Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: Joomla CMS erg kwetsbaar  (gelezen 4133 keer)

Offline crashit

  • Lid
    • Tekstbureau Anderverhaal
  • Steunpunt: Nee
Joomla CMS erg kwetsbaar
« Gepost op: 2008/12/08, 18:44:25 »
Ik merk de laatste tijd dat Joomla CMS wel erg kwetsbaar is. Mijn site is nu voor de derde keer gehackt (ditmaal door Windows Antivirus 2009) en ik begin me af te vragen of Joomla eigenlijk wel een goed beveiligd CMS is. Het is wel een van de makkelijkste CMS'en om zelf mee te gaan bouwen, maar die kwetsbaarheid vind ik wel erg gevaarlijk. Hoe kijken jullie daar tegenaan?

En een andere vraag: er zijn meer CMS'en. Zijn er ook die minder kwetsbaar zijn? En die minder updates nodig hebben? Kortom, waar je je website gewoon een tijdje op kunt laten lopen?
"If engineers built buildings the way Microsoft builds operating systems the first woodpecker to come along would bring civilization to its knees."

Offline DarkStar

  • Lid
    • Mijn persoonlijke website
  • Steunpunt: Nee
Re: Joomla CMS erg kwetsbaar
« Reactie #1 Gepost op: 2008/12/08, 18:51:12 »
Ik gebruik op dit moment 3 verschillende CMS'en (als je het CMS'en wilt noemen) voor verschillende doeleinden: phpBB, PHPFusion en Wordpress. Ja, ik weet het, enkel PHPFusion is écht vergelijkbaar met Joomla, de andere twee hebben een iets ander doel.
PHPFusion is in ieder geval stabiel, makkelijk en vrij veilig. Ik ken nl. nog 2 andere webmaster die ook PHPfusion gebruiken (al sinds enkele jaren) en ik heb hierover nog nooit iets slechts gehoord. Het is jammer genoeg wel een heel andere opzet dan Joomla, je zal vanzelf wel merken dat Joomla veel meer 'toelaat' dan PHPfusion.

° Bezoek mijn blog Digital (in)Sanity °

Offline Jan Stedehouder

  • Lid
    • Jan Stedehouder
  • Steunpunt: Nee
Re: Joomla CMS erg kwetsbaar
« Reactie #2 Gepost op: 2008/12/08, 19:01:20 »
Even een vraagje: Wat bedoel je met gehackt door Windows Antivirus 2009?

Het is verder altijd zinvol om zicht te houden op de mogelijkheden om een Joomla installatie beter te beveiligen. In het Joomla forum vind je daar suggesties voor. Of Joomla veiliger of minder veilig is zou ik niet direct kunnen zeggen. Misschien geldt ook hier dat het een populairder object is vanwege het grotere gebruik en het gemak om het te installeren en uit te breiden. Gemak is niet altijd een prikkel om goed na te denken over de veiligheid.

Offline Gandyman

  • Lid
  • Steunpunt: Nee
Re: Joomla CMS erg kwetsbaar
« Reactie #3 Gepost op: 2008/12/08, 19:19:07 »
Ben zelf sinds kort met Joomla aan het stoeien omdat ik altijd Postnuke of PHPnuke gebruik.
En mij werd verteld dat Joomla beter was en makkelijker.

Hmz, over dat makkelijker heb ik nog een hartig woordje te spreken met die adviseur.....
Mja zoals altijd, ken het proggie nog niet dus dan is alles moeilijk  XD

Denk dat je kwa hacken nooit veilig zit.
Postnuke en PHPnuke stonden er ook om bekend binnen 10 minuten gehackt te zijn, en
SJa ook mijn site werden regelmatig gehackt.

Ondanks alle voorzorg maatregelen...

Kwestie van backup terug zetten en klaar was klara.

Wat me wel opvalt is dat sinds ik Virtualmin als hosting proggie gebruik ik weinig tot geen last meer heb ??

Toeval ?
Of is Virtualmin zo goed ?

effin

om een lang verhaal kort te maken.

Hoe meer mogelijkheden hoe sneller je site gehackt word.
Hoe simpeler en hoe minder plugins hoe moeilijker het word voor ze.

1 ding staat als een paal boven water.

Als je willen treiteren en je site willen hacken kan dit altijd vrees ik....
I don't suffer from insanity, I enjoy every minute of it.
Microsoft geeft je een raam, Linux geeft je een heel huis :D

Offline AptlyNamed

  • Lid
  • Steunpunt: Nee
Re: Joomla CMS erg kwetsbaar
« Reactie #4 Gepost op: 2008/12/08, 19:34:34 »
Wat je kunt doen is
- een minder bekend cms nemen. Hoe bekender het cms, des te meer loont het voor hackers om bekende gaten erin te benutten.
- up to date houden, of een hositing uitkiezen die het cms zelf goed up-to-date houdt. De meeste hacks ontstaan doordat mensen maandenlang een oude versie laten staan.
- alle plugins/extras/mogelijkheden uitzetten behalve die je echt gebruikt.
- automatische backups (laten) maken van de scripts en database

Offline Ron

  • Forumteam
    • r0n
    • Dwarsligger
  • Steunpunt: Ja
Re: Joomla CMS erg kwetsbaar
« Reactie #5 Gepost op: 2008/12/08, 19:58:10 »
Of geen CMS nemen, maar een simpele tekst/HTML engine in PHP.
Voor mijn website heb ik het zelf gemaakt, ook de menu's worden on-the-fly gemaakt, en je kunt de hele site op read-only zetten, omdat update alleen met FTP kan.......
OpenStandaard evangelist, OpenSource promotor,  OpenData liefhebber.
Xubuntu gebruiker, liefhebber en tester.
In Nederland bekend als een dwarsligger.

Offline rja

  • Lid
  • Steunpunt: Nee
Re: Joomla CMS erg kwetsbaar
« Reactie #6 Gepost op: 2008/12/09, 15:44:04 »
We gebruiken op het werk, typo3, door een externe webontwerper ingericht die daar veel ervaring mee had..

Nog geen last gehad dat de site gehackt is, draait al bijna 3 jaar.

Wordt volgens mij niet zo veel gebruikt en zeer complex volgens mij t.o.v van andere cms´en




Offline crashit

  • Lid
    • Tekstbureau Anderverhaal
  • Steunpunt: Nee
Re: Joomla CMS erg kwetsbaar
« Reactie #7 Gepost op: 2008/12/09, 19:42:01 »
Ben nu ook met Typo3 aan het stoeien, omdat ik weet dat dat een vrij goed en professioneel systeem is. Maar het is inderdaad zo dat het een zeer complex cms is en veel moeilijker te begrijpen dan Joomla.

Citaat
Even een vraagje: Wat bedoel je met gehackt door Windows Antivirus 2009?
Ik ging naar het ip van m'n server en ik kreeg een heel mooie website met Windows Antivirus 2009. Die ging mijn pc scannen en 'vond' virussen. Mijn eigen site was gewoon overgeschreven... Denk dat ik Joomla teveel rechten heb gegeven. In principe kon joomla overal bestanden naar uploaden (binnen public_html uiteraard). Ik weet niet hoe, maar op de een of andere manier wisten ze het wachtwoord van de mysql-database te hacken. En daarmee hadden ze ook het hoofdwachtwoord van mysql... :(

"If engineers built buildings the way Microsoft builds operating systems the first woodpecker to come along would bring civilization to its knees."

Offline rja

  • Lid
  • Steunpunt: Nee
Re: Joomla CMS erg kwetsbaar
« Reactie #8 Gepost op: 2008/12/09, 21:25:26 »
Mijn rechten staan goed.

Als ze typo3 onverhoopt zouden hacken, hebben ze nog niet het  root password van mysql, omdat er voor typo3 een aparte typo3 gebruiker in zit, die alleen rechten op die database, nergens anders op.

Offline crashit

  • Lid
    • Tekstbureau Anderverhaal
  • Steunpunt: Nee
Re: Joomla CMS erg kwetsbaar
« Reactie #9 Gepost op: 2008/12/09, 21:44:58 »
Hangt er volledig vanaf hoe je zelf die rechten hebt ingedeeld. Volgens mij - mijn site draaide toen nog op Joomla! - had ik een en dezelfde wachtwoord ingevoerd voor root en voor de database. En ze hadden allebei nogal wat rechten ;) Was iig niet erg slim wat ik had gedaan. Gelukkig is de rest van mijn systeem voor zover ik kan nagaan niet gekraakt. Ik kon nog gewoon in Webmin en de rest van de server draait ook gewoon nog normaal. In de logs is verder niets abnormaals te vinden...

Iets anders: ligt het aan mij, of is Typo3 best een zware webapplicatie? Hij is niet zo snel op m'n servertje (een PIII 600 mhz).
"If engineers built buildings the way Microsoft builds operating systems the first woodpecker to come along would bring civilization to its knees."

Offline DarkStar

  • Lid
    • Mijn persoonlijke website
  • Steunpunt: Nee
Re: Joomla CMS erg kwetsbaar
« Reactie #10 Gepost op: 2008/12/09, 21:49:17 »
Ben nu ook met Typo3 aan het stoeien, omdat ik weet dat dat een vrij goed en professioneel systeem is. Maar het is inderdaad zo dat het een zeer complex cms is en veel moeilijker te begrijpen dan Joomla.

Citaat
Even een vraagje: Wat bedoel je met gehackt door Windows Antivirus 2009?
Ik ging naar het ip van m'n server en ik kreeg een heel mooie website met Windows Antivirus 2009. Die ging mijn pc scannen en 'vond' virussen. Mijn eigen site was gewoon overgeschreven... Denk dat ik Joomla teveel rechten heb gegeven. In principe kon joomla overal bestanden naar uploaden (binnen public_html uiteraard). Ik weet niet hoe, maar op de een of andere manier wisten ze het wachtwoord van de mysql-database te hacken. En daarmee hadden ze ook het hoofdwachtwoord van mysql... :(

Er is niks mis met je site, wel met je browsercookies... Trust me, heb het overlaatst nog gezien op een windows systeem. Je komt in plaats van op je site zogezegd terecht op zo'n antivirus 2009 geval en begint te 'scannen'... Nadien de melding dat je geïnfecteerd bent en dat je hun spul moet kopen... Browsercache volledig leegmaken en je probleem is opgelost!

° Bezoek mijn blog Digital (in)Sanity °

Offline crashit

  • Lid
    • Tekstbureau Anderverhaal
  • Steunpunt: Nee
Re: Joomla CMS erg kwetsbaar
« Reactie #11 Gepost op: 2008/12/09, 22:27:00 »
Make that the cat wise :)

Nee, 't was echt gehackt. Er stonden bestanden op m'n server die er voorheen niet stonden. Bovendien kreeg ik dezelfde melding op twee verschillende pc's. Windows Antivirus 2009 is trouwens een erg recente versie van het beruchte Windows Antivirus 2008, wat heel veel pc's in de wereld al besmet heeft met virussen. Ik was er gelukkig relatief snel bij. M'n website werd in het weekend gehackt en maandag tegen het eind van de middag heb ik Apache offline gehaald.
"If engineers built buildings the way Microsoft builds operating systems the first woodpecker to come along would bring civilization to its knees."

Offline rja

  • Lid
  • Steunpunt: Nee
Re: Joomla CMS erg kwetsbaar
« Reactie #12 Gepost op: 2008/12/09, 23:02:07 »
Make that the cat wise :)

Nee, 't was echt gehackt. Er stonden bestanden op m'n server die er voorheen niet stonden. Bovendien kreeg ik dezelfde melding op twee verschillende pc's. Windows Antivirus 2009 is trouwens een erg recente versie van het beruchte Windows Antivirus 2008, wat heel veel pc's in de wereld al besmet heeft met virussen. Ik was er gelukkig relatief snel bij. M'n website werd in het weekend gehackt en maandag tegen het eind van de middag heb ik Apache offline gehaald.
Volgende keer je server wat beter dichtimmeren.

Dit is wel een goede link.

http://www.mrleejohn.nl/CMSimple/index.php?Linux%2FUnix_docs:Security

Offline crashit

  • Lid
    • Tekstbureau Anderverhaal
  • Steunpunt: Nee
Re: Joomla CMS erg kwetsbaar
« Reactie #13 Gepost op: 2008/12/10, 00:51:56 »
Make that the cat wise :)

Nee, 't was echt gehackt. Er stonden bestanden op m'n server die er voorheen niet stonden. Bovendien kreeg ik dezelfde melding op twee verschillende pc's. Windows Antivirus 2009 is trouwens een erg recente versie van het beruchte Windows Antivirus 2008, wat heel veel pc's in de wereld al besmet heeft met virussen. Ik was er gelukkig relatief snel bij. M'n website werd in het weekend gehackt en maandag tegen het eind van de middag heb ik Apache offline gehaald.
Volgende keer je server wat beter dichtimmeren.

Dit is wel een goede link.

http://www.mrleejohn.nl/CMSimple/index.php?Linux%2FUnix_docs:Security
Dacht dat ik hem goed dichtgetimmerd had... Alleen verkeer binnen ons eigen netwerk en alleen voor bepaalde services is toegestaan. Blijkt net dat mijn firewall niet vanaf het starten van het systeem aan staat... Dom dom dom... Binnenkort toch maar ff checken op rootkits e.d.
"If engineers built buildings the way Microsoft builds operating systems the first woodpecker to come along would bring civilization to its knees."

Offline Gandyman

  • Lid
  • Steunpunt: Nee
Re: Joomla CMS erg kwetsbaar
« Reactie #14 Gepost op: 2008/12/10, 02:41:51 »
Ik ken Typo3 niet maar ga het zeker eens bestuderen, het klinkt goed.

Echter in mijn speurtocht ernaar stuite ik op dit:
http://www.typo3.nl/nieuws/nederlands/bericht/gegevensdiefstal-van-typo3org/
Nu wil ik niet negatief doen, echter je ziet dat het altijd wel fout kan gaan...

Maagoe, ik ga eerst dit cms eens bekijken en testen.

BTW heb je naast Joomla ook wel eens Mambo bekeken ?
« Laatst bewerkt op: 2008/12/10, 02:51:56 door Gandyman »
I don't suffer from insanity, I enjoy every minute of it.
Microsoft geeft je een raam, Linux geeft je een heel huis :D

Offline crashit

  • Lid
    • Tekstbureau Anderverhaal
  • Steunpunt: Nee
Re: Joomla CMS erg kwetsbaar
« Reactie #15 Gepost op: 2008/12/10, 11:12:53 »
Nee, ik gebruik Joomla al vanaf het moment dat het net afgesplitst was van Mambo. Voor Mambo zelf moest je toen gaan betalen, dus heb ik er nooit meer naar gekeken.

Even een ander vraagje:
als je naar www.anderverhaal.nl gaat, zie je dan een hele website, of alleen tekst? Is namelijk iets geks: op mijn laptop zie ik de website gewoon normaal, maar op de computers van anderen alleen tekst...
"If engineers built buildings the way Microsoft builds operating systems the first woodpecker to come along would bring civilization to its knees."

Offline Gandyman

  • Lid
  • Steunpunt: Nee
Re: Joomla CMS erg kwetsbaar
« Reactie #16 Gepost op: 2008/12/10, 11:30:06 »
Ik zie een mooie website.




[verwijderd door de beheerder]
I don't suffer from insanity, I enjoy every minute of it.
Microsoft geeft je een raam, Linux geeft je een heel huis :D

Offline crashit

  • Lid
    • Tekstbureau Anderverhaal
  • Steunpunt: Nee
Re: Joomla CMS erg kwetsbaar
« Reactie #17 Gepost op: 2008/12/10, 11:35:12 »
Ok, thx :) Denk dat ik weet waar het aan ligt :D Typo3 heeft je domeinnaam nodig om de pagina's te kunnen maken. Als ik alleen het interne IP-adres van m'n server intik, dan doet ie het gewoon niet (goed) :)
"If engineers built buildings the way Microsoft builds operating systems the first woodpecker to come along would bring civilization to its knees."

Offline Gandyman

  • Lid
  • Steunpunt: Nee
Re: Joomla CMS erg kwetsbaar
« Reactie #18 Gepost op: 2008/12/10, 11:52:39 »
aha.

Misschien voor jouw ook handig om en het "ipadres + naam" in je "HOSTS" file te zetten.
Dan hoeft er nix ge-resolved te worden en zal je de website waarschijnlijk altijd goed zien.

BTW als ik het zo las links en rechts zou Typo3 een steile leercurve hebben?
Maar jij bent al aardig aan het rommelen in een paar uurtje ??

Ben jij snel, of is het toch makkelijker dan alle commentaren doe geloven ??
« Laatst bewerkt op: 2008/12/10, 11:54:22 door Gandyman »
I don't suffer from insanity, I enjoy every minute of it.
Microsoft geeft je een raam, Linux geeft je een heel huis :D

Offline rja

  • Lid
  • Steunpunt: Nee
Re: Joomla CMS erg kwetsbaar
« Reactie #19 Gepost op: 2008/12/10, 15:58:57 »
De documentatie is goed bij Typo3.

De standaard modules zijn ook goed gedocumenteerd.

Ik bemoei me niet het beheer van Typo3, dat doet de externe Webdesigner en de marketing afdeling die de site onderhoud.

Ik heb het wel geïnstalleerd, die webdesigner heeft de balen verstand van Linux, hij gebruikt Typo3 onder Windows om te ontwikkelen  dus ik heb z´n rechten ingeperkt zodat hij weinig schade kan aanbrengen aan m´n Linux server.


Offline crashit

  • Lid
    • Tekstbureau Anderverhaal
  • Steunpunt: Nee
Re: Joomla CMS erg kwetsbaar
« Reactie #20 Gepost op: 2008/12/10, 17:46:05 »
aha.

Misschien voor jouw ook handig om en het "ipadres + naam" in je "HOSTS" file te zetten.
Dan hoeft er nix ge-resolved te worden en zal je de website waarschijnlijk altijd goed zien.
Heb ik idd al gedaan :) Toen ik dat uitzette (gewoon # ervoor), kreeg ik hetzelfde als de andere pc's in het netwerk.

Citaat
BTW als ik het zo las links en rechts zou Typo3 een steile leercurve hebben?
Maar jij bent al aardig aan het rommelen in een paar uurtje ??

Ben jij snel, of is het toch makkelijker dan alle commentaren doe geloven ??
Ehm... ik ben snel :D

Nee, typo3 installeren was makkelijker dan ik had gedacht. Via de WEC (http://webempoweredchurch.org/) kon ik typo3 zo installeren. Verder hebben ze redelijk goede documentatie waarmee je een paar templates vrij gemakkelijk kan installeren. Ga nog eens uitzoeken hoe dat precies werkt, maar daar heb ik nu geen zin in, dus heb ik gewoon een standaard ding erop gezet.

Dat is het moeilijke gedeelte. Ik ben al redelijk bekend met de back-end van Typo3. Groei.nl is ermee gemaakt en ik heb daar het een en ander mee te maken gehad. (Bijv.: http://www.groei.nl/index.php?id=24033 heb ik mede vormgegeven).
"If engineers built buildings the way Microsoft builds operating systems the first woodpecker to come along would bring civilization to its knees."

Offline Gandyman

  • Lid
  • Steunpunt: Nee
Re: Joomla CMS erg kwetsbaar
« Reactie #21 Gepost op: 2008/12/10, 23:02:06 »
Aha die zal ik eens gaan bekijken ziet er handig uit.
Tis altijd lastig met nieuw spul om er weer achter te komen hoe de theme's opgebouwd zijn als je een eigen theme wilt maken.
Dus als er al een stel bijzitten is dat bijzonder handig.

Dat Groei.nl ziet er top uit, wel druk, maar lekker fris en toch wel duidelijk. ;)
I don't suffer from insanity, I enjoy every minute of it.
Microsoft geeft je een raam, Linux geeft je een heel huis :D

Offline crashit

  • Lid
    • Tekstbureau Anderverhaal
  • Steunpunt: Nee
Re: Joomla CMS erg kwetsbaar
« Reactie #22 Gepost op: 2008/12/11, 00:05:02 »
Dat Groei.nl ziet er top uit, wel druk, maar lekker fris en toch wel duidelijk. ;)
Toen ik er stage liep, vond ik dat een van de mooiste dingen van heel Groei & Bloei :D Maar als ik er zo nog eens naar kijk, heb je wel gelijk. De website is wel erg druk. Staat wellicht teveel info op. Maar goed, je kunt niet alles hebben ;) Het design is iig top :D

Nog een leuk detail: het bedrijf dat voor de technische kant zorgt, gebruik voor een deel ook Ubuntu :D
"If engineers built buildings the way Microsoft builds operating systems the first woodpecker to come along would bring civilization to its knees."

Offline Gandyman

  • Lid
  • Steunpunt: Nee
Re: Joomla CMS erg kwetsbaar
« Reactie #23 Gepost op: 2008/12/11, 02:02:32 »
kijk zo is de cirkel weer rond. toppie
I don't suffer from insanity, I enjoy every minute of it.
Microsoft geeft je een raam, Linux geeft je een heel huis :D

Offline dennus

  • Lid
  • Steunpunt: Nee
Re: Joomla CMS erg kwetsbaar
« Reactie #24 Gepost op: 2008/12/11, 07:26:22 »
Hallo, kijk ook eens naar Etomite.