Joomla is een volwassen en veilig CMS. De beveiliging van je Joomla website hangt in de praktijk dan ook zelden af van het CMS zelf en veel vaker van de extensies die worden geïnstalleerd en de frequentie waarmee ze worden bijgewerkt (updates). Extensies zijn een handige manier om extra functionaliteit aan je website toe te voegen maar vormen ook de belangrijkste bron van kwetsbaarheden die de veiligheid van je website kunnen schaden.
Een aanzienlijke hoeveelheid Joomla websites is recent geconfronteerd met kritieke kwetsbaarheden in enkele populaire Joomla-extensies, waaronder JCE Editor, SP Page Builder en AcyMailing. Lekken in deze extensies worden inmiddels actief misbruikt en het aantal Joomla websites dat momenteel wordt getroffen door een hack of malware is aanzienlijk toegenomen. Dat betekent niet dat Joomla onveilig is, maar dat het onderhoud van je website veelal te wensen over laat.
In dit artikel lees je waarom extensies en het onderhoud ervan één van de hoogste prioriteiten zou moeten hebben, welke extensies momenteel voor problemen zorgen en hoe je je Joomla-website veilig houdt.
Het grootste beveiligingsrisico zit in de extensies
De Joomla-core (het CMS zelf) wordt actief doorontwikkeld en onderhouden door een groot team ontwikkelaars met een eigen securityafdeling en een vast releaseschema. Beveiligingslekken in de core van het CMS zelf zijn zeldzaam en worden doorgaans zeer snel gedicht. De extensies die worden gebruikt voor het uitbreiden van functionaliteit zijn vaak een heel ander verhaal. Deze worden ontwikkeld door uiteenlopende ontwikkelaars, verschillen in kwaliteit en worden niet allemaal even goed onderhouden. Voor vrijwel elk Open Source CMS ligt daar het grootste deel van het aanvalsoppervlak. Met andere woorden: de meeste hacks en malware vinden hun oorsprong in extensies.
Het belangrijkste advies dat we hierin kunnen geven is eenvoudig: houd zowel Joomla als je extensies up-to-date en verwijder extensies die je niet meer gebruikt. Geen tijd om je website te onderhouden? Overweeg dan ons Joomla Onderhoudsprogramma en bespaar jezelf slapeloze nachten en stress. Draai je bovendien nog op Joomla 3 of 4 (beide end-of-life), dan krijgt de Joomla core zelf geen updates meer en loopt je website extra risico. Bekijk ons handige Joomla-versies & end-of-life overzicht en lees wat je het beste kan doen.
Deze Joomla extensies moet je nu in de gaten houden
Hieronder een actueel overzicht van veelgebruikte Joomla-extensies waarin recent serieuze kwetsbaarheden gevonden zijn. Met een aanzienlijke gebruikersbasis hebben lekken in deze extensies een aanzienlijke impact op de veiligheid van Joomla-websites en lichten we daarom in dit artikel verder uit. Gebruik je één van deze extensies? Controleer dan of hiervan de nieuwste versie geïnstalleerd is. Zoals aangegeven, dit is geen volledige lijst van alle kwetsbaarheden die momenteel bekend zijn maar een selectie van problemen met momenteel de grootste impact op Joomla websites.
| Extensie | Waarom relevant | Actie |
|---|---|---|
| JCE Editor | Content-editor, een van de meest geïnstalleerde extensies | Controleer je versie en werk bij naar de nieuwste |
| SP Page Builder | Veelgebruikte page builder (JoomShaper) | Werk bij naar de gepatchte versie |
| Helix3 | Veelgebruikt template framework (JoomShaper) | Werk bij en controleer de template-instellingen |
| AcyMailing | Veelgebruikte nieuwsbrief-extensie | Werk bij naar de gepatchte versie |
| PageBuilder CK | Veelgebruikte page builder (JoomlaCK) | Werk bij naar de gepatchte versie |
Een aantal van deze kwetsbaarheden worden inmiddels actief misbruikt en zorgen voor ongeautoriseerde toegang tot je website of het plaatsen van malware. Maakt je Joomla website gebruik van deze extensies dan is het van belang om zo snel mogelijk te controleren of de laatste versie is geïnstalleerd. Draait je website op een versie van Joomla (bijvoorbeeld 3 of 4) waardoor updaten van de extensie niet mogelijk is dan is een migratie urgent.
Loopt je Joomla website risico?
Je website loopt een verhoogd risico als één of meer van de volgende punten op jouw Joomla-website van toepassing zijn:
- Je website gebruikt extensies die niet recent zijn bijgewerkt.
- Je website draait op Joomla 3 of 4. Deze versies zijn "end-of-life" (EOL) en worden niet meer voorzien van beveiligingsupdates.
- Je website wordt niet actief onderhouden of heeft geen actieve monitoring waardoor updates en verdachte wijzigingen niet structureel worden opgevolgd.
In dat geval is het verstandig om je website te laten controleren en een onderhoudsstrategie in te richten. Zijn bovenstaande punten niet van toepassing op je Joomla website en wordt deze netjes bijgehouden dan is het risico relatief klein.
Wat kun je nu doen om je Joomla website veilig te houden?
- Houd extensies en de Joomla-core up-to-date
De belangrijkste maatregel in het voorkomen van problemen: houd extensies en je Joomla installatie up-to-date. - Verwijder extensies die je niet gebruikt
Minder extensies betekent niet alleen minder onderhoud maar ook een kleiner aanvalsoppervlak. - Let op signalen van een hack of malware
Controleer periodiek op onbekende beheerdersaccounts, vreemde bestanden, ongewenste omleidingen of vreemde zoekresultaten. Meer hierover in ons artikel "Indicaties dat je website of webshop gehackt is". - Twijfel je aan de veiligheid van je website?
Wij controleren vrijblijvend je website en herstellen problemen waar nodig. Neem contact op en wij controleren je website binnen 24 uur.
Joomla website gehackt? Eén schoonmaak is niet genoeg
Allereerst geen paniek. Een hack of malware kan gebeuren. Het is de actie die daarop volgt die bepaalt in hoeverre je de schade beperkt. Een hack is zelden een éénmalige gebeurtenis. In de eerste fase van een aanval worden doorgaans "slapende" bestanden geplaatst of malafide gebruikersaccounts aangemaakt. Tot zover op het oog nog geen zichtbare problemen.
De echte schade, zoals het activeren van geïnjecteerde code of het misbruiken van geplaatste achterdeurtjes, komt soms weken of maanden later. Het opruimen van dat ene zichtbare stukje malware zonder de bron van het lek te dichten resulteert vaak in een herhaling van de hack. Ook het terugzetten van een back-up zorgt vaak tijdelijk voor een oplossing maar lost in de praktijk de problemen niet op.
Wij herstellen daarom niet alleen het zichtbare probleem maar controleren de gehele website, herleiden en dichten de lekken in de website en houden de website daarna in de gaten. Wil je daarna meer zekerheid van een veilige Joomla website zonder omkijken naar het onderhoud dan stap je gelijk over op ons Joomla-onderhoud waarin updates, back-ups en monitoring zijn inbegrepen.
Sneller ontdekt én sneller misbruikt: de rol van AI
Beveiliging van je website is geen momentopname en dat is inmiddels ook grotendeels aan de opkomst van AI te danken. Dit heeft twee kanten. Aan de ene kant helpt AI om kwetsbaarheden sneller te ontdekken. Veel van de recente lekken zijn ontdekt met behulp van krachtige AI-tools waar ook wij inmiddels dankbaar gebruik van maken. Het maakt het geautomatiseerd toetsen en analyseren van code op grote schaal makkelijker en sneller mogelijk. Dat is goed nieuws, want hoe eerder een lek bekend is, hoe eerder hiervoor een update ontwikkeld kan worden.
Aan de andere kant gebruiken aanvallers dezelfde techniek om lekken sneller te misbruiken. Zodra een kwetsbaarheid bekend is kan er met behulp van AI sneller werkende aanvalscode geschreven en geautomatiseerd op veel websites tegelijk ingezet worden. Dit is overigens niet nieuw en gebeurde ook voor het AI-tijdperk. Zodra een update voor een CMS of extensie beschikbaar is wordt ook duidelijk welke kwetsbaarheid daarmee gedicht wordt. Voer je de update niet uit dan is het veelal wachten op problemen.
De vraag is dus: worden websites hierdoor kwetsbaarder of juist veiliger? Wat ons betreft is het antwoord: beide. De belangrijkste consequentie is dat het venster om te reageren kleiner wordt waardoor snel en gecontroleerd updaten steeds belangrijker wordt. Dit is overigens niet alleen typisch voor Joomla. Dezelfde dynamiek geldt voor WordPress, Magento en elk ander CMS of softwareoplossing. Beveiliging is daarmee geen project met een einddatum maar een doorlopend proces.
De structurele oplossing: updaten en beheren
De belangrijkste maatregelen om problemen met je Joomla-website te voorkomen zijn duidelijk: zorg dat je website draait op een ondersteunde Joomla-versie (Joomla 3 en 4 zijn end-of-life en een migratie is urgent) en voor doorlopend onderhoud waarvan periodieke updates (wekelijks), monitoring en back-ups minimaal onderdeel zijn. Zo blijft je website veilig en beperk je het risico wanneer de volgende kwetsbaarheid opduikt.
