Eine internationale Cyberkampagne nimmt ungepatchte Content-Management-Systeme ins Visier. Nach einer aktuellen Warnung einer staatlichen Cybersicherheitsbehörde nutzen Angreifer bekannte Schwachstellen in WordPress, Joomla und weiteren CMS automatisiert aus, um Webserver dauerhaft zu kompromittieren. Für Betreiber steht deshalb nicht nur das Einspielen von Updates im Mittelpunkt, sondern auch die Frage, ob ein System bereits unbemerkt übernommen wurde.
Canberra, 13. Juli 2026 – Betreiber von Websites auf Basis von WordPress, Joomla und anderen Content-Management-Systemen sehen sich derzeit einer groß angelegten Angriffskampagne gegenüber. Eine aktuelle Warnung des Australian Cyber Security Centre (ACSC) beschreibt eine weltweit laufende Serie automatisierter Angriffe, bei denen bekannte Sicherheitslücken gezielt ausgenutzt werden. Ziel der Angreifer ist es, sogenannte Webshells auf verwundbaren Servern zu installieren und sich damit dauerhaften Zugriff auf die betroffenen Systeme zu verschaffen.
Der häufig verwendete Eindruck einer reinen Angriffswelle gegen WordPress und Joomla greift dabei zu kurz. Nach der veröffentlichten Lageeinschätzung richtet sich die Kampagne gegen mehrere Content-Management-Systeme und zahlreiche Erweiterungen. Im Mittelpunkt stehen keine neu entdeckten Sicherheitslücken, sondern längst bekannte Schwachstellen, für die Sicherheitsupdates bereits verfügbar sind. Gerade diese Erkenntnis macht den aktuellen Vorfall für Unternehmen, Behörden und Betreiber privater Websites besonders relevant.
WordPress-Sicherheitslücken stehen im Fokus automatisierter Angriffe
Die Angriffe folgen einem bekannten Muster. Automatisierte Werkzeuge durchsuchen das Internet nach öffentlich erreichbaren Websites, deren Software oder Erweiterungen nicht auf dem aktuellen Stand sind. Wird eine verwundbare Installation gefunden, versuchen die Angreifer über bekannte Sicherheitslücken Schadcode einzuschleusen. Gelingt dies, wird häufig eine Webshell installiert.
Eine Webshell eröffnet weitreichende Möglichkeiten. Sie erlaubt es, einen kompromittierten Webserver aus der Ferne zu steuern, Dateien zu verändern, weitere Schadprogramme nachzuladen oder zusätzliche Zugänge einzurichten. Ebenso können Zugangsdaten abgegriffen und kompromittierte Server als Ausgangspunkt für weitere Angriffe innerhalb eines Unternehmensnetzes missbraucht werden. Aus einem einzelnen Webserver kann so im schlimmsten Fall ein Einfallstor für die gesamte IT-Infrastruktur werden.
Die australische Behörde stuft die laufende Kampagne als kritisch ein. Nach ihren Angaben sind bereits zahlreiche kleine und mittlere Unternehmen betroffen. Wie viele Websites weltweit kompromittiert wurden, ist bislang allerdings nicht bekannt. Auch belastbare Zahlen für Deutschland oder andere europäische Staaten liegen derzeit nicht vor.
Die Kampagne betrifft deutlich mehr als WordPress und Joomla
Die aktuelle Warnung beschränkt sich ausdrücklich nicht auf zwei weit verbreitete Content-Management-Systeme. Zwar gehören WordPress und Joomla zu den bekanntesten Zielen der laufenden Angriffe, tatsächlich umfasst die veröffentlichte Liste jedoch mehrere Plattformen und zahlreiche Erweiterungen.
Genannt werden unter anderem:
- WordPress mit verschiedenen Plugins,
- Joomla in Verbindung mit dem Joomla Content Editor (JCE),
- Craft CMS,
- MaxSite CMS,
- MetInfo CMS sowie
- das Sneeit Framework.
Vor allem dieser Unterschied ist für die Einordnung wichtig. Die derzeitige Angriffskampagne richtet sich überwiegend gegen verwundbare Erweiterungen und Plugins. Die vorliegenden Informationen belegen dagegen keine generelle Sicherheitslücke in der aktuellen Kernsoftware von WordPress oder Joomla. Wer beide Systeme aktuell hält und ausschließlich gepflegte Erweiterungen verwendet, reduziert die Angriffsfläche erheblich. Gleichzeitig zeigt die Warnung, wie groß das Risiko veralteter Plugins innerhalb moderner CMS-Installationen bleibt.
Bekannte Schwachstellen statt neuer Zero-Day-Angriffe
Anders als bei spektakulären Cyberangriffen der vergangenen Jahre basiert die aktuelle Kampagne nicht auf bislang unbekannten Zero-Day-Lücken. Vielmehr setzen die Angreifer auf Sicherheitsprobleme, die bereits öffentlich dokumentiert wurden und für die in den meisten Fällen Updates oder Fehlerbehebungen bereitstehen.
Das eigentliche Problem liegt deshalb weniger in neuen technischen Angriffsmethoden als in der Vielzahl ungepatchter Installationen. Gerade WordPress-Websites mit zahlreichen Erweiterungen oder ältere Joomla-Installationen geraten dadurch schnell in den Fokus automatisierter Suchläufe.
Warum ein Sicherheitsupdate allein nicht ausreicht
Ein zentraler Punkt der behördlichen Warnung betrifft den Umgang mit bereits kompromittierten Systemen. Viele Betreiber gehen davon aus, dass ein eingespieltes Sicherheitsupdate sämtliche Risiken beseitigt. Genau diese Annahme kann jedoch trügerisch sein.
Ist es Angreifern bereits gelungen, eine Webshell oder andere Hintertüren auf dem Server abzulegen, bleiben diese in der Regel auch nach dem Schließen der ursprünglichen Sicherheitslücke bestehen. Das Update verhindert lediglich eine erneute Ausnutzung derselben Schwachstelle – nicht aber die Folgen eines bereits erfolgreichen Angriffs.
Deshalb empfehlen die Sicherheitsexperten, verdächtige Dateien, ungewöhnliche Benutzerkonten und unerwartete Änderungen im Webverzeichnis sorgfältig zu überprüfen. Ebenso sollten Serverprotokolle ausgewertet werden, um auffällige Zugriffe oder ungewöhnliche Aktivitäten zu erkennen. Besteht der Verdacht einer erfolgreichen Kompromittierung, kann im Einzelfall sogar eine vollständige Wiederherstellung aus einem nachweislich sauberen Backup erforderlich werden.
Diese Schutzmaßnahmen empfehlen die Experten
Neben der eigentlichen Aktualisierung der Software raten die Fachleute zu weiteren organisatorischen und technischen Maßnahmen:
- Content-Management-System, Themes und Plugins konsequent aktuell halten,
- nicht mehr benötigte Erweiterungen vollständig entfernen,
- Webserver regelmäßig auf unbekannte Dateien und Veränderungen kontrollieren,
- Serverprotokolle systematisch auswerten,
- mögliche Hintertüren oder unberechtigte Benutzerkonten identifizieren,
- im Verdachtsfall kompromittierte Systeme isolieren und aus einem sauberen Backup wiederherstellen,
- öffentlich erreichbare Webserver möglichst vom internen Unternehmensnetz trennen.
Die Empfehlungen zeigen deutlich, dass moderne Cybersicherheit längst über das reine Einspielen von Updates hinausgeht. Entscheidend ist ebenso die Fähigkeit, einen erfolgreichen Angriff frühzeitig zu erkennen und dessen Folgen wirksam einzudämmen.
Automatisierte Angriffe nutzen bekannte Schwächen konsequent aus
Die aktuelle Kampagne verdeutlicht ein Grundproblem der IT-Sicherheit. Zwischen der Veröffentlichung einer Sicherheitslücke und der vollständigen Aktualisierung aller betroffenen Systeme vergeht oft erhebliche Zeit. Genau dieses Zeitfenster nutzen Angreifer gezielt aus.
Automatisierte Scanner durchsuchen das Internet kontinuierlich nach verwundbaren Websites. Dabei spielt es kaum eine Rolle, ob es sich um einen kleinen Vereinsauftritt, einen Online-Shop, eine Unternehmenswebsite oder das Portal einer öffentlichen Einrichtung handelt. Entscheidend ist allein, ob bekannte Sicherheitslücken weiterhin offenstehen.
Gerade Content-Management-Systeme mit einem umfangreichen Plugin-Ökosystem stellen dabei besondere Anforderungen an Administratoren. Jede zusätzliche Erweiterung kann potenziell eine neue Angriffsfläche schaffen. Wird ein Plugin nicht mehr gepflegt oder verzögert sich die Installation wichtiger Sicherheitsupdates, steigt das Risiko einer erfolgreichen Kompromittierung erheblich.
Viele Fragen bleiben weiterhin offen
Obwohl die Warnung die internationale Dimension der laufenden Kampagne unterstreicht, bleibt das tatsächliche Ausmaß bislang unklar. Weder veröffentlichte die Behörde eine Gesamtzahl kompromittierter Websites noch liegen belastbare Statistiken für einzelne Länder vor.
Auch zur Identität der Angreifer gibt es bislang keine gesicherten Angaben. Öffentliche Informationen zu einer bestimmten Hackergruppe oder einer staatlichen Zuordnung wurden nicht veröffentlicht. Ebenso fehlen derzeit belastbare Erkenntnisse über den wirtschaftlichen Gesamtschaden oder mögliche branchenspezifische Schwerpunkte.
Für Betreiber von WordPress-, Joomla- und anderen CMS-Websites ändert diese Unsicherheit jedoch wenig. Die veröffentlichten Empfehlungen machen deutlich, dass bekannte Schwachstellen weiterhin systematisch ausgenutzt werden und ungepatchte Installationen ein attraktives Ziel bleiben.
Regelmäßige Wartung bleibt der wirksamste Schutz
Die aktuelle Angriffskampagne führt eindringlich vor Augen, dass viele erfolgreiche Cyberangriffe nicht auf neuartige Techniken zurückgehen, sondern auf bekannte Sicherheitslücken in unzureichend gepflegten Systemen. Wer Content-Management-Systeme, Plugins und Themes regelmäßig aktualisiert, nicht benötigte Erweiterungen entfernt und kompromittierte Systeme konsequent überprüft, reduziert das Risiko deutlich.
Ebenso wichtig ist der Blick über das eigentliche Sicherheitsupdate hinaus. Denn wenn Angreifer bereits Zugriff auf einen Server erhalten haben, entscheidet nicht das Schließen der Schwachstelle über die Sicherheit des Systems, sondern die sorgfältige Suche nach verbliebenen Hintertüren. Genau darin liegt nach Einschätzung der Cybersicherheitsexperten derzeit die größte Herausforderung für Betreiber moderner Websites.





















