Op dinsdag 25 oktober heeft het Joomla-team versie 3.6.4 vrijgegeven. Deze versie repareert twee kritieke beveiligingsproblemen. Waarom het heel belangrijk is om te updaten, leg ik je hieronder uit.

De aanleiding van het beveiligingsprobleem

Door een bug die sinds introductie van Joomla! versie 3.4.4 in het CMS zit, heeft een ongeautoriseerde bezoeker de mogelijkheid om een account aan te maken en daarbij een willekeurige gebruikersgroep (behalve de Super Gebruiker) te koppelen. Dit werkt zelfs als je op je website de accountregistratie hebt uitgeschakeld!

Het komt er op neer dat elke willekeurige hacker een Administrator-account op jouw website kan aanmaken (dus niet een Super Gebruiker). Met behulp daarvan kan de inhoud van je website eenvoudig aangepast waorden, maar met de standaard Joomla! beveiligingsinstellingen kunnen gelukkig geen vreemde extensies worden geïnstalleerd.

Om welke Joomla! versies gaat het?

Alle websites met de volgende Joomla! versies: 3.4.4 tot en met 3.6.3.

Moet jij je ook zorgen maken?

Jazeker! Als jij sinds het uitkomen van Joomla 3.6.4 nog niet bent gaan updaten en je hebt een website die draait met Joomla 3.4.4 tot en met 3.6.3, dan is jouw website dus ook een makkelijke prooi voor hackers! Ondanks dat de hacker geen Super Gebruiker-rechten kan krijgen, heeft de hacker wel voldoende rechten om functionele problemen te creëren of bijvoorbeeld malafide Javascriptcode op je website te plaatsen. Deze code kan vervolgens worden gebruikt om jouw websitebezoekers te hacken. In het uiterste geval kan een hacker jouw website hiermee bijvoorbeeld zo negatief beïnvloeden dat je zorgvuldig opgebouwde positie in zoekmachines keihard onderuit wordt gehaald. Er hebben al aanvallen op Joomla! websites plaatsgevodnen. Zorg dat jij je website snel update!!

Stappenplan

1. Log in op de backend van je Joomla! website.
2. Maak dan eerst een backup van je website met bijvoorbeeld Akeeba Backup.
3. Download de backup naar je werkplek.
4. Update dan je Joomla! Extensies.
5. Update dan naar de laatste Joomla! versie (3.6.4).
6. Maar dan weer een backup!
7. Download de backup naar je werkplek.

Mocht je website toch gehacked zijn, onderdeem dan de stappen zoals beschreven op de volgende website:
https://community.1and1.com/how-to-repair-a-hacked-website/

Download Joomla! hier

bron: https://joomlanl.nl/nieuws/releases/202-beveiligingsprobleem-uitgelegd-ongeautoriseerd-account-aanmaken (de link werkt niet meer)