Joomla is waarschijnlijk het enige Content Management Systeem (CMS) met de meeste exploits en kwetsbare addons ooit gemaakt, stelt een beveiligingsonderzoeker, die een tool online heeft gezet voor het automatisch hacken van Joomla-installaties.
Met name de uitbreidingen zijn volgens ‘MaXe’ een groot probleem, aangezien die in veel gevallen beveiligingslekken bevatten. “Die wij kunnen aanvallen en misbruiken.” Het WordPress CMS daarentegen komt als beste uit bus, zie hieronder. Laat dat nu ’toevallig’ het CMS zijn waarin Topshelf Media ® gespecialiseerd is!
De meeste installaties van online systemen zoals phpMyAdmin, Joomla!, MovableType, Drupal en Mediawiki zijn zo lek als een mandje. Dat blijkt uit onderzoek dat beveiligingsbedrijf Qualys onder ruim een miljoen systemen uitvoerde. Het gebruikte hiervoor BlindElephant, een gratis opensource tool die de versie van applicaties en plug-ins vaststelt.
Met name beheerders van phpBB forum software maken er een potje van. Honderd procent van de geteste installaties is kwetsbaar voor aanvallers. In het geval van Mediawiki (95%), Joomla! (92%), MovableType (91%), phpMyAdmin (85%), Moodle (74%), Drupal (70%) en SPIP (65%) zijn de resultaten niet veel beter. Alleen WordPress heeft de zaken goed voor elkaar, aangezien daar vier procent van de aangetroffen versies lek was. De reden hiervoor is dat de installatie eenvoudig is te updaten. Wij bieden standaard update- en backup-services aan. Veiligheid is onze topprioriteit!
De eerste stap in een aanval is het achterhalen of de website Joomla draait, iets wat eenvoudig te doen is. De volgende stap is het vinden van de juiste exploit. MaXe verwijst naar BackTrack, waar ooit een tool aanwezig was genaamd “hax0r 1t n0w”, die verschillende geautomatiseerde aanvallen uitvoerde. “Ik maakte er geen echt gebruik van, maar vond het grappig om te hebben. Tenslotte werkte het wel, net zoals deze tool die ik net heb geschreven.”
De Joomla Addon Attack Tool kan kwetsbare uitbreidingen vinden en die vervolgens aanvallen om aanvallers volledige controle over het systeem te geven.
Wil je meer weten over hoe wij websites bouwen met WordPress of wilt u een in-company lezing over wat WordPress voor uw organisatie kan betekenen? Geef mij dan s.v.p. een belletje of vul bijvoorbeeld het Bel-Mij-Terug-formulier in >>
Met veilige groet,
Martin Planken
Volg ons op Twitter @Topshelf_Media
Schrijf je in voor de nieuwsbrief van Topshelf Media >>
Bronnen: www.security.nl
http://security.nl/artikel/34013/1/85%25_phpMyAdmin_installaties_zo_lek_als_een_mandje.html
http://security.nl/artikel/34772/1/%22Joomla_kwetsbaarste_CMS_ooit%22.html