06723 - 998 52 87
Heute informieren wir Sie über eine kritische Sicherheitslücke, die aktuell aktiv von Angreifern ausgenutzt wird. Die gute Nachricht vorab: Für die meisten unserer Kunden besteht dank einer Schutzmaßnahme, die wir standardmäßig auf allen unseren Servern einsetzen, kein unmittelbares Risiko. Trotzdem möchten wir Sie ausführlich informieren, damit Sie den Sachverhalt verstehen und – falls nötig – selbst handeln können.
Worum geht es?
Betroffen ist das sogenannte Astroid Framework – eine weit verbreitete Erweiterung für Joomla, die von vielen kommerziellen Templates (Website-Vorlagen) verwendet wird. Wenn Ihre Website auf einem solchen Template basiert, kann Astroid auf Ihrer Seite installiert sein.
In allen Astroid-Versionen vor 3.3.11 wurde eine schwerwiegende Sicherheitslücke entdeckt, die seit dem 4. März 2026 öffentlich bekannt ist und seit dem 1. März bereits aktiv ausgenutzt wird.
Was können Angreifer damit tun?
Die Lücke ist gravierend: Sie erlaubt es Fremden, ohne Benutzername und Passwort vollständigen Zugriff auf den Administrationsbereich einer Website zu erlangen. Konkret bedeutet das:
Angreifer können unbemerkt schädliche Software (sogenannte „Plugins") auf betroffenen Websites installieren. In der Praxis wurde beobachtet, dass solche Schadsoftware versteckte Spam-Links von dubiosen Glücksspiel- oder Betrugsseiten in fremde Websites platziert – unsichtbar für Besucher, aber für Google und andere Suchmaschinen sichtbar. Das Ziel der Angreifer: Die Reputation fremder Domains missbrauchen und das Google-Ranking der betroffenen Seiten beschädigen.
Kurz gesagt: Eine fremde Website könnte unbemerkt gekapert werden.
Die gute Nachricht für Joomla100-Kunden
Auf allen Joomla100-Servern schützen wir jede Joomla-Installation standardmäßig mit einem automatischen Passwortschutz für den /administrator-Ordner. Das bedeutet: Bevor überhaupt die Joomla-Anmeldeseite erscheint, fragt der Server nach einem zusätzlichen Benutzernamen und Passwort – Ihre individuellen Zugangsdaten, die Sie von uns erhalten haben.
Genau dieser Schutzmechanismus verhindert, dass Angreifer die beschriebene Sicherheitslücke ausnutzen können: Sie kommen gar nicht erst bis zur verwundbaren Stelle, weil der Weg dorthin bereits durch unseren Passwortschutz blockiert ist.
Wir wissen, dass dieser zusätzliche Login-Schritt gelegentlich als lästig empfunden wird – aber genau dieser Moment zeigt, warum wir darauf bestehen. Er schützt Ihre Website wirksam vor genau solchen Angriffen.
Müssen Sie trotzdem handeln?
Bitte lesen Sie die folgenden Schritte sorgfältig, um zu verstehen, ob und was für Sie zu tun ist.
Schritt 1: Ist Astroid auf Ihrer Website überhaupt installiert?
Nur wenn das Astroid Framework auf Ihrer Joomla-Website installiert ist, ist ein Update nötig. So prüfen Sie das (ab Joomla 4):
- Melden Sie sich im Joomla-Adminbereich Ihrer Website an (nach Eingabe des Joomla100-Serverpassworts).
- Klicken Sie im linken Menü auf „System".
- Wählen Sie unter „Verwalten" den Punkt „Erweiterungen".
- Geben Sie im Suchfeld oben „Astroid" ein.
- Kein Ergebnis: Astroid ist nicht installiert – Sie müssen nichts tun.
Ein Ergebnis erscheint: Astroid ist installiert – lesen Sie weiter.
Schritt 2: Kunden mit automatischem Update-Service (Medium-Tarif oder höher)
Wenn Sie bei Joomla100 einen Hosting-Tarif ab „Medium" mit automatischem Update-Service nutzen, haben wir das Update auf Astroid 3.3.11 bereits für Sie durchgeführt. Sie müssen nichts weiter unternehmen.
Schritt 3: Kunden ohne automatischen Update-Service
Wenn Sie Updates selbst durchführen und Astroid auf Ihrer Website installiert ist, führen Sie bitte das Update auf Version 3.3.11 durch. Dabei sind zwei wichtige Punkte zu beachten:
1. Backup vor dem Update
Bitte erstellen Sie unbedingt vor dem Update ein vollständiges Backup Ihrer Website. Das gilt grundsätzlich vor jedem Update, ist aber hier besonders wichtig.
2. PHP-Version prüfen und anpassen
Die neue Astroid-Version 3.3.11 erfordert mindestens PHP 8.2. Falls Sie noch eine ältere PHP-Version verwenden, wird Ihre Website nach dem Update nicht mehr erreichbar sein.
Bitte prüfen und stellen Sie die PHP-Version in Ihrem Plesk-Kundencenter vor dem Update um. Eine Schritt-für-Schritt-Anleitung dazu finden Sie hier:
https://joomla100.com/änderung-php-version-bei-joomla100
Die aktualisierte Astroid-Version 3.3.12 laden Sie hier herunter (Link aktualisiert, am 06.03. gegen 10:20 Uhr ist diese Version erschienen):
https://github.com/templaza/astroid-framework/releases/tag/v3.3.12
Installieren Sie die heruntergeladene Datei anschließend über den Joomla Erweiterungs-Manager (System → Erweiterungen installieren).
Zusammenfassung: Was trifft auf Sie zu?
| Situation | Handlungsbedarf |
|---|---|
| Astroid nicht installiert | Kein Handlungsbedarf. |
| Astroid installiert, Medium-Tarif oder höher | Wir haben das Update bereits erledigt. Kein Handlungsbedarf. |
| Astroid installiert, Tarif unter Medium | PHP-Version prüfen, Backup erstellen, dann Update auf 3.3.11 durchführen. |
Bei Fragen stehen wir Ihnen wie gewohnt zur Verfügung.