Joomla is zeker al een doelwit. Misschien nog meer dan Wordpress. Als je een joomla site hebt die je niet update, kun je er vanuit gaan dat deze binnen korte tijd wordt gehackt.

@tegenlicht Wat een ONZIN! ook met een up-to-date cms kun je worden gehackt.

Nieuw? Daar wordt al een paar jaar op gescant hoor.

Bij Websense hebben ze geloof ik een paar jaar onder een steen geleefd.

Probleem is bij Joomla iig dat het een slechte naam krijgt door gebruikers die nooit updaten. Zelf gebruik ik dit CMS al sinds Mambo en heb *klopt af op hout* nog nooit veiligheidsproblemen gehad. Gewoon altijd na een weekje na de update zelf gaan updaten (op die manier voorkom je een update installeren waar nog een foutje in zit) en de extensies regelmatig nalopen.

Tegenwoordig kan je in de backend van Joomla zelf al updates van Joomla en van de extensies/templates vinden en installeren.

zolang je niet regelmatig zelf je sw gaat updaten wordt je vroeg of laat een vogel voor de kat.
eigen schuld dikke bult.

kom dus niet nadien janken

enough said.

Op basis van welke gegevens impliceer je dat Joomla cs geen aandacht hebben voor beveiliging? Nogal boud imo.

Vaak zit het probleem ook niet in het updaten van de basis (Joomla of Drupal of whatever) maar de extensies die ook geupdate moeten worden. Dat wordt nog vaker vergeten dan dat eerste.

Het is altijd raadzaam om zelf even te testen hoe veilig je site is. Wanneer je zelf de kennis ervan niet hebt, laat dit dan doen door een persoon die de kennis wel heeft of een bedrijf dat gespecialiseerd is in pentesting.

Op exploit-db.com staat een leuk document hoe je een joomla site kunt pentesten:

http://www.exploit-db.com/wp-content/themes/exploit/docs/22763.pdf

Zelf ben ik helemaal van Joomla afgestapt vanwege alle veiligheidsgaten in Joomla maar vooral ook in de vele extensies.

@Hugo: Buiten de punten die ik als programmeur zelf niet zou doen als DATA -> XML -> XSLT render omdat dit zwaar overkill is. Ik ken deze techniek wel, maar dat is dat je de database zelf (hallo PostgreSQL) de XML laat aanmaken en terugsturen en dan vervolgens dat renderd. Als je een template systeem wilt gebruiken wat automatisch escaped zou ik Twig aanbevelen.

Banshee mist op dit moment nog bepaalde onderdelen, die juist Drupal en Joomla! zo populair maken op gebied van CMS.
Namelijk de actieve community, wat gelijk de kracht en last is van deze systemen.
Iemand kan een goede plugin maken die uitstekend werkt, of iets dat zo slecht werkt en zo onveilig is als het maar kan.

En als Framework is het weer te zwak als je het vergelijkt met Zend Framework, Symfony 2 (Symfony CMF voor CMS), CakePHP, Kohana of Code Ignitor. Kleine websites kunnen hier nog wel wat mee, maar bij grote projecten schiet al snel te kort. Maar dit natuurlijk afhankelijk van je doelgroep.

Maar omdat ik niet alleen wil bekritiseren, wil ik ook een paar tips geven.

* Steeds meer mensen maken gebruik van Composer voor dependency management.
* PostgreSQL heeft sinds 9.2 een speciale optie voor format() waarmee je %i kan meegeven voor indentifier met automatische escaping. Allicht interessant om deze techniek over te nemen ;)

http://www.postgresql.org/docs/current/static/functions-string.html

* Gebruik geen output buffering voor alles, dit werkt vertragend en is eigenlijk niet meer nodig als je een goede template engine gebruikt.
* Strip alle leading ?> van php-only bestanden, dit verwijderd ook de noodzaak van output buffering.
* Magic methos __set/get() zijn 50% langzamer dan gewone setters en getters. gebruik dan gewoon set() en get() zonder magie.

Ps. De mail functionaliteit breekt op een klein punt met de standaards, regels moeten worden verdeeld met \n\r niet \n
Verder dan dat heb je beter je best gedaan dan menig mail functionaliteit programmeur, ik weet hoe immens ingewikkeld dit kan zijn :)