Aviso de Joomla en fin de vida
Si recibió un correo electrónico mío que le remite a esta página, es porque su sitio web parece estar ejecutando una versión de Joomla en fin de vida, el sistema de gestión de contenidos sobre el que está construido su sitio. Esta página explica por qué importa y cómo corregirlo.
¿Es legítimo este mensaje?
Sí. Se trata de un aviso de buena fe, según el principio de la divulgación responsable, de un investigador de seguridad independiente. No le pido dinero, contraseñas ni acceso a su sitio, y no he intentado entrar en él ni explotar nada.
Lo único que hice fue leer un archivo público que su sitio web ofrece a cada visitante, un manifiesto de versión de Joomla, y anotar el número de versión que publica. Esta es la misma parte pública de su sitio que su página de inicio. Nada en esta comprobación toca sus datos, su área de administración ni ninguna parte privada de su sitio. Si mi correo mencionaba una versión o un problema de seguridad concretos, eso proviene de la lectura de ese único archivo público, no de probar nada.
Si desea verificar quién soy, consulte los datos de contacto al final de esta página y la página Acerca de.
Por qué importa
Joomla 3.x alcanzó su fin de vida el 17 de agosto de 2023. Las ramas anteriores (2.5, 1.5) alcanzaron el fin de vida años antes. Fin de vida significa que el proyecto Joomla ya no publica correcciones de seguridad para esa rama en absoluto, ni siquiera para vulnerabilidades graves y públicamente conocidas. Los nuevos fallos que se descubren después de la fecha de fin de vida simplemente nunca se corrigen para su versión.
Los atacantes rastrean activamente internet en busca de sitios que ejecutan estas versiones sin soporte, porque las vulnerabilidades están bien documentadas y son fáciles de encontrar. Entre los resultados habituales están la desfiguración del sitio web (sus páginas reemplazadas o alteradas), la inyección de spam y el uso del sitio para alojar contenido malicioso. Si mi correo citaba un CVE concreto, significa que la versión que informa su sitio cae dentro del rango que ese problema afecta de forma conocida. No he probado si su sitio concreto es explotable, solo que informa de una versión afectada.
La buena noticia: pasar a una versión con soporte cierra estas brechas, y existe una vía de actualización bien documentada.
Ejemplos de vulnerabilidades conocidas
Estas son algunas de las vulnerabilidades de alta gravedad, públicamente documentadas, que afectan a las ramas de Joomla 3.x (y anteriores) en fin de vida. Dado que estas versiones no tienen soporte, problemas como estos nunca se corrigen, y los detalles técnicos están ampliamente publicados:
- CVE-2015-8562: ejecución remota de código sin autenticación mediante inyección de objetos PHP, que afecta a Joomla 1.5.x hasta 3.4.5. Fue explotada activamente en la práctica.
- CVE-2017-8917: inyección SQL crítica (CVSS 9.8) en Joomla 3.7.0.
- CVE-2016-8869: escalada de privilegios crítica (CVSS 9.8) a través del componente de registro de usuarios, en versiones anteriores a 3.6.4.
- CVE-2016-8870: creación de cuentas no autorizada incluso cuando el registro está deshabilitado, en versiones anteriores a 3.6.4.
- CVE-2015-7857: inyección SQL en el componente de historial de contenido, que afecta a Joomla 3.2 hasta 3.4.4.
Si mi correo citaba un CVE concreto, será uno como estos: un problema públicamente conocido cuyo rango de versiones afectadas incluye la versión que informa su sitio.
Cómo comprobar su versión
No tiene que creer en mi palabra sobre qué versión está ejecutando.
Desde el manifiesto público (sin necesidad de iniciar sesión): abra
sudominio.com/administrator/manifests/files/joomla.xml en un navegador. La línea
<version> es la versión autoritativa del núcleo, y este es el mismo archivo que leí.
Desde el área de administración (si tiene acceso):
- Inicie sesión en su administración de Joomla (normalmente en
sudominio.com/administrator). - Abra Sistema y luego observe el panel de Información del sistema / panel principal, que muestra la versión de Joomla.
Si la versión principal es 3, 2.5 o 1.5, está en una rama en fin de vida y debería actualizar.
Cómo actualizar
Las versiones principales actualmente con soporte son Joomla 4 y Joomla 5. Haga siempre primero una copia de seguridad (archivos y base de datos) antes de realizar cambios; la mayoría de los proveedores de alojamiento ofrecen copias de seguridad con un solo clic, o puede usar una extensión de copia de seguridad de Joomla.
La vía recomendada desde Joomla 3 es:
- Actualice primero al último Joomla 3.10.x. La serie 3.10 incluye una comprobación previa a la actualización integrada (en el componente Actualización de Joomla) que señala cualquier extensión o plantilla que aún no sea compatible con Joomla 4.
- Resuelva las extensiones/plantillas incompatibles que informe. Actualícelas a versiones compatibles con Joomla 4/5, o busque reemplazos.
- Ejecute la migración a Joomla 4 y luego actualice más adelante a Joomla 5, desde Componentes → Actualización de Joomla en la administración.
- Los enlaces de descarga y la versión actual están siempre en el proyecto oficial: https://downloads.joomla.org.
- Después de actualizar, confirme la nueva versión con los pasos anteriores y compruebe que su sitio carga y se edita con normalidad.
Si su sitio es muy antiguo (Joomla 1.5 o 2.5), el salto es mayor y a menudo se hace mejor como una construcción nueva de Joomla 5 con su contenido migrado. Un profesional web puede hacerlo rápidamente.
Ya que está en ello, actualice también sus extensiones y su plantilla, ya que el mismo principio de “sin soporte significa sin parches” se aplica a todas ellas.
No tengo webmaster / estoy atascado
Si usted no es la persona que mantiene el sitio, reenvíe esta página a quien lo haga (su desarrollador web, agencia o proveedor de alojamiento). Reconocerán los pasos anteriores con rapidez.
Si mantiene el sitio usted mismo y se atasca, con gusto le ayudo a orientarse en la dirección correcta sin coste alguno. Póngase en contacto usando los datos de abajo.
Contacto
Evan Harris, investigador de seguridad
- Correo electrónico: security@mail.mcpsec.dev
- X: @Evan__Harris
- GitHub: eharris128
- LinkedIn: Evan Harris
Me pongo en contacto por problemas como este únicamente para ayudar a los operadores a asegurar sus sitios. Si prefiere que no se le vuelva a contactar, simplemente dígamelo y lo respetaré.
Referencias
Fuentes oficiales de Joomla
- Hoja de ruta de desarrollo del CMS Joomla (política de soporte y fin de vida: cada versión principal tiene soporte durante al menos cuatro años)
- Joomla Developer Network: hoja de ruta de versiones (versiones principales actualmente con soporte)
- Anuncio de Joomla que confirma que el soporte de seguridad de Joomla 3.10 finalizó el 17 de agosto de 2023
- Requisitos técnicos de Joomla (para las versiones actualmente con soporte)
Resumen de terceros
- endoflife.date: Joomla (tabla consolidada de las fechas de fin de vida de Joomla)