Beveiligingsprobleem uitgelegd: Ongeautoriseerd account aanmaken
Op dinsdag 25 oktober heeft het Joomla-team versie 3.6.4 vrijgegeven. Deze versie repareert twee kritieke beveiligingsproblemen. Waarom het heel belangrijk is om te updaten, leggen we je hieronder uit.
De geschiedenis van het beveiligingsprobleem
Door een bug die sinds introductie van Joomla 3.4.4 in het CMS zat, had een ongeautoriseerde bezoeker de mogelijkheid om een account aan te maken en daarbij een willekeurige gebruikersgroep (behalve de Super Gebruiker) te koppelen. Dit werkte zelfs als je op je website de accountregistratie had uitgeschakeld.
Simpel uitgelegd kwam het er op neer dat elke willekeurige hacker een Administrator-account op jouw website kon aanmaken (dus NIET een Super Gebruiker). Met behulp daarvan kon de inhoud van je website eenvoudig worden aangepast, maar met de standaard Joomla-beveiligingsinstellingen konden gelukkig geen malafide extensies worden geïnstalleerd.
Welke websites hadden hier last van?
Alle websites die draaiden op Joomla 3.4.4 tot en met 3.6.3
Moet jij je ook zorgen maken?
Jazeker! Als jij sinds het uitkomen van Joomla 3.6.4 nog niet bent gaan updaten en je hebt een website die draait met Joomla 3.4.4 tot en met 3.6.3, dan is jouw website dus ook een makkelijke prooi voor hackers. Ondanks dat de hacker geen Super Gebruiker-rechten kan krijgen, heeft de hacker wel voldoende rechten om functionele problemen te creëren of bijvoorbeeld malafide Javascriptcode op je website te plaatsen. Deze code kan vervolgens worden gebruikt om jouw websitebezoekers te hacken. In het uiterste geval kan een hacker jouw website hiermee bijvoorbeeld zo negatief beïnvloeden dat je zorgvuldig opgebouwde positie in zoekmachines keihard onderuit wordt gehaald.