Seit Beginn dieses Jahres beobachten wir zahlreiche Angriffe auf veraltete Joomla-Installationen auf unseren Webservern. Betroffen sind alle Joomla-Installationen, die noch nicht den aktuellen Versionszweig 3.6 nutzen. Sämtliche dieser älteren Versionen werden nicht mehr von den Joomla-Entwicklern unterstützt und weisen diverse kritische Sicherheitsprobleme auf, die nicht mehr durch Updates behoben werden. Angreifer können so beispielsweise Ihre Webseiten mit JavaScript-Schadcode versehen oder in Ihrem Namen Spam versenden. Bisherige Angriffe auf ältere Joomla-Installationen wurden meistens durch unsere Webserver-Firewall abgewehrt, doch in den aktuellen Fällen ist es den Angreifern gelungen, unsere Schutzmaßnahmen zu überwinden und so die Sicherheitslücken in Joomla auszunutzen.
Leider ist eine Aktualisierung älterer Joomla-Installationen sehr Aufwändig, häufig treten dabei auch Probleme auf. Falls Ihre Joomla-Installation nach einem Update nicht mehr funktioniert, können sie ein Backup vom Webspace und der MySQL-Datenbank einspielen.
Joomla 1.0 und 1.5 aktualisieren
Ein Update der Versionen 1.0 und 1.5 auf 3.6 ist leider nicht so einfach möglich, da beim Schritt vom Version 1.5 auf 1.6 diverse nicht abwärtskompatible Änderungen an Joomla vorgenommen wurden, so lassen sich etwa bestehende Templates nicht mehr weiter nutzen. In diesem Fall ist eine aufwändige Migration der alten Daten in eine neue Joomla-Installation mithilfe von kostenpflichtigen Extensions erforderlich. Aufgrund der Vielzahl an möglichen Problemen bei der Migration empfiehlt es sich, einen spezialisierten Joomla-Dienstleister mit dem Update zu beauftragen. Aufgrund des hohen Aufwandes kann es in vielen Fällen sinnvoller sein, eine neue Webseite mit der aktuellen Joomla-Version oder einem anderen Content-Management-System wie WordPress aufzusetzen.
Falls Sie trotz der möglichen Probleme ein Update von Joomla 1.5 selbst vornehmen möchten, empfehlen wir, zunächst eine Neuinstallation von Joomla in Version 2.5 vorzunehmen, und die Daten aus der alten Joomla-Installation dann mittels der kostenlosen Extension redMigrator in die neue Installation zu importieren (der Zwischenschritt auf Joomla 2.5 ist notwendig, da die Extension unter neueren Joomla-Versionen nicht mehr funktioniert). Abschließend können Sie die neue Joomla-Installation dann wie oben beschrieben auf die aktuelle Version 3.6 aktualisieren.
Joomla 1.6 und neuer aktualisieren
Falls Sie Joomla in Version 1.6 nutzen, prüfen Sie zunächst, ob Ihre Joomla-Installation bereits auf die letzte Version 1.6.6 dieses Versionszweiges aktualisiert wurde. Falls nicht, laden Sie ein passendes Patch-Package herunter, entpacken es und kopieren die Inhalte dann per (S)FTP in das Joomla-Installationsverzeichnis auf Ihrem Webserver. Danach können Sie Joomla über das Backend wie im Folgenden beschrieben updaten:
Falls Sie Joomla Version 1.6.6 oder neuer nutzen, können Sie die Updates per Web-Browser über das Joomla-Backend vornehmen. Beachten Sie bitte, dass dabei unter Umständen Kompatibilitätsprobleme mit Templates und Zusatzkomponenten von Drittanbietern auftreten können, vor dem Update müssen daher alle nicht mit Joomla 3.6 kompatiblen Erweiterungen von Drittanbietern deinstalliert werden. Eine detaillierte Anleitung zum Update finden Sie hier. Das Update erfordert unter Umständen mehrere Zwischenschritte, bis die aktuelle Version 3.6 erreicht ist.
Aktuelle PHP-Version nutzen
Manche Sicherheitslücken in PHP-Anwendungen wie Joomla lassen sich nur im Zusammenspiel mit veralteten PHP-Versionen ausnutzen. Wir empfehlen daher, eine möglichst aktuelles PHP ab Version 5.6 einzusetzen. PHP-Versionen älter als 5.6 sollten nur bei Kompatibilitätsproblemen genutzt werden. Eine Anleitung zur Auswahl einer PHP-Version finden Sie hier.
Sicherheits-Hotfixes für alte Joomla-Versionen
Falls ein sofortiges Update Ihrer Joomla-Installation nicht möglich ist, sollten Sie wenigstens die von den Joomla-Entwicklern empfohlenen Sicherheits-Hotfixes installieren.
Installation der Hotfixes für Joomla 2.5
Prüfen Sie zunächst, ob Ihre Joomla-Installation bereits auf die letzte Joomla 2.5 Version 2.5.28 aktualisiert wurde. Falls nicht, melden Sie sich als Administrator im Joomla-Backend an und nehmen dort unter “Joomla!-Aktualisierung” ein Update vor. Anschließend installieren sie die beiden Sicherheits-Hotfixes wie folgt:
Die Datei Joomla2.5.28-20161214PATCH.zip wird über den Joomla Extension Manager als Update-Paket installiert. Nach der Installation erfolgt automatisch ein Logout, es gibt keine weitere Rückmeldung, ob die Installation erfolgreich war.
Die Datei SessionHardening25v1.zip enthält aktualisierte Versionen der Dateien libraries/joomla/session/session.php und plugins/system/debug/debug.php. Entpacken Sie die ZIP-Datei auf Ihrem Rechner und übertragen Sie die entpackten Verzeichnisse dann per (S)FTP in die entsprechenden Verzeichnisse Ihrer Joomla-Installation auf dem Webserver.
Installation der Hotfixes für Joomla 1.5
Prüfen Sie zunächst, ob Ihre Joomla-Installation bereits auf die letzte Joomla 1.5 Version 1.5.26 aktualisiert wurde. Falls nicht, laden Sie ein passendes Patch-Package herunter, entpacken es und kopieren die Inhalte dann per (S)FTP in das Joomla-Installationsverzeichnis auf Ihrem Webserver. Anschließend installieren sie die beiden Sicherheits-Hotfixes wie folgt:
Die Datei UploadFix15v3.zip enthält aktualisierte Versionen der Dateien administrator/components/com_media/helpers/media.php und libraries/joomla/filesystem/file.php. Entpacken Sie die ZIP-Datei auf Ihrem Rechner und übertragen die entpackten Verzeichnisse dann per (S)FTP in das Hauptverzeichnis Ihrer Joomla-Installation auf dem Webserver.
Die Datei SessionFix15v2.zip enthält aktualisierte Versionen der Dateien libraries/joomla/session/session.php und plugins/system/debug/debug.php. Entpacken Sie die ZIP-Datei auf Ihrem Rechner und übertragen die entpackten Verzeichnisse dann per (S)FTP in das Hauptverzeichnis Ihrer Joomla-Installation auf dem Webserver.
