Joomla Sicherheitslücken 2026: JCE- und Astroid-Angriffe

Joomla Sicherheitslücken:
Warum derzeit so viele Websites gehackt werden

Wir sind eine Webagentur mit über 20 Jahren Erfahrung in der Entwicklung, Wartung und Absicherung von Joomla-Websites. In den vergangenen Wochen haben wir einen deutlichen Anstieg von gehackten Joomla-Websites festgestellt. Ursache hierfür sind unter anderem mehrere kritische Sicherheitslücken in weit verbreiteten Joomla-Erweiterungen und Template-Frameworks.

Besonders betroffen war der beliebte Joomla Content Editor (JCE CVE-2026-48907). Anfang Juni 2026 wurde eine kritische Schwachstelle bekannt, die es Angreifern unter bestimmten Umständen ermöglichte, Schadcode auf betroffene Server hochzuladen und auszuführen. Der Hersteller veröffentlichte am 3. Juni 2026 das Notfall-Update JCE 2.9.99.5 und wenige Tage später die Version 2.9.99.6 mit zusätzlichen Sicherheitsmaßnahmen. Für alle Joomla-Websites wird aktuell mindestens Version 2.9.99.6 empfohlen.

Zusätzlich sorgte eine kritische Sicherheitslücke im weit verbreiteten Astroid Framework, das von zahlreichen Joomla-Templates genutzt wird, für eine erhöhte Gefährdung vieler Websites. Diese Schwachstelle wurde nach ihrer Veröffentlichung aktiv ausgenutzt und ermöglichte in bestimmten Konstellationen das Hochladen schädlicher Dateien auf den Server.

Auf der folgenden Seite haben wir unsere Erfahrungen aus der Bereinigung kompromittierter Joomla-Websites, typische Angriffsmuster sowie konkrete Empfehlungen zum Schutz Ihrer Website zusammengefasst.


Angriff über Joomla Content Editor (JCE CVE-2026-48907)

  1. Backup bsp. über Akeeba erstellen

  2. Datenbank-, Joomlaadministroatur- und FTP-Passwörter ändern,
    Seite in der Administration / Konfiguration "offline stellen"

  3. JCE-Komponente deinstallien. 
    Standart-Editor unter Administration / Konfiguration ändern in TinyMCE

  4. Kontrolle ob keine Dateien mehr vorhanden sind (Bsp. jce2).
    Bei Plesk geht das am Einfachsten über die Suche innerhalb "Dateien".

  5. Folgende Verzeichnisse enthalten vermutlich Schadcode und sollten gelöscht werden:
    - images/ *.php und unbekannte Namen mit *.gif und weitere (auch Unterverzeichnisse überprüfen!
    - tmp/ *.* (alles ausser index.html löschen)
    - administrator/cache
    - Beim Hoster abklären, welche Files noch ausserhalb httpdocs gelöscht werden dürfen (bsp. .cagefs/tmp/phpJg27P)

  6. Wir haben ein Scan-Probramm entwickelt, welches nach Datum abfragt und sämtliche Files mit diesem Änderungs-Datum auflistet.
    Schreiben Sie uns ein Mail unter Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! und wir senden es gratis zu.

  7. Wenn die Seite nun wieder sauber ist,ein weiteres Backup erstellen

  8. Sämtliche Komponenten, Module, Plugins und Joomla-Version aktualisieren

  9. Eventuell wieder JCE, neuste Version installieren und Standart-Editor wieder auf JCE ändern, siehe unter 3.

  10. Backup erneut erstellen.

 

Angriff auf Framework von JoomlaPlates

 

  1. Backup bsp. über Akeeba erstellen

  2. Datenbank-, Joomlaadministroatur- und FTP-Passwörter ändern,
    Seite in der Administration / Konfiguration "offline stellen"

  3. neuste Version vom Astroid-Framework und Template installieren.
    https://www.joomlaplates.com/login.html?folder=Astroid%2BPlugin
    https://www.joomlaplates.com/login.html?folder=Templates
  4. Folgende Verzeichnisse enthalten vermutlich Schadcode und sollten gelöscht werden:
    - images/ *.php und unbekannte Namen mit *.gif und weitere (auch Unterverzeichnisse überprüfen!
    - tmp/ *.* (alles ausser index.html löschen)
    - administrator/cache
    - Beim Hoster abklären, welche Files noch ausserhalb httpdocs gelöscht werden dürfen (bsp. .cagefs/tmp/phpJg27P)

  5. Wir haben ein Scan-Probramm entwickelt, welches nach Datum abfragt und sämtliche Files mit diesem Änderungs-Datum auflistet.
    Schreiben Sie uns ein Mail unter Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! und wir senden es gratis zu.

  6. Wenn die Seite nun wieder sauber ist,ein weiteres Backup erstellen

  7. Sämtliche Komponenten, Module, Plugins und Joomla-Version aktualisieren

 

Bekannte Probleme nach einem Schadcode-Befall

  • Beim Update von Joomla erscheint die Fehlermeldung "Zugriff Verbot":
    Dies hat in der Regel mit der ".htaccess" Datei zu tun, welche auch mit Schadcode bestückt ist.
    Bei Plesk den Dateimanager öffnen und kontrollieren, ob es ein .htaccess im Basisverzeichnis und/oder im httpdocs hat.
  • Ein Schadcode wird in die Datei "includes/defines.php"  geschrieben. Alles was innerhalb 
    /* jad-start */.../* jad-end */ muss gelöscht werden. Eventuell finden sich auch noch txt-Files mit dem Vermerk "hacked by trenggalek6etar"
  • Besonders zu prüfen:
    includes/defines.php
    administrator/includes/defines.php
    templates/dein-template/index.php
    plugins/system/
    images/
    media/
    tmp/
    cache/

    nach 
    "jad-start" .
    "highperformanceformat" .
    "base64_decode" .
    "ob_start" .

Kontakt

Webberry Web und Film Agentur Luzern

Horwerstrasse 38

CH-6005 Luzern

+41 41 260 05 26

info@webberry.ch

Mo-Fr: 9.00 - 17.00

 

    Bankverbindung

    Allgemeine Geschäftsbedingungen (AGB)

    Impressum

    Datenschutz

 

Büro Stadt Luzern

Webberry Web und Film Agentur Luzern

Brandgässli 13

CH-6000 Luzern

+41 41 260 05 26

info@webberry.ch