ISPs klagen over slecht beveiligde Joomla installaties
Internetproviders zijn niet blij met gebruikers die content management systemen zoals Joomla en Drupal niet patchen, waardoor hun servers misbruikt worden door computercriminelen. Ongepatchte of niet goed geconfigureerde versies van de CMS pakketten zijn zeer eenvoudig te hacken, waarna de aanvallers denial of service aanvallen kunnen uitvoeren of phishing-sites op de server plaatsen.
Sommige providers wijzigen daarom de php-instellingen op hun servers. "Op een deel van de servers hebben we de veranderingen al doorgevoerd en dat werpt meteen zijn vruchten af. Het installeren van bots en dergelijke is door de aanpassingen zo goed als uitgesloten", zegt Gerwin Krist van Digitalus tegenover Webwereld.
Het probleem zit hem volgens de ISPs in het feit dat Joomla eenvoudig te installeren is, waarna mensen vergeten de laatste patches te installeren. Volgens Krits zijn mensen zich vaak niet goed bewust van de risico's die ze lopen als ze een webapplicatie installeren.
misschien voor henzelf een markt ligt, door hosted applications aan te
bieden inclusief de beveiliging daarvan, zoals CMS systemen.
De meeste ISP's lijkt te bang om hun core business uit te breiden, en zijn
wat dat betreft zo conservatief als de pest. Wat dat betreft is innovatie in
providerland ver te zoeken.
gelukkig bestaat er zoiets als mailinglists, zodra er een nieuwe versie uit
is, wordt deze eerst even getest (kijken of de templates en components
nog werken zoals het hoort) en de update wordt op de officiele site
uitgerold.
Ik gebruik ook Joomla voor enkele websites (liever lui dan
moe) en
gelukkig bestaat er zoiets als mailinglists, zodra er een
nieuwe versie uit
is, wordt deze eerst even getest (kijken of de templates en
components
nog werken zoals het hoort) en de update wordt op de
officiele site
uitgerold.
Vaak meer het geval van: hee, het werkt! afblijven dus!
Helaas gaat niet iedereen zo te werk...
Vaak meer het geval van: hee, het werkt! afblijven dus!
ineens een druk bezochte site gedefaced was. Bleek dat er een lek in zat
dat een week oud was, maar er was direct een exploit voor gemaakt door
een groepje brazilianen (geloof ik).
Sindsdien ben ik lid van de desurity-mailinglist. Ofwel: Op de verkeerde
manier geleerd.
op hun servers. "Op een deel van de servers hebben we de
veranderingen al doorgevoerd en dat werpt meteen zijn
vruchten af. Het installeren van bots en dergelijke is door
de aanpassingen zo goed als uitgesloten", zegt Gerwin Krist
van Digitalus tegenover Webwereld.
en wat de impact daarvan is, maar blijkbaar is de impact
beperkt. Dan vraag ik me af waarom het niet al meteen zo
ingesteld is.
Zet url-fopen even uit en je voorkomt een hoop.
Maar met zulke prijzen op hun website, tjah, dan kan het ook niet anders.
Nu weet ik niet welke instelling hier precies bedoeld wordt en wat de
impact daarvan is, maar blijkbaar is de impact beperkt. Dan vraag ik me af
waarom het niet al meteen zo ingesteld is.
Het gros van de providers heeft inderdaad boter op hun hoofd. 9 van de 10
keer is niet het CMS de oorzaak, maar eerder de gebrekkige server
instellingen. Joomla & Drupal gelden als een van de meest secure
pakketten.
Uiteraard moet het van twee kanten komen. Ik verwacht van een provider
dat hij zijn best doet om mij de klant een stabiel en beveiligd platform te
bieden voor een cms naar mijn keuze.
De provider mag verwachten (en verlangen) dat ik de klant mijn uiterste
best zal doen om mijn gekozen cms zo op to date mogelijk te houden.
Wel een beetje sneu dat D-hosting (geciteerd in artikel webwereld) op zijn
eigen website nog verwijst naar versie 1.0.11 van joomla... We zitten
inmiddels al enige tijd bij versie 1.0.13.
defacepogingen geweest op mijn site, allen zonder succes.
Zelfs met ongepatchte Joomla versies en bekende Joomla exploits.
Een kwestie van de juiste hostingprovider zoeken voor
goedkope en kwalitatieve Joomla hosting, in mijn geval is
dat http://www.mevershosting.nl
Toedeloe
updates kunnen omdat ze gewoon slecht gemaakt zijn. (Niet dat het een
juiste reden is ofzo..)
Ten tweede vind ik dat de CMS een autoupdate functie in moet bakken ipv
de gebruiker met moeilijke instructies moet opzadelen. Ik kan dit wel, maar
kan de standaard gebruiker dat ook?
Last but not least, zijn er hosts die CMS installaties gratis aanbieden. (iig
de 2 hosts die ik heb voor €15 per jaar) Deze worden ook verder niet
geupdate, dus ze zijn zelf bijna nog mere schuldig hieraan.
gerunt door 15-jarige die niets afweten van beveiligen.
defacepogingen geweest op mijn site, allen zonder succes.
Zelfs met ongepatchte Joomla versies en bekende Joomla exploits.
Een kwestie van de juiste hostingprovider zoeken voor
goedkope en kwalitatieve Joomla hosting, in mijn geval is
dat http://www.mevershosting.nl
Toedeloe
War een onzin mevershosting zijn oplichters duur en de site staat niet op je naam!!! duur slecht en slecht
volgens mij ben je werknemer
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.