Wir möchten klarstellen, dass wir auch am Freitag keine Webseiten löschen werden.
Joomla! 1.5 Seiten werden auch nach dem Freitag, 1.3.2013 administrierbar bleiben. Wir haben uns die Vorgänge seit mehreren Wochen angesehen und deutliche Angriffsmuster gefunden.
Viele der Negativkommentare zu unserem Vorgehen zielen auf die knappe Zeit ab, die zur Verfügung steht, um eine Migration anzustoßen. Wir möchten dazu nochmal bemerken: Die Unterstützung der Entwicklercommunity lief im September 2012 ab. Bei nahezu jedem Hinweis auf neue Versionen, die wir auch im Rahmen des clickStart-Features geben, haben wir auf die Notwendigkeit hingewiesen, Scripts upzudaten.
In Fällen wie PHP-Updates haben wir Wochen und Monate vorher die Umstellung angekündigt und Rückfalloptionen gegeben, dennoch waren viele Sites am Tag X einfach nicht vorbereitet.
Nun hat unsere Kommunikation ja ein breites Feedback ausgelöst, wobei einige Kommentatoren dies zum Anlass nahmen, das nötige Update (Joomla! 1.5 wird nicht mehr weiterentwickelt) anzugehen.
Andere reagierten mit dem Hinweis, dass ja “nur” die Komponente JCE die Angriffe ermöglicht. Das kann sein, aber auch diese Lücke ist nicht erst seit gestern bekannt und hätte – mit wenig Aufwand – schon lange geschlossen werden können. Wir können und werden keine isolierten Zugriffe auf einzelene Dienste oder Dateien unterbinden. Die zu erwartenden Seiteneffekte sind einfach zu unüberschaubar. Dies liegt auch auf einer Linie mit unserer eigenen Produktpolitik, Webseitenbetreibern möglichst viel Gestaltungsspielraum zu lassen und auch in günstigen Paketen keine sonderlichen Beschränkungen einzubauen. Dafür müssen wir aber auch sicherstellen, dass sichere Skripte eingesetzt werden.
Wir prüfen das Vorgehen intern noch einmal und beraten, wie man die Abwehr der Hackangriffe möglichst kundenfreundlich abwehren kann, es wird aber kein Weg daran vorbei führen, bestehende Joomla! 1.5 Installationen upzudaten.