Joomla-Websites bestehen selten nur aus dem eigentlichen CMS. In der Praxis kommen fast immer Erweiterungen dazu: Editoren, Page Builder, Kalender, Formulare, Galerien, Backup-Tools oder Schnittstellen. Genau diese Erweiterungen machen eine Website leistungsfähig, vergrössern aber auch die Angriffsfläche.

Im Juni 2026 wurden im Joomla-Umfeld mehrere Sicherheitsprobleme öffentlich, die Website-Betreiber aufhorchen lassen mussten. Besonders stark im Fokus standen der Joomla Content Editor JCE und der SP Page Builder. Bei iCagenda zeigt sich vor allem ein anderes, ebenso wichtiges Thema: Auch kleinere oder ältere Erweiterungen dürfen bei der Wartung nicht vergessen gehen.

Der Begriff «Zero-Day» wird dabei oft sehr schnell verwendet. Streng genommen meint er eine Schwachstelle, für die es zum Zeitpunkt der Bekanntwerdung noch keinen verfügbaren Schutz oder Patch gibt. In der Praxis entsteht die gefährlichste Phase aber oft direkt nach der Veröffentlichung eines Updates: Die Lücke ist bekannt, Angreifer analysieren den Patch, Exploits werden gebaut, und veraltete Websites werden automatisiert gesucht.

Für Betreiber bedeutet das: Nicht nur die Existenz einer Sicherheitslücke ist gefährlich, sondern vor allem die Zeitspanne zwischen Bekanntwerden, Update und Kontrolle der eigenen Website.

Bei den Sicherheitslücken, die jetzt aber bekannt wurden, wurden ist das perfide, dass sie schon sehr lange vorhanden waren, aber erst durch den Einsatz von KI entdeckt wurden. Entsprechend sind auch die Angriffe KI getrieben - das macht die Ganze Situation besonders schwierig.

Der Joomla Content Editor, kurz JCE, gehört zu den meistverbreiteten und etabliertesten Erweiterungen im Joomla-Ökosystem. Ryan Demmer ist ein herausragender Entwickler und hat sich um Joomla sehr verdient gemacht. Umso brisanter war die kritische Schwachstelle CVE-2026-48907, die im Juni 2026 öffentlich bekannt und als äusserst kritisch eingestuft wurde.

Der Hersteller veröffentlichte am 3. Juni 2026 JCE 2.9.99.5, um eine kritische Sicherheitslücke in allen früheren Versionen zu schliessen. Am 6. Juni 2026 folgte JCE 2.9.99.6 mit zusätzlichen Härtungen. Öffentlich beschrieben wurde die Schwachstelle am 12. Juni 2026.

Das Problem lag in der Importfunktion für JCE-Editorprofile. Angreifer konnten ohne Anmeldung ein manipuliertes Profil hochladen und darüber PHP-Code auf dem Server ablegen und ausführen. Damit war eine vollständige Kompromittierung der Website möglich.

Besonders gefährlich war die Kombination aus drei Faktoren: Die Lücke war ohne Login ausnutzbar, sie benötigte keine Benutzerinteraktion, und sie führte direkt zu Remote Code Execution. Deshalb wurde sie als so kritisch eingestuft.

Geholfen hätte vor allem ein sehr schnelles Update auf JCE 2.9.99.5 beziehungsweise besser auf 2.9.99.6 oder neuer. Zusätzlich hätte eine Server-Härtung geholfen, etwa das Unterbinden von PHP-Ausführung in Upload- und temporären Verzeichnissen. Ein reines Update genügte jedoch nicht, wenn die Website bereits vor dem Update kompromittiert wurde. Und genau dort lag auch das Problem: Offenbar war die Lücke bereits früher aktiv ausgenützt worden.

Nach dem Update mussten JCE-Profile, erlaubte Dateiendungen, verdächtige Dateien im tmp-Verzeichnis, Webserver-Logs und unbekannte Benutzerkonten geprüft und beseitigt werden. Im Falle einer Verseuchung halfen nur harte Massnahmen (siehe unten).

Beim SP Page Builder wurde Mitte Juni 2026 ebenfalls eine kritische Sicherheitslücke bekannt. Betroffen war die 6.x-Reihe bis einschliesslich 6.6.1. Geschlossen wurde das Problem mit Version 6.6.2.

Das Problem betraf eine Upload-Funktion für eigene Icons. Diese Funktion hätte nur kontrolliert und mit ausreichenden Rechten verwendet werden dürfen. Gemäss den öffentlich verfügbaren Analysen fehlten jedoch entscheidende Prüfungen: ob der Aufrufer angemeldet ist, ob er die nötigen Rechte hat und ob der Dateityp sicher ist.

Dadurch konnte ein nicht angemeldeter Angreifer eine schädliche PHP-Datei hochladen und anschliessend ausführen. Auch hier handelt es sich um eine besonders gefährliche Angriffsklasse: Unauthentifizierter Datei-Upload mit anschliessender Code-Ausführung.

Ein zusätzliches Problem: Solche Angriffe enden nicht zwingend mit dem ersten Zugriff. Angreifer können versteckte Administratoren anlegen, Hintertüren in Medienordnern ablegen oder Dateien so platzieren, dass sie nach einem oberflächlichen Update weiterhin Zugriff behalten.

Geholfen hätte ein sofortiges Update auf SP Page Builder 6.6.2, kombiniert mit einer Kontrolle der Benutzerliste, der Medienordner und verdächtiger PHP-Dateien. Besonders wichtig ist auch hier: Das Update schliesst die Tür, entfernt aber nicht automatisch Spuren eines bereits erfolgten Einbruchs. Auch hier sind im Falle eines erfolgreichen Angriffs drastische Massnahmen nötig (siehe unten).

Die Sicherheitslücke in iCagenda ist ebenfalls extrem kritisch. Es handelt sich ebenfalls um eine sogenannte Unauthenticated Remote Code Execution (RCE). Das bedeutet, Angreifer benötigen kein Benutzerkonto, um über das Formular zur Event-Einreichung schädlichen Code oder Backdoors direkt auf Ihren Server hochzuladen. Die Schwachstelle ist besonders gefährlich, weil sie bereits aktiv im Internet ausgenutzt wird. Betroffen sind alle Versionen, bis einschliesslich 4.0.7 (bzw. für Joomla 3 Version 3.9.15).

iCagenda ist eine Erweiterung, die nicht sehr verbreitet ist. Darum steht sie sinnbildlich für zahlreiche weitere "kleinere" Erweiterungen. Und gerade deshalb ist dieser für Website-Betreiber trotzdem wichtig. Viele Joomla-Websites enthalten Erweiterungen, die irgendwann installiert wurden und danach über Jahre einfach «mitlaufen». Event-Komponenten, Kalender oder kleine Zusatzmodule geraten im Alltag schneller in Vergessenheit als grosse Erweiterungen wie ein Editor oder Page Builder.

Das Risiko entsteht aber genauso durch diese "kleineren" Erweiterungen, wenn sie nicht rechtzeitig aktualisiert werden. Veraltete, nicht mehr benötigte oder nicht mehr aktiv gepflegte Komponenten sind ganz einfach gefährlich.. Eine einzelne vergessene Erweiterung kann genügen, um eine ansonsten gut gepflegte Website verwundbar zu machen.

Geholfen hätte hier eine regelmässige Inventarisierung: Welche Erweiterungen sind installiert? Welche werden wirklich gebraucht? Sind sie mit der aktuellen Joomla-Version kompatibel? Gibt es Updates? Wird die Erweiterung noch aktiv gepflegt?

Die wichtigste Massnahme lautet deshalb: Nicht benötigte Erweiterungen unbedingt deinstallieren, benötigte Erweiterungen aktuell halten und ältere Komponenten nach Joomla-Upgrades gezielt auf Kompatibilität und Sicherheitsstatus prüfen.

Alle drei Beispiele zeigen unterschiedliche Seiten desselben Problems. Bei JCE ging es um eine kritische, öffentlich dokumentierte Schwachstelle in einer extrem verbreiteten Erweiterung. Beim SP Page Builder ging es um eine kritische Lücke in einem Page Builder, der auf vielen professionellen Joomla-Websites eingesetzt wird. Bei iCagenda geht es um die oft unterschätzte Gefahr kleinerer oder älterer Erweiterungen.

Für Angreifer ist dabei nicht entscheidend, wie gross oder bekannt eine Website ist. Automatisierte Bots scannen das Internet nach bestimmten Komponenten, Versionsnummern, bekannten Pfaden und typischen Schwachstellen. Wird eine verwundbare Installation gefunden, läuft der Angriff oft ohne menschliches Zutun.

Besonders heikel ist: Viele Betreiber bemerken einen Angriff nicht sofort. Die Website funktioniert weiterhin, während im Hintergrund Spam verschickt, Schadcode abgelegt, Besucher umgeleitet oder ein versteckter Administrator angelegt wird.

Deshalb reicht es nicht, gelegentlich auf «Update» zu klicken. Professionelle Wartung bedeutet auch: Sicherheitsmeldungen verfolgen, Updates priorisieren, Backups prüfen, Logs kontrollieren und im Ernstfall wissen, welche Schritte in welcher Reihenfolge nötig sind.

Wer eine Joomla-Website betreibt und die erforderlichen Updates für den JCE nicht sofort am 3. Juni oder die Updates für den SP Pagebuilder nicht sofort am 16. Juni eingespielt hat, sollte sich grundsätzlich solange als mehrfach gehackt betrachten, bis das Gegenteil bewiesen ist. Darum gilt es zuerst die vorhanden Seite genau zu überprüfen. Dazu gehört eine genaue Prüfung der Versionen der installierten Erweiterungen. Besonders wichtig sind JCE, SP Page Builder und alle weiteren Erweiterungen, die Uploads, Benutzerinteraktionen, Formulare, Medien oder Kalenderfunktionen bereitstellen.

Das übliche Vorgehen dabei ist folgendes:

• Zwingend ein Backup erstellen
• Joomla-Core auf den aktuellen Stand bringen.
• JCE mindestens auf 2.9.99.6 oder neuer aktualisieren.
• SP Page Builder auf 6.6.2 oder neuer aktualisieren.
• iCagenda und alle weiteren Erweiterungen auf Aktualität und Pflegezustand prüfen.

Anschliessend:

• Die Website gezielt auf Kompromittierungen prüfen.
• Administrator-Konten, Benutzerrechte und Zwei-Faktor-Authentifizierung kontrollieren.
• PHP-Ausführung in Upload- und Medienverzeichnissen serverseitig einschränken.

Was weiter hilft:

• Die Webseite gegen Angriffsparameter absichern. Dazu gibt es das neue, kostenlose Werkzeug HTProtect. Dieses dient aber nur zum Absichern einer sauberen Website. Ist die Website komprimitiert: Siehe unten.
• Nicht benötigte Erweiterungen vollständig deinstallieren, nicht nur deaktivieren.

Wichtig ist die Reihenfolge: Zuerst muss die Lücke geschlossen werden. Danach wird geprüft, ob sie bereits ausgenutzt wurde. Wer nur aufräumt, ohne vorher zu aktualisieren, riskiert, dass der Angreifer seine Hintertür sofort wiederherstellt.

Als zusätzliche Schutzschicht kann der Server so konfiguriert werden, dass PHP-Dateien in typischen Upload- und Medienverzeichnissen nicht ausgeführt werden. Das ersetzt kein Update, kann aber die Wirkung eines erfolgreichen Uploads deutlich begrenzen.

Wenn der Verdacht besteht, dass eine Website kompromittiert wurde, sollte nicht hektisch gelöscht werden. Wichtig ist ein sauberes Vorgehen, damit Beweise, Logdaten und Wiederherstellungsmöglichkeiten erhalten bleiben. Dennoch sind im Falle einer Kompromitierung energische Massnahmen nötig.

• Website beim Verdacht auf einen Hack sofort in den Wartungsmodus versetzen oder den Zugriff vorübergehend einschränken.
• Ein vollständiges forensisches Backup erstellen, bevor Dateien gelöscht werden.
• Joomla, Templates und Erweiterungen aktualisieren, um den Einstiegspunkt zu schliessen.
• Unbekannte Benutzer und insbesondere unbekannte Super-User prüfen.
• Verdächtige PHP-Dateien in images, media, tmp, cache und Erweiterungsverzeichnissen suchen und beseitigen.
• Server-Logs auf verdächtige POST-Anfragen, Uploads und ungewöhnliche Zugriffe prüfen.
• Alle Joomla-Passwörter ändern und Sitzungen beenden.
• Datenbank-, FTP-, SSH-, Hosting- und E-Mail-Zugangsdaten erneuern.
• Backdoors und Schadcode entfernen oder eine saubere Wiederherstellung aus einem verlässlichen Backup durchführen.
• Die bereinigte Website erneut scannen und danach engmaschig überwachen

Ein häufiger Fehler ist, nur die offensichtlich beschädigte Datei zu löschen. Professionelle Angriffe legen oft mehrere Hintertüren an. Wird nur eine davon entfernt, bleibt der Zugriff bestehen.

Das pragmatischste Vorgehen vor allem bei kleinen Seiten:

• Backup der gehackten Seite ziehen
• Seite und Datenbank komplett löschen
• Alle Zugangsdaten ändern (FTP, Datenbank)
• Sicheres Backup einspielen
• Alle Logins ändern
• Den Server härten (siehe z.B. HTProtect weiter oben)

Wichtig: Das ist keine Arbeit für Hobby-Webdesigner. Werden diese Arbeiten nicht sauber ausgeführt, sind die Risiken für weitere Angriffe nach wie vor vorhanden. Deshalb lohnt sich unbedingt eine professionelle Bereinigung. Sie prüft nicht nur eine einzelne Erweiterung, sondern die gesamte Installation: Dateien, Datenbank, Benutzer, Konfiguration, Cronjobs, Weiterleitungen, .htaccess, Logs und Serverumgebung.

Viele Sicherheitsprobleme entstehen nicht, weil Betreiber fahrlässig handeln, sondern weil Website-Wartung im Alltag untergeht. Sicherheitsmeldungen erscheinen kurzfristig, Updates müssen geprüft werden, Erweiterungen haben eigene Release-Zyklen, und nach kritischen Lücken braucht es mehr als nur einen Klick im Backend.

Ein Wartungsvertrag mit einem vertrauenswürdigen Joomla-Partner schafft genau hier Entlastung. Er sorgt dafür, dass nicht erst reagiert wird, wenn Google warnt, der Hoster sperrt oder Kunden eine fremde Weiterleitung melden. Auch web2use.ch bietet Wartungsverträge an. Im Rahmen dieser Wartungverträge sind zahlreiche Leistungen erhalten, die mithelfen, gehackte Websites zu vermeiden:

• Updates werden regelmässig geprüft und zeitnah eingespielt.
• Kritische Sicherheitsmeldungen werden bewertet und priorisiert.
• Backups werden erstellt und auf Wiederherstellbarkeit kontrolliert.
• Erweiterungen werden inventarisiert und auf Notwendigkeit geprüft.
• Verdächtige Änderungen können früh erkannt werden.
• Im Ernstfall gibt es einen klaren Ablauf statt hektischer Einzelmassnahmen.

Der grösste Vorteil liegt in der Kontinuität. Eine gepflegte Website hat aktuelle Komponenten, weniger unnötige Erweiterungen, bessere Backups und einen Partner, der weiss, wie die Installation aufgebaut ist.

Die Fälle rund um JCE, SP Page Builder und iCagenda zeigen deutlich: Die Sicherheitslandschaft im Online-Bereich hat sich durch den kriminellen Einsatz von KI dramatisch verschärft. Die Sicherheit ihrer Website kann nicht mehr vernachlässigt werden, Updates müssen möglichst zeitnah eingespielt werden und falls etwas geschieht muss energisch reagiert werden. Die aktuellen Fälle mit Joomla dürften denn auch keine Einzelfälle bleiben und es ist eine Frage der Zeit, bis gleiche Zwischenfälle auch andere CMS wie Wordpress oder Typo3 treffen. Die Sicherheit ihrer Website hängt damit nicht mehr nur vom CMS selbst ab. Entscheidend ist das gesamte Ökosystem aus CMS-Kern, Erweiterungen, Templates, Serverkonfiguration, Backups und laufender Kontrolle.

JCE und SP Page Builder machten im Juni 2026 sichtbar, wie schnell kritische Lücken ausgenutzt werden können. iCagenda erinnert daran, dass auch kleinere oder ältere Erweiterungen regelmässig überprüft werden müssen.

Die wichtigste Lehre lautet: Updates sind Pflicht, aber sie sind nur ein Teil der Wartung. Nach kritischen Sicherheitslücken muss immer auch geprüft werden, ob bereits ein Angriff stattgefunden hat.

Wer seine Website professionell betreiben will, braucht deshalb einen verlässlichen Partner, der nicht nur repariert, wenn etwas kaputt ist, sondern laufend hinschaut: Updates, Backups, Sicherheit, Monitoring und klare Sofortmassnahmen im Ernstfall.

Ein Wartungsvertrag ist damit keine Zusatzleistung für Perfektionisten, sondern eine sinnvolle Versicherung gegen Ausfälle, Datenverlust, Reputationsschäden und teure Notfallbereinigungen. Denn eines hat die Krise gezeigt: Der Schaden einer gehackten Website geht rasch mal ins Geld. Und wenn dann auch noch Kundendaten betroffen sind, wird es erst recht unbequem.

Die günstigste Sicherheitslücke ist darum immer diejenige, die rechtzeitig geschlossen wird.

JCE, SP Page Builder und iCagenda waren im Juni 2026 konkret von sehr kritischen, öffentlich diskutierten Sicherheitsproblemen betroffen. Während der JCE und der SP Pagebuilder sehr verbreitete Erweiterungen sind, steht iCagenda für ein grundsätzliches Risiko: Ältere, kleinere oder vergessene Erweiterungen können ebenfalls zur Schwachstelle werden.

Darum ist die fachgerechte Wartung und technische Betreuung einer Website so enorm wichtig.