33470 Gujan-Mestras
Du lundi au vendredi

De 08H à 18H

Contact

Blog

  1. Vous êtes ici :  
  2. Accueil
  3. Blog
  4. Site Vitrine
  5. Sites Joomla piratés via JCE en juin 2026 : comprendre la faille et réagir vite

Sites Joomla piratés via JCE en juin 2026 : comprendre la faille et réagir vite

QUENTIN Cedric / Consultant en stratégie digitale Site Vitrine

Tout site Joomla dont l'extension JCE n'est pas à jour peut être piraté à distance, sans identifiant, par un programme qui balaie le web. Le correctif existe et la mise à jour vers JCE 2.9.99.6 ferme la porte. Encore faut-il vérifier qu'un intrus n'est pas déjà passé avant, puis assurer la maintenance qui évite la prochaine alerte.

Une faille notée 10 sur 10 dans l'éditeur de Joomla

JCE, pour Joomla Content Editor, est l'outil qui permet de mettre en forme le texte et d'insérer des images dans Joomla. Il est présent sur l'immense majorité des sites, ce qui en fait une cible de choix. La faille, référencée CVE-2026-48907, a reçu la note de sévérité maximale, 10 sur 10. Elle a été rendue publique le 5 juin 2026, et le code permettant de l'exploiter circule librement depuis le 9 juin.

Le mécanisme est simple à comprendre. JCE fonctionne avec des profils qui définissent ce que chaque utilisateur a le droit de faire, notamment quels types de fichiers il peut envoyer sur le serveur. La faille permettait à un visiteur non connecté d'importer son propre profil. L'attaquant en crée un qui autorise l'envoi de fichiers PHP, puis s'en sert pour déposer un programme malveillant sur le site. À partir de là, il contrôle le serveur.

Le point qui surprend beaucoup de propriétaires de sites : le fait que votre site accepte ou non les inscriptions ne change rien. L'attaque ne passe pas par un compte. Un site sans aucune inscription publique est exactement aussi exposé qu'un site avec des milliers de membres.

Reconnaître un site touché

L'attaque laisse des traces assez reconnaissables. Dans la gestion des profils JCE apparaissent des profils que personne n'a créés, souvent nommés "Pwned" avec la mention "RCE via JCE", ou portant un nom généré par machine, une lettre suivie de six chiffres. Sur le serveur, on retrouve des fichiers PHP récents là où il ne devrait pas y en avoir, dans les dossiers d'images, de fichiers temporaires ou de médias, parfois dissimulés sous des noms trompeurs.

Les conséquences visibles arrivent ensuite. Votre hébergement se met à envoyer du spam et votre domaine finit sur des listes noires. Des pages que vous n'avez jamais créées apparaissent dans Google, souvent vers des sites de contrefaçon ou de jeux d'argent. Google peut afficher un avertissement de sécurité devant votre site. Dans les cas les plus discrets, rien ne se voit, et le serveur sert simplement de relais pour d'autres attaques. C'est ce silence qui rend une vérification sérieuse nécessaire dès qu'un doute existe.

À retenir : nettoyer les fichiers visibles sans mettre JCE à jour ne règle rien. Les programmes qui mènent ces attaques laissent de petits fichiers marqueurs pour retrouver les sites déjà piratés et les réexploiter. Tant que la faille reste ouverte, le prochain passage du scanner rouvre l'accès en quelques secondes.

Réagir vite, et dans le bon ordre

La première chose à faire est de mettre JCE à jour vers la version 2.9.99.6 sur tous vos sites Joomla. La mise à jour est gratuite, elle vaut pour la version libre comme pour la version Pro, et elle ne change rien au fonctionnement du site. Elle ferme la porte d'entrée. Tant qu'elle n'est pas faite, nettoyer ne sert à rien, car le programme automatisé revient tester la même porte.

Si des profils frauduleux ou des fichiers suspects sont présents, le site a déjà été compromis et la mise à jour seule ne suffit plus. Il faut alors conserver une copie des éléments suspects à titre de preuve, supprimer les profils et les fichiers déposés, vérifier l'intégralité des dossiers et pas seulement les plus évidents, changer les clés secrètes et les mots de passe d'administration, puis lancer une analyse complète pour confirmer qu'il ne reste rien. L'ordre compte : on ferme la faille d'abord, on nettoie ensuite, on renouvelle les accès enfin.

Quelles versions de Joomla sont concernées

La faille touche l'extension JCE, pas une version précise de Joomla. Les sites en Joomla 3, 4, 5 et 6 sont concernés dès lors que JCE n'est pas à jour. Un site ancien et négligé est plus exposé, mais un site récent et bien tenu peut l'être aussi si la mise à jour de l'éditeur a été oubliée. Les sites WordPress ne sont pas affectés, JCE étant un outil propre à Joomla qui n'existe pas sur WordPress.

La maintenance qui évite d'en arriver là

Cette faille n'est ni la première ni la dernière. Un site Joomla en bonne santé est un site dont le cœur et les extensions sont tenus à jour, sur lequel les versions critiques sont appliquées sans attendre, et qui est surveillé pour repérer une intrusion avant qu'elle ne fasse des dégâts. La plupart des sites piratés ce mois-ci l'ont été parce qu'une mise à jour disponible n'avait pas été posée.

C'est exactement le travail que propose Webmaster 33. Surveillance des sites Joomla et WordPress, application des correctifs de sécurité dès leur sortie, mises à jour automatiques encadrées, et intervention de nettoyage quand un site a déjà été touché. Que vous gériez un site ou un parc entier, l'objectif reste le même : que la prochaine faille de ce genre soit corrigée avant que vous n'ayez à y penser.

Votre site Joomla est touché, ou vous voulez éviter qu'il le soit

Webmaster 33, agence web sur le Bassin d'Arcachon, intervient sur le nettoyage de sites Joomla piratés et assure la maintenance préventive de votre site partout en France. Contactez Webmaster 33 pour une intervention rapide ou un contrat de maintenance.

Foire aux questions

Mon site Joomla n'autorise pas les inscriptions, suis-je quand même concerné ?

Oui. L'attaque ne passe pas par un compte utilisateur, elle exploite une faille accessible sans connexion. L'absence d'inscription publique ne protège pas. Un site vitrine sans aucun membre est exposé au même titre qu'un site communautaire.

Comment savoir si mon site a déjà été piraté ?

Les signes les plus parlants sont des profils JCE que vous n'avez pas créés, des fichiers PHP récents dans les dossiers d'images ou de médias, l'envoi de spam depuis votre hébergement, ou des pages inconnues qui remontent dans Google. Une analyse complète par un professionnel lève le doute, y compris dans les cas où rien n'est visible de l'extérieur.

Mettre JCE à jour suffit-il à régler le problème ?

La mise à jour ferme la faille et empêche une nouvelle intrusion. Mais si le site a déjà été compromis, elle ne supprime pas ce qui a été déposé avant. Sur un site touché, il faut combiner trois gestes : corriger la faille, retirer les profils et fichiers malveillants, et renouveler les clés et mots de passe qui ont pu fuiter.

Combien de temps faut-il pour nettoyer un site compromis ?

Un nettoyage complet, correction de la faille, suppression des fichiers, renouvellement des accès et vérification finale, se mène généralement en quelques heures pour un site, davantage si le parc est important ou si la compromission est ancienne. Plus l'intervention est rapide après l'alerte, plus le nettoyage est simple.

 

QUENTIN Cedric / Consultant en stratégie digitale
QUENTIN Cedric / Consultant en stratégie digitale
Consultant en stratégie Web Marketing et Webmaster indépendant situé à Gujan-Mestras en Gironde (33470) je propose des prestations complètes pour la création, la refonte ou la maintenance de site internet. Certifié Google Partner & Microsoft Partner je propose également la création et la gestion de vos campagnes Google Ads, Microsoft Ads (Yahoo, Bing, Qwant...) ainsi que Facebook Ads.
Image

Certifications

Information