ISPs klagen over slecht beveiligde Joomla installaties
Internetproviders zijn niet blij met gebruikers die content management systemen zoals Joomla en Drupal niet patchen, waardoor hun servers misbruikt worden door computercriminelen. Ongepatchte of niet goed geconfigureerde versies van de CMS pakketten zijn zeer eenvoudig te hacken, waarna de aanvallers denial of service aanvallen kunnen uitvoeren of phishing-sites op de server plaatsen.
Sommige providers wijzigen daarom de php-instellingen op hun servers. "Op een deel van de servers hebben we de veranderingen al doorgevoerd en dat werpt meteen zijn vruchten af. Het installeren van bots en dergelijke is door de aanpassingen zo goed als uitgesloten", zegt Gerwin Krist van Digitalus tegenover Webwereld.
Het probleem zit hem volgens de ISPs in het feit dat Joomla eenvoudig te installeren is, waarna mensen vergeten de laatste patches te installeren. Volgens Krits zijn mensen zich vaak niet goed bewust van de risico's die ze lopen als ze een webapplicatie installeren.
misschien voor henzelf een markt ligt, door hosted applications aan te
bieden inclusief de beveiliging daarvan, zoals CMS systemen.
De meeste ISP's lijkt te bang om hun core business uit te breiden, en zijn
wat dat betreft zo conservatief als de pest. Wat dat betreft is innovatie in
providerland ver te zoeken.
gelukkig bestaat er zoiets als mailinglists, zodra er een nieuwe versie uit
is, wordt deze eerst even getest (kijken of de templates en components
nog werken zoals het hoort) en de update wordt op de officiele site
uitgerold.
Ik gebruik ook Joomla voor enkele websites (liever lui dan
moe) en
gelukkig bestaat er zoiets als mailinglists, zodra er een
nieuwe versie uit
is, wordt deze eerst even getest (kijken of de templates en
components
nog werken zoals het hoort) en de update wordt op de
officiele site
uitgerold.
Vaak meer het geval van: hee, het werkt! afblijven dus!
Helaas gaat niet iedereen zo te werk...
Vaak meer het geval van: hee, het werkt! afblijven dus!
ineens een druk bezochte site gedefaced was. Bleek dat er een lek in zat
dat een week oud was, maar er was direct een exploit voor gemaakt door
een groepje brazilianen (geloof ik).
Sindsdien ben ik lid van de desurity-mailinglist. Ofwel: Op de verkeerde
manier geleerd.
op hun servers. "Op een deel van de servers hebben we de
veranderingen al doorgevoerd en dat werpt meteen zijn
vruchten af. Het installeren van bots en dergelijke is door
de aanpassingen zo goed als uitgesloten", zegt Gerwin Krist
van Digitalus tegenover Webwereld.
en wat de impact daarvan is, maar blijkbaar is de impact
beperkt. Dan vraag ik me af waarom het niet al meteen zo
ingesteld is.
Zet url-fopen even uit en je voorkomt een hoop.
Maar met zulke prijzen op hun website, tjah, dan kan het ook niet anders.
Nu weet ik niet welke instelling hier precies bedoeld wordt en wat de
impact daarvan is, maar blijkbaar is de impact beperkt. Dan vraag ik me af
waarom het niet al meteen zo ingesteld is.
Het gros van de providers heeft inderdaad boter op hun hoofd. 9 van de 10
keer is niet het CMS de oorzaak, maar eerder de gebrekkige server
instellingen. Joomla & Drupal gelden als een van de meest secure
pakketten.
Uiteraard moet het van twee kanten komen. Ik verwacht van een provider
dat hij zijn best doet om mij de klant een stabiel en beveiligd platform te
bieden voor een cms naar mijn keuze.
De provider mag verwachten (en verlangen) dat ik de klant mijn uiterste
best zal doen om mijn gekozen cms zo op to date mogelijk te houden.
Wel een beetje sneu dat D-hosting (geciteerd in artikel webwereld) op zijn
eigen website nog verwijst naar versie 1.0.11 van joomla... We zitten
inmiddels al enige tijd bij versie 1.0.13.
defacepogingen geweest op mijn site, allen zonder succes.
Zelfs met ongepatchte Joomla versies en bekende Joomla exploits.
Een kwestie van de juiste hostingprovider zoeken voor
goedkope en kwalitatieve Joomla hosting, in mijn geval is
dat http://www.mevershosting.nl
Toedeloe
updates kunnen omdat ze gewoon slecht gemaakt zijn. (Niet dat het een
juiste reden is ofzo..)
Ten tweede vind ik dat de CMS een autoupdate functie in moet bakken ipv
de gebruiker met moeilijke instructies moet opzadelen. Ik kan dit wel, maar
kan de standaard gebruiker dat ook?
Last but not least, zijn er hosts die CMS installaties gratis aanbieden. (iig
de 2 hosts die ik heb voor €15 per jaar) Deze worden ook verder niet
geupdate, dus ze zijn zelf bijna nog mere schuldig hieraan.
gerunt door 15-jarige die niets afweten van beveiligen.
defacepogingen geweest op mijn site, allen zonder succes.
Zelfs met ongepatchte Joomla versies en bekende Joomla exploits.
Een kwestie van de juiste hostingprovider zoeken voor
goedkope en kwalitatieve Joomla hosting, in mijn geval is
dat http://www.mevershosting.nl
Toedeloe
War een onzin mevershosting zijn oplichters duur en de site staat niet op je naam!!! duur slecht en slecht
volgens mij ben je werknemer
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
