Joomla en het lekkende mandje
Onlangs in het nieuws:
http://www.nu.nl/internet/2053045/hacker-tegen-wilders-verandert-tientallen-sites.html
en het lijstje met de gehackte sites: http://www.zone-h.org/archive/defacer=aLpTurkTegin
Het ging hier om een 'defacement' oftewel het bekladden van de gehackte site door een Turkse hacker, die op de sites een fotosjop van Wilders als aap had gezet. En toen ging er bij mij een klein belletje rinkelen.
Ik kon me namelijk nog herinneren dat ik Vorig jaar al eens gewaarschuwd werd door een collega: 'Jij gebruikt toch ook Joomla?'
Er bleek een ernstig veiligheidslek in Joomla te zijn ontdekt waar Turkse hackers misbruik van maakten; ik moest meteen de nieuwste update installeren volgens hem. Ik ben direct gaan kijken waar het lek zat, en het was er een waar je direct mee naar de kelder gaat: in het 'wachtwoord-vergeten' scherm kon een willekeurige bezoeker de achterliggende database code aanpassen, de beruchte 'SQL injectie', waardoor hij het administrator password kon wijzigen, om vervolgens dus alle rechten op de site te krijgen. (voor de liefhebbers: hier staat hoe dat ging: http://www.milw0rm.com/exploits/6234)
Dit werkte trouwens alleen bij sites waar de gebruikersaccount van de administrator nog op de standaardnaam 'admin' stond. Bij sites voor anderen die ik beheer, pas ik dit altijd aan. Maar bij mijn eigen site had ik dit, uit luiheid, nog niet gedaan. Maar mijn collega is een beter mens dan ik: hij had de hack niet eens uitgeprobeerd.
Toen ik dit keer het lijstje met gehackte sites eens naliep, bleek al snel dat ook nu het allemaal sites waren die als CMS Joomla gebruiken. Hieruit trok ik de conclusie dat in dit geval alleen toegang is verkregen tot het content management gedeelte. Blijkbaar is het dus makkelijk om toegang te krijgen tot met Joomla beheerde sites.
Hoe zou dat kunnen komen?