Veraltete Joomla-Erweiterungen: das größte Einfallstor (und wie Sie es schließen)

Gründer und Digitalisierungs-Experte

Aktualisiert: Juni 29, 2026

Lesezeit ca.: 13 Minuten

Die meisten gehackten Joomla-Websites werden nicht über Joomla selbst angegriffen, sondern über eine einzige veraltete Erweiterung. Genau das macht das Thema so tückisch: Sie pflegen Ihren Joomla-Kern brav, fühlen sich sicher, und übersehen das eine Plugin, das seit Monaten kein Update mehr bekommen hat.

Wir betreuen seit Jahren Joomla-Websites und sehen immer wieder dasselbe Muster. Im Juni 2026 mussten wir ein Kundenprojekt bereinigen, das über genau diesen Weg kompromittiert wurde: eine veraltete Editor-Erweiterung war das Einfallstor. In diesem Beitrag erklären wir Ihnen das grundsätzliche Problem, wie die automatisierten Angriffe ablaufen und mit welchen konkreten Schritten Sie Ihre Joomla-Website dauerhaft absichern.

Auf einen BlickErstens: Nicht der Joomla-Kern, sondern Dritt-Erweiterungen sind das größte Sicherheitsrisiko. Zweitens: Sobald eine Lücke öffentlich wird, scannen automatisierte Bots binnen Stunden das halbe Internet danach. Drittens: Joomla pflegt mit der Vulnerable Extensions List (VEL) ein offizielles Verzeichnis bekannter Lücken, das Sie nutzen sollten. Viertens: Je weniger Erweiterungen Sie installiert haben, desto kleiner ist Ihre Angriffsfläche.

Warum Erweiterungen das größte Risiko sind

Der Joomla-Kern, also die eigentliche Software, die das Projekt selbst entwickelt, ist erstaunlich gut gepflegt. Sicherheitslücken im Kern werden meist schnell gefunden und geschlossen, und es gibt einen festen Prozess dafür. Das Problem liegt woanders: bei den Erweiterungen von Dritt-Anbietern.

Eine typische Joomla-Website nutzt schnell ein Dutzend oder mehr Erweiterungen: einen Editor, ein Formular-Tool, eine Galerie, ein SEO-Plugin, vielleicht einen Shop. Jede dieser Erweiterungen ist eigener Programmcode, der von einem anderen Team oder einer Einzelperson stammt. Die Qualität und die Pflege schwanken stark. Manche werden jahrelang aktiv weiterentwickelt, andere wurden vor Jahren das letzte Mal angefasst und sind quasi verwaist.

Jede Erweiterung ist eine eigene Tür

Stellen Sie sich Ihre Website wie ein Haus vor. Der Joomla-Kern ist die Eingangstür mit dem guten Schloss. Jede Erweiterung ist eine zusätzliche Tür oder ein Fenster, das Sie eingebaut haben. Sie verlassen sich darauf, dass auch diese Türen ordentlich verschlossen sind. Aber eine veraltete Erweiterung ist wie ein Fenster mit einem kaputten Riegel: Von außen sieht alles normal aus, doch wer weiß, wo er drücken muss, ist drin.

Genau das ist im Juni 2026 in unserem Kundenprojekt passiert. Eine weit verbreitete Editor-Erweiterung, der JoomlaContentEditor (technisch com_jce), war nicht aktuell. In Versionen unter 2.9.99.5 gab es eine Schwachstelle, über die sich ohne Anmeldung Dateien hochladen ließen. Betroffen waren sowohl die kostenlose als auch die Pro-Variante, und das über mehrere Joomla-Generationen hinweg (Joomla 3, 4, 5 und 6). Behoben wurde es mit Version 2.9.99.5 und kurz darauf mit 2.9.99.6.

Wichtig zu verstehenEine veraltete Erweiterung ist nicht erst dann gefährlich, wenn sie offensichtlich kaputt ist. Sie ist gefährlich, sobald eine Lücke bekannt wird und kein Update eingespielt wurde. Das Update ist da, es wurde nur nicht installiert. Diese Lücke zwischen „Fix verfügbar“ und „Fix eingespielt“ ist das Zeitfenster, in dem die meisten Websites fallen.

Den konkreten Ablauf dieses Falls und das passende Update haben wir in einem eigenen Beitrag aufgearbeitet: die JCE-Sicherheitslücke und das richtige Update.

Wie automatisierte Massen-Exploits funktionieren

Viele Website-Betreiber denken, ein Angriff sei eine gezielte Sache: Jemand sucht sich genau Ihre Website aus und versucht, hineinzukommen. Bei den meisten Joomla-Vorfällen ist das nicht der Fall. Sie werden nicht persönlich angegriffen, sondern automatisch und massenhaft.

Der Ablauf ist fast immer gleich und läuft in vier Phasen ab.

1Eine Lücke wird öffentlich. Ein Sicherheitsforscher oder der Hersteller meldet eine Schwachstelle in einer Erweiterung. Das Update erscheint, und gleichzeitig wird die Lücke dokumentiert, etwa in einem öffentlichen Verzeichnis. Das ist nötig und richtig, bedeutet aber auch: Ab jetzt wissen alle Bescheid, auch die Angreifer.

2Bots beginnen zu scannen. Automatisierte Programme durchsuchen das Internet pausenlos nach Websites, die eine bestimmte Erweiterung in einer verwundbaren Version nutzen. Solche Scans laufen rund um die Uhr und kennen keine Mittagspause. Ob Ihre Website groß oder klein ist, spielt keine Rolle.

3Der Massenangriff startet. Findet ein Bot eine passende, ungepatchte Erweiterung, wird die Lücke automatisch ausgenutzt. Das geschieht ohne menschliches Zutun und in großer Zahl. Tausende Websites werden in derselben Welle getroffen.

4Persistenz wird eingerichtet. Ist der Angreifer einmal drin, sorgt er dafür, dass er drin bleibt. Im Fall vom Juni 2026 wurde unter anderem ein getarnter Prozess gestartet, ein Fernzugriff über ein Relay eingerichtet und mehrere Cronjobs angelegt, die alle paar Minuten neuen Schadcode nachladen konnten. Zeitstempel wurden gefälscht, damit die manipulierten Dateien unauffällig aussehen.

So läuft ein automatisierter Massen-Angriff1. Lücke wird öffentlichEine Schwachstellewird bekannt2. Bots scannenProgramme suchendas ganze Netz ab3. Massen-ExploitTausende Seitengleichzeitig4. HintertürBackdoor undSchadcode bleiben→→→Zwischen Schritt 1 und 3 liegen oft nur Stunden. Tempo schlägt Tarnung.

So läuft ein automatisierter Massen-Angriff ab: von der öffentlichen Lücke über das Scannen durch Bots bis zum eingerichteten Dauerzugriff.

Der entscheidende Punkt: Zwischen „Lücke wird öffentlich“ und „Bots greifen an“ liegen oft nur Stunden. Wer erst nach Tagen oder Wochen aktualisiert, hat in vielen Fällen schon verloren. Deshalb ist Geschwindigkeit beim Patchen so wichtig.

Reinfektion vermeidenIn unserem Fall kam erschwerend hinzu: Zuerst wurden nur die Symptome entfernt, also die offensichtlich auffälligen Dateien. Weil das eigentliche Einfallstor, die veraltete Erweiterung, dabei nicht geschlossen wurde, kam der Befall zurück. Außerdem hatte sich der Angreifer über mehrere Websites desselben Hosting-Accounts ausgebreitet. Eine Bereinigung, die nur an der Oberfläche kratzt, ist deshalb verschwendete Zeit. Wie eine saubere Bereinigung abläuft, lesen Sie unter Joomla-Website gehackt: richtig bereinigen.

Die Joomla Vulnerable Extensions List (VEL) und Update-Hygiene

Es gibt ein offizielles Werkzeug, das vielen Joomla-Betreibern gar nicht bekannt ist: die Vulnerable Extensions List, kurz VEL. Das ist ein vom Joomla-Projekt gepflegtes Verzeichnis von Erweiterungen, in denen Sicherheitslücken gemeldet wurden.

Was die VEL für Sie tut

Die VEL listet auf, welche Erweiterung in welcher Version verwundbar ist und ob bereits ein Fix existiert. Sie ist damit Ihre wichtigste Frühwarnquelle. Wenn Sie eine Erweiterung einsetzen, lohnt sich ein regelmäßiger Blick, ob sie dort auftaucht. Erscheint eine Ihrer Erweiterungen in der Liste, ist das ein klares Signal: handeln, aktualisieren oder entfernen.

Update-Hygiene bedeutet Routine

Mit „Update-Hygiene“ meinen wir eine feste Gewohnheit, mit der Sie Ihre Website pflegen, ähnlich wie Zähneputzen. Es geht nicht darum, einmal im Jahr aufzuräumen, sondern um Regelmäßigkeit. Dazu gehören drei Dinge:

1Updates zeitnah einspielen. Nicht „irgendwann“, sondern möglichst innerhalb weniger Tage nach Erscheinen. Sicherheitsupdates haben Vorrang.

2Vorher sichern. Vor jedem Update ein Backup von Dateien und Datenbank anlegen. So können Sie zurück, falls etwas schiefgeht.

3Quellen prüfen. Erweiterungen nur aus vertrauenswürdigen Quellen beziehen und gegen die VEL abgleichen.

Keine Zeit für tägliche Update-Kontrollen?

Wir übernehmen Updates, Backups und Monitoring für Ihre Joomla-Website, damit Sicherheitslücken gar nicht erst zum Problem werden.

Website-Betreuung ansehen

Erweiterungen ausmisten und reduzieren

Die einfachste Sicherheitsmaßnahme ist oft die, an die niemand denkt: weniger installieren. Jede Erweiterung, die Sie nicht haben, kann auch nicht zur Lücke werden. Weniger ist hier wirklich sicherer.

Den Bestand ehrlich prüfen

Über die Jahre sammeln sich auf einer Joomla-Website Erweiterungen an. Ein Plugin für eine Aktion, die längst vorbei ist. Eine Galerie, die niemand mehr nutzt. Ein Tool, das Sie mal getestet und nie wieder angefasst haben. Jedes davon läuft im Hintergrund weiter und muss aktuell gehalten werden, ob Sie es nutzen oder nicht.

Gehen Sie Ihre Erweiterungsliste durch und stellen Sie bei jeder Erweiterung drei Fragen: Brauche ich das wirklich? Wird es noch vom Hersteller gepflegt? Gibt es eine schlankere Alternative? Was Sie nicht brauchen, fliegt raus, und zwar vollständig, nicht nur deaktiviert.

Deaktiviert ist nicht entferntEine deaktivierte Erweiterung liegt weiterhin auf dem Server und kann in vielen Fällen trotzdem angegriffen werden. Wenn Sie etwas nicht mehr brauchen, deinstallieren Sie es vollständig. Halbe Sachen geben nur ein falsches Gefühl von Sicherheit.

Verwaiste Erweiterungen erkennen

Besonders gefährlich sind Erweiterungen, die der Hersteller nicht mehr pflegt. Es gibt dann schlicht keine Updates mehr, auch nicht bei einer Sicherheitslücke. Solche „verwaisten“ Erweiterungen sollten Sie ersetzen oder entfernen. Ein Hinweis darauf ist, wenn die letzte Version Jahre zurückliegt oder die Website des Anbieters verschwunden ist.

Update-Strategie und Monitoring

Updates einzuspielen ist gut. Mitzubekommen, dass ein Update überhaupt nötig ist, ist die halbe Miete. Ohne Monitoring, also ohne eine laufende Überwachung, merken Sie einen Befall oft erst, wenn es zu spät ist und die Website langsam wird, Spam versendet oder von Google als gefährlich markiert wird.

Eine einfache Update-Strategie

Sie brauchen keinen komplizierten Plan, sondern eine verlässliche Routine. Bewährt hat sich: ein fester Termin pro Woche, an dem Sie nach Updates schauen und sie einspielen, plus eine Sofort-Regel für kritische Sicherheitsupdates. Dazu immer ein Backup vor dem Update und ein kurzer Funktionstest danach.

Was Monitoring leisten sollte

Ein gutes Monitoring beobachtet mehrere Dinge gleichzeitig: ob neue oder veränderte Dateien auftauchen, ob die Website erreichbar und schnell ist, und ob sie auf Sperrlisten landet. Verändern sich Dateien, ohne dass Sie etwas getan haben, ist das ein Warnsignal. Genau solche heimlichen Veränderungen, wie die gefälschten Zeitstempel im Juni-Vorfall, lassen sich mit Dateiüberwachung früh entdecken.

TippStellen Sie automatische Benachrichtigungen ein, sobald ein Update verfügbar ist oder sich etwas Ungewöhnliches tut. So müssen Sie nicht selbst daran denken, sondern werden aktiv informiert. Das senkt das Risiko, ein wichtiges Sicherheitsupdate zu verpassen, deutlich.

Härtungs-Checkliste

Zum Abschluss die konkreten Maßnahmen, mit denen Sie Ihre Joomla-Website spürbar sicherer machen. „Härtung“ bedeutet, die Angriffsfläche so klein wie möglich zu halten.

1Joomla-Kern und alle Erweiterungen aktuell halten. Sicherheitsupdates möglichst sofort, alles andere im wöchentlichen Rhythmus.

2Erweiterungen reduzieren. Nicht Genutztes vollständig deinstallieren, verwaiste Erweiterungen ersetzen.

3Gegen die VEL prüfen. Regelmäßig abgleichen, ob eine Ihrer Erweiterungen in der Vulnerable Extensions List steht.

4Starke Zugangsdaten und Zwei-Faktor. Sichere Passwörter für alle Admin-Konten, dazu wenn möglich eine zweite Anmeldestufe.

5Regelmäßige, getrennte Backups. Automatisch und an einem Ort, der nicht auf demselben Server liegt. Im Ernstfall ist ein sauberes Backup Gold wert.

6Dateirechte und Konten sauber halten. Nur nötige Schreibrechte vergeben, nicht mehr genutzte Benutzerkonten löschen.

7Sites auf Shared Hosting trennen. Liegen mehrere Websites in einem Account, kann ein Befall überspringen. Im Zweifel trennen oder isolieren.

8Monitoring einrichten. Dateiveränderungen, Erreichbarkeit und Sperrlisten überwachen, mit automatischer Benachrichtigung.

Wenn Sie diese Punkte abarbeiten, schließen Sie genau die Türen, durch die automatisierte Angriffe normalerweise hereinkommen. Falls Sie den Verdacht haben, dass bei Ihnen schon etwas passiert ist, hilft Ihnen unser Leitfaden zum Erkennen, Bereinigen und Schützen weiter.

Ihre nächsten Schritte

Sicherheit ist bei Joomla keine einmalige Aufgabe, sondern eine laufende. Eine Website, die heute sauber und aktuell ist, kann in ein paar Wochen wieder ein offenes Fenster haben, weil eine neue Lücke bekannt wurde. Genau dafür gibt es laufende Pflege.

Lassen Sie Ihre Joomla-Website laufend absichern

Mit unserer Website-Betreuung kümmern wir uns um Updates, Backups, Monitoring und schnelle Reaktion im Ernstfall. Sie müssen nicht mehr selbst an jedes Sicherheitsupdate denken.

Jetzt absichern lassen

Sie haben eine konkrete Frage zu Ihrer Joomla-Website oder möchten eine Einschätzung Ihres aktuellen Zustands? Schreiben Sie uns über unser Kontaktformular, wir melden uns persönlich bei Ihnen.

Häufige Fragen

Sind Joomla-Erweiterungen wirklich gefährlicher als Joomla selbst?

In der Praxis ja. Der Joomla-Kern wird zentral und sehr gewissenhaft gepflegt. Erweiterungen stammen von vielen verschiedenen Anbietern mit unterschiedlicher Qualität und Update-Disziplin. Die meisten erfolgreichen Angriffe laufen deshalb über eine veraltete Erweiterung, nicht über den Kern.

Was ist die Joomla Vulnerable Extensions List (VEL)?

Die VEL ist ein offizielles, vom Joomla-Projekt gepflegtes Verzeichnis von Erweiterungen, in denen Sicherheitslücken gemeldet wurden. Sie zeigt, welche Erweiterung in welcher Version betroffen ist und ob es einen Fix gibt. Damit ist sie eine wichtige Frühwarnquelle für jeden Joomla-Betreiber.

Wie schnell muss ich ein Sicherheitsupdate einspielen?

So schnell wie möglich, idealerweise innerhalb weniger Stunden bis Tage. Sobald eine Lücke öffentlich ist, beginnen automatisierte Bots, das Internet danach abzusuchen. Wer wochenlang wartet, riskiert, in einer Massen-Angriffswelle erwischt zu werden.

Reicht es, eine nicht genutzte Erweiterung zu deaktivieren?

Nein. Eine deaktivierte Erweiterung liegt weiterhin auf dem Server und kann in vielen Fällen trotzdem angegriffen werden. Was Sie nicht mehr brauchen, sollten Sie vollständig deinstallieren, nicht nur ausschalten.

Werde ich gezielt angegriffen oder ist das Zufall?

In den allermeisten Fällen ist es kein gezielter Angriff. Bots suchen automatisch nach verwundbaren Websites, unabhängig von Größe oder Bekanntheit. Auch eine kleine lokale Website kann so in eine Massen-Angriffswelle geraten.

Warum kam der Befall in Ihrem Fall zurück?

Weil zuerst nur die sichtbaren Symptome entfernt wurden, also einzelne auffällige Dateien, aber nicht das eigentliche Einfallstor. Solange die veraltete Erweiterung offen war, konnten die Angreifer erneut hinein. Eine Bereinigung muss immer auch die Ursache schließen, nicht nur die Folgen.

Kann ein Befall auf andere Websites überspringen?

Ja. Liegen mehrere Websites in demselben Hosting-Account, kann sich ein Befall ausbreiten. Genau das ist in unserem Fall passiert. Deshalb ist es sinnvoll, Websites voneinander zu trennen oder zu isolieren.

Quellen

1Vulnerable Extensions List (VEL)
Joomla Projekt, offizielles Verzeichnis

2Joomla Security Checklist
Joomla Documentation

3OWASP, Open Worldwide Application Security Project
OWASP Foundation

4BSI, Bundesamt für Sicherheit in der Informationstechnik
BSI, Behörde des Bundes

5/5 - (1 vote)

Florian Konrad

Florian Konrad, Mitbegründer und Geschäftsführer der Unicorn Factory, begann bereits in der Schule mit Webentwicklung und Online-Marketing. Mit Jahren der Erfahrung hat er umfassende Expertise in SEO, Automatisierung und Webentwicklung entwickelt.

Florian Konrad

Diesen Beitrag teilen!