Manter um site seguro e funcional é um desafio diário para administradores e criadores de conteúdo. Recentemente, foi identificada uma falha de segurança extremamente severa no ecossistema Joomla, especificamente no plugin JCE Pro (Joomla Content Editor), um dos editores de texto mais utilizados na plataforma.

Abaixo, explicamos o que está acontecendo de forma simples e direta, e apresentamos uma ferramenta gratuita essencial para reforçar a segurança do seu servidor e do seu site.

⚠️ O que é a falha no JCE Pro?

A falha, identificada tecnicamente como CVE-2026-48907, recebeu a nota máxima de gravidade (10.0 no índice CVSS), o que significa que ela é crítica. Hackers já estão explorando essa vulnerabilidade ativamente na internet.

De forma simplificada, a falha ocorre no sistema de importação de perfis do editor JCE Pro. Devido a uma falta de validação de segurança, um invasor consegue enviar um arquivo malicioso em formato PHP para a pasta temporária (/tmp/) do site sem precisar de qualquer senha ou permissão de administrador. Em apenas três etapas automatizadas, o invasor pode executar esse arquivo e assumir o controle total do seu site Joomla.

Quem está em risco? Todas as versões do JCE Pro anteriores à 2.9.99.5 estão vulneráveis. A falha afeta sites que utilizam o plugin independentemente da versão do Joomla (seja Joomla 3, 4, 5 ou 6).

🚨 A Regra de Ouro: Atualização Imediata!

Antes de qualquer outra ação, é fundamental deixar claro: a principal defesa contra invasões é manter suas aplicações e plugins sempre atualizados. Se você utiliza o JCE Pro, acesse o painel do seu Joomla imediatamente e atualize o plugin para a versão 2.9.99.6 (que traz correções completas e reforços adicionais de segurança). Se não for possível atualizar agora, a recomendação é desinstalar o plugin temporariamente para evitar ataques.

🛡️ Proteção Extra: Conheça o HTProtect Server Shield

Mesmo atualizando o plugin, proteger as portas de entrada do seu servidor é uma excelente prática. É aqui que entra o HTProtect Server Shield, uma extensão gratuita para Joomla que ajuda a blindar o seu site diretamente no arquivo .htaccess (o arquivo de configuração do servidor Apache/LiteSpeed).

Como o HTProtect funciona?

O HTProtect funciona como uma barreira antes mesmo que as requisições cheguem ao código do Joomla. Ele oferece proteção em várias camadas:

  1. Bloqueio de Execução: Ele proíbe a execução de códigos PHP em pastas que deveriam conter apenas arquivos estáticos (como as pastas /images/, /media/ e, crucialmente para essa falha atual, a pasta /tmp/). Mesmo que um hacker consiga enviar um arquivo malicioso, o servidor se recusará a executá-lo.

  2. Escudo contra Exploits: Possui uma inteligência que bloqueia ataques conhecidos contra o Joomla e seus componentes, monitorando inclusive dados ocultos enviados por formulários (ataques via POST).

  3. Monitoramento e Alertas: Monitora se arquivos vitais do sistema foram alterados e avisa o administrador por e-mail se uma nova conta de administrador for criada ou se houver suspeita de invasão.

📥 Como Baixar e Instalar o HTProtect

O HTProtect é totalmente gratuito e compatível com as versões 2.5 a 6 do Joomla (rodando em PHP 7.4 a 8.5). Veja como configurar em menos de 3 minutos:

Passo 1: Download do Componente

O HTProtect está disponível no formato padrão de extensões do Joomla (com_htprotect). Você pode fazer o download do arquivo compactado (.zip) diretamente do site oficial do desenvolvedor ou de fontes confiáveis de segurança Joomla.

Passo 2: Instalação no Joomla

  1. Acesse o painel administrativo do seu Joomla.

  2. No menu superior, navegue até Extensões » Gerenciar » Instalar (em versões mais recentes, pode estar no menu lateral em Sistema » Instalar » Extensões).

  3. Na aba Enviar Arquivo de Pacote, selecione o arquivo .zip que você baixou e envie. (Alternativamente, você pode usar a opção “Instalar a partir de URL” inserindo o link direto do pacote).

Passo 3: Ativando a Proteção (Apenas 1 Clique)

Assim que a instalação for concluída, a interface do HTProtect se abrirá.

  1. Na tela inicial do componente, clique no botão “Proteger Agora” (ou Jetzt absichern / Secure Now).

  2. O HTProtect criará automaticamente uma cópia de segurança do seu .htaccess atual, aplicará as novas regras de blindagem e testará o site sozinho. Se houver qualquer erro de compatibilidade com o servidor, ele desfaz a alteração na hora para não tirar seu site do ar.

Passo 4: Ative a Vigilância Contínua

Para garantir que o escudo funcione em tempo real, ative a opção “Monitoramento Automático” dentro do painel do componente e insira o seu e-mail administrativo. Dessa forma, você receberá relatórios resumidos se algo suspeito acontecer nos bastidores da sua página.


Vulnerabilidades na internet surgem todos os dias, mas a segurança do seu site depende da rapidez das suas ações. Verifique suas extensões hoje mesmo, aplique as atualizações pendentes do Joomla e utilize ferramentas auxiliares como o HTProtect para garantir que seu ambiente de hospedagem permaneça seguro contra invasores.

Caso tenha ficado com alguma dúvida, entre em contato conosco.


Compartilhe esta publicação: