzt tun sollten
- Sofort updaten: JCE auf Version 2.9.99.6 oder neuer aktualisieren.
- Auf Befall prüfen: Die Server-Logs nach verdächtigen Zugriffen auf index.php?option=com_jce&task=profiles.import durchsuchen und nach unbekannten Editor-Profilen sowie fremden PHP-Dateien (oft im /tmp-Verzeichnis) suchen.
- Backups sichern: Ein sauberes Backup von vor dem mutmaßlichen Angriff ist Gold wert.
- Im Zweifel Profis ranlassen: Eine gehackte Seite zuverlässig zu bereinigen erfordert Erfahrung – ein übersehener Schadcode reicht, und der Angriff beginnt von vorn.
Sie wurden gehackt? Wir helfen – schnell und diskret.
Wir haben in den letzten Wochen mehrere gehackte Joomla-Seiten erfolgreich gerettet: analysiert, bereinigt, abgesichert und wieder online gebracht. Wenn Ihre Webseite betroffen ist – oder Sie sichergehen wollen, dass sie es nicht ist – melden Sie sich. Je schneller, desto besser.
Übrigens: Viele unserer Kunden nutzen die Gelegenheit, um von Joomla auf eine moderne, wartungsarme und deutlich sicherere Lösung umzusteigen. Sprechen Sie uns gern darauf an.