Alerte sécurité — juin 2026. Une faille critique touche SP Page Builder, le constructeur de pages signé JoomShaper, l'un des plus populaires de l'univers Joomla. Elle permet à un attaquant de prendre le contrôle du site et de se créer des comptes administrateurs cachés. Si votre site a été construit avec SP Page Builder, vérifiez votre version sans attendre.
SP Page Builder : un composant présent sur d'innombrables sites
SP Page Builder est l'outil de création de pages par glisser-déposer de JoomShaper. Il équipe une grande partie des sites Joomla au design soigné — sites vitrines d'entreprises, sites de services, pages d'atterrissage. Sa popularité fait justement de cette faille un sujet sérieux : beaucoup de sites professionnels l'utilisent sans le savoir, car il est souvent intégré au thème livré par l'agence d'origine.
Que permet la faille ?
L'un des points d'entrée du composant (la fonction d'upload d'icônes personnalisées) ne vérifiait pas qui faisait la demande. Concrètement, n'importe qui, sans aucun identifiant, pouvait déposer un fichier PHP malveillant via ce point d'entrée puis l'exécuter. C'est une exécution de code à distance : contrôle total du site, vol de données, défacement, ou utilisation de votre serveur pour attaquer d'autres sites.
Le signe distinctif : des administrateurs que vous n'avez pas créés
Cette attaque a une signature reconnaissable. Les pirates s'en servaient pour créer des comptes Super Administrateur cachés, avec des noms d'apparence anodine comme « Web Editor » ou « Admin Backup », et des adresses e-mail se terminant souvent par @secure.local. Si vous trouvez dans la liste de vos utilisateurs un compte administrateur que vous ne reconnaissez pas, c'est un signal d'alerte majeur : votre site a probablement été compromis.
Êtes-vous concerné ? Comment vérifier
Toutes les versions de SP Page Builder jusqu'à la 6.6.1 incluse sont vulnérables. La faille est corrigée dans la version 6.6.2. Pour vérifier : dans l'administration Joomla, allez dans Système → Gérer les extensions, cherchez « SP Page Builder » et contrôlez le numéro de version. Profitez-en pour ouvrir la liste de vos utilisateurs et vérifier qu'aucun administrateur inconnu ne s'y trouve.
Attention : si un compte administrateur frauduleux existe, le simple fait de mettre à jour SP Page Builder ne le supprimera pas. Le pirate conserve son accès. Un nettoyage complet est nécessaire : suppression des comptes et des fichiers malveillants, puis changement de tous les mots de passe.
Un schéma qui se répète
SP Page Builder n'est pas un cas isolé. La même semaine, la faille iCagenda exploitait exactement le même type de défaut. Et avant elle, l'éditeur JCE. Le point commun de toutes ces attaques : un point d'entrée qui aurait dû être protégé et ne l'était pas, sur une extension que l'administrateur du site ne surveille pas. Pour comprendre ce phénomène, lisez notre analyse de la faille critique de l'éditeur JCE et notre dossier sur la faille iCagenda.
Que faire maintenant ?
Mettez SP Page Builder à jour vers la 6.6.2 immédiatement. Vérifiez votre liste d'administrateurs. Et si vous avez le moindre doute sur un compte ou un fichier suspect, faites contrôler votre site : détecter et nettoyer proprement une intrusion demande un savoir-faire spécifique.
