Raport bezpieczeństwa CMS – maj 2026

Co wydarzyło się w świecie Drupal, WordPress, Joomla i innych systemów CMS?

Maj 2026 roku okazał się jednym z najbardziej intensywnych miesięcy pod względem bezpieczeństwa popularnych systemów CMS oraz ich dodatków. Administratorzy stron internetowych, właściciele sklepów online, firmy hostingowe oraz deweloperzy musieli zmierzyć się z wieloma krytycznymi aktualizacjami bezpieczeństwa, nowymi podatnościami oraz rosnącą aktywnością cyberprzestępców.

W tym raporcie podsumowujemy najważniejsze wydarzenia związane z bezpieczeństwem systemów Drupal, WordPress, Joomla, PrestaShop oraz ekosystemów rozszerzeń wykorzystywanych przez miliony stron internetowych na całym świecie.

Drupal – jedna z najpoważniejszych aktualizacji bezpieczeństwa od miesięcy

Największym wydarzeniem maja była publikacja krytycznej aktualizacji bezpieczeństwa dla Drupal Core.

Zespół bezpieczeństwa Drupala już kilka dni wcześniej opublikował ostrzeżenie, informując administratorów o nadchodzącej „wysoce krytycznej” aktualizacji i zalecając przygotowanie okna serwisowego na wdrożenie poprawek.

Kilka dni później ujawniono podatność oznaczoną jako:

CVE-2026-9082 (SA-CORE-2026-004)

Błąd dotyczył warstwy abstrakcji baz danych Drupal Core i umożliwiał przeprowadzenie ataków SQL Injection w instalacjach korzystających z PostgreSQL.

Sytuację dodatkowo pogorszył fakt, że bardzo szybko po publikacji poprawek zaczęto obserwować pierwsze próby wykorzystania luki w internecie.

Dla administratorów oznaczało to konieczność natychmiastowej aktualizacji wszystkich wspieranych wersji Drupal 10 oraz Drupal 11.

Warto zauważyć, że wydane poprawki zawierały również aktualizacje komponentów Symfony oraz Twig, które są kluczowymi elementami współczesnego ekosystemu Drupal.

WordPress – niebezpieczny miesiąc dla wtyczek

Jeżeli chodzi o WordPressa, maj 2026 pokazał po raz kolejny, że największym źródłem zagrożeń pozostają rozszerzenia i dodatki.

Według raportów Wordfence tylko w pierwszym tygodniu maja opublikowano informacje o:

• 87 nowych podatnościach,
• 198 podatnych wtyczkach,
• 5 podatnych motywach.

Wśród najgłośniejszych przypadków znalazły się:

Avada Builder

Jedna z najpopularniejszych wtyczek WordPress, używana przez około milion stron internetowych.

Odkryto w niej:

• Arbitrary File Read,
• SQL Injection.

Atakujący posiadający konto użytkownika mogli uzyskać dostęp do plików serwera, a w niektórych scenariuszach również do danych przechowywanych w bazie danych.

Kali Forms

Wtyczka formularzy została dotknięta podatnością umożliwiającą wykonanie zdalnego kodu (Remote Code Execution).

Tego typu błędy są szczególnie niebezpieczne, ponieważ potencjalnie pozwalają przejąć pełną kontrolę nad serwerem.

WP Statistics

W popularnej wtyczce analitycznej wykryto podatność Stored XSS.

Choć nie jest ona tak groźna jak RCE czy SQL Injection, może prowadzić do przejmowania sesji administratorów oraz wykonywania nieautoryzowanych działań w panelu WordPress.

Joomla – duża aktualizacja bezpieczeństwa pod koniec miesiąca

Pod koniec maja zespół Joomla opublikował wersje:

• Joomla 5.4.6
• Joomla 6.1.1

Aktualizacje zawierały poprawki wielu błędów bezpieczeństwa.

Według analiz społeczności bezpieczeństwa usunięto około dziesięciu podatności, w tym:

• problemy związane z uwierzytelnianiem MFA,
• błędy eskalacji uprawnień,
• podatności XSS,
• problemy związane z filtrowaniem danych wejściowych.

Dla administratorów zarządzających większą liczbą stron oznaczało to konieczność przeprowadzenia pełnych aktualizacji całego środowiska Joomla.

W pierwszej połowie roku pojawiały się również zgłoszenia dotyczące:

• możliwości usuwania plików przez podatne komponenty,
• błędów walidacji przesyłanych plików,
• nieprawidłowej kontroli dostępu.

PrestaShop – względnie spokojniej, ale zagrożenia nadal istnieją

Maj 2026 nie przyniósł spektakularnych podatności w samym rdzeniu PrestaShop porównywalnych z wydarzeniami w Drupalu czy Joomla.

Nie oznacza to jednak, że sklepy internetowe były bezpieczne.

Największym zagrożeniem pozostają:

• nieaktualne moduły płatności,
• dodatki integracyjne,
• rozszerzenia dropshippingowe,
• moduły importu produktów.

W praktyce wiele kompromitacji sklepów PrestaShop wynika nie z błędów samego silnika, lecz z podatnych rozszerzeń firm trzecich.

Coraz większy problem: łańcuch dostaw (Supply Chain)

Maj 2026 ponownie pokazał, że głównym celem ataków stają się dodatki, biblioteki i rozszerzenia.

Coraz częściej obserwujemy sytuacje, w których:

• rdzeń CMS jest aktualny,
• serwer jest poprawnie skonfigurowany,
• ale jedna nieaktualna wtyczka pozwala przejąć całą stronę.

Dotyczy to szczególnie:

• WordPress,
• Joomla,
• PrestaShop,
• Magento,
• systemów opartych o Composer i npm.

Społeczności Open Source reagują coraz szybciej

Pozytywną informacją jest bardzo szybka reakcja społeczności Open Source.

W maju 2026 można było zaobserwować:

• błyskawiczne publikowanie poprawek bezpieczeństwa,
• wcześniejsze ostrzeganie administratorów przed krytycznymi aktualizacjami,
• lepszą koordynację zespołów bezpieczeństwa,
• coraz skuteczniejsze programy bug bounty.

Szczególnie wyróżniły się zespoły bezpieczeństwa Drupal oraz Joomla, które odpowiednio wcześniej informowały o nadchodzących aktualizacjach bezpieczeństwa.

Wnioski dla właścicieli stron internetowych

Maj 2026 pokazał, że bezpieczeństwo stron internetowych nie może opierać się wyłącznie na jednorazowej instalacji CMS.

Dziś konieczne są:

• regularne aktualizacje CMS,
• aktualizacje wtyczek i modułów,
• monitoring bezpieczeństwa,
• kopie zapasowe,
• ochrona WAF (np. ModSecurity),
• ochrona przed brute-force i botami,
• monitorowanie podatności wykorzystywanych rozszerzeń.

W wielu przypadkach czas pomiędzy publikacją poprawki a pojawieniem się pierwszych prób ataków liczony jest już nie w tygodniach, ale w godzinach.

Podsumowanie

Maj 2026 zapisze się jako miesiąc bardzo intensywny dla administratorów stron internetowych.

Najważniejsze wydarzenia to:

• krytyczna podatność SQL Injection w Drupal Core,
• setki nowych podatności w ekosystemie WordPress,
• duże aktualizacje bezpieczeństwa Joomla 5.4.6 i 6.1.1,
• dalszy wzrost zagrożeń związanych z dodatkami i łańcuchem dostaw.

Dla właścicieli stron internetowych jest to kolejne przypomnienie, że aktualizacje bezpieczeństwa powinny być wdrażane natychmiast po ich publikacji.

Materiały źródłowe

Drupal:

• https://www.drupal.org/security
• https://www.drupal.org/sa-core-2026-004
• https://www.drupal.org/psa-2026-05-18

WordPress:

• https://www.wordfence.com/
• https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/
• https://www.wordfence.com/blog/

Joomla:

• https://www.joomla.org/announcements/
• https://developer.joomla.org/security-centre.html
• https://downloads.joomla.org/latest

Dodatkowe źródła:

• https://nvd.nist.gov/
• https://www.cisa.gov/known-exploited-vulnerabilities-catalog
• https://cve.mitre.org/