TinyMCE

TinyMCE

Deze blogpost  is geschreven door gastblog-schrijver en Byte partner René Kreijveld (www.renekreijveld.nl) waarvoor hartelijk dank!

We houden van veilige websites en zien daarom graag dat onze klanten gebruik maken van de meest recente versie van de gebruikte CMS en de daarop geïnstalleerde extensies. Upgrades van Joomla voeren klanten frequent door, maar vaak worden de geïnstalleerde 3th party extensies vergeten. Het gevolg is dat je een veilige Joomla CMS gebruikt met onveilige extensies. En juist via die onveilige extensies komen de hackers binnen. Het is daarom belangrijk dat je ook regelmatig de 3th party extensies van een upgrade voorziet. Daarom dit blog.

Joomla 1.5 end-of-life

Sinds het uitkomen van Joomla 3.0, heeft Joomla 1.5 de end-of-life status bereikt. Dat betekent dat er geen nieuwe updates en nog belangrijker, geen security fixes meer uitkomen. Nu gaan er op Internet meldingen rond dat Joomla 1.5 onveilig is. Ook de laatste versie, Joomla 1.5.26. Zie hiervoor onder andere de berichten hier en hier. De oorzaak zou kunnen liggen in een onveilige versie van TinyMCE, de What-You-See-Is-What-You-Get (wysiwyg) tekstverwerker die standaard met Joomla 1.5 wordt meegeleverd. Na wat onderzoek blijkt dat in Joomla 1.5.26 TinyMCE versie 3.2.6 van 19 augustus 2009 is geïnstalleerd. In softwareland is dat best oud…

Bezitters van Joomla 1.5 websites wordt geadviseerd om hun websites zo snel mogelijk te updaten naar Joomla 2.5 of 3.0. Toch is dat niet altijd meteen mogelijk en is het heel denkbaar dat je nog even verder moet met je 1.5 website.

Dat blijkt eenvoudiger dan gedacht. Je moet de volgende stappen doorlopen:

  1. Overstappen naar een andere WYSIWYG tekstverwerker
  2. De originele TinyMCE deactiveren
  3. De originele TinyMCE bestanden verwijderen

In vele security en optimalisatie-artikelen voor Joomla wordt geschreven over het depubliceren en/of verwijderen van extensies die niet gebruikt worden. Als je dus eenmaal een andere WYSIWYG tekstverwerker hebt geïnstalleerd, is het raadzaam om ook TinyMCE uit te schakelen. Maar omdat TinyMCE één van de core functionaliteiten van Joomla is, kan deze niet zonder meer verwijderd worden, wel gede-activeerd. In dit artikel leg ik je dan ook uit hoe je TinyMCE wel kunt verwijderen.

Overstappen naar een andere tekstverwerker

Een uitstekend alternatief voor TinyMCE is JCE, een zeer uitgebreide WYSIWYG tekstverwerker die gratis te downloaden is via www.joomlacontenteditor.net. JCE is beschikbaar voor Joomla 1.5 en 2.5 en vanaf eind oktober ook voor Joomla 3.0. JCE is zelf ook gebaseerd op TinyMCE, maar dan een veel nieuwere versie, namelijk versie 3.5.7 van 20 september 2012. Bovendien bevat JCE veel uitgebreidere functies voor het invoegen van links, afbeeldingen, tabellen etcetera. Daarnaast is JCE heel mooi uitbreidbaar met plugins. Deze plugins zijn niet gratis, maar voor de kosten van € 25,00 per jaar hoef je het niet te laten. Op alle websites van mijn klanten installeer ik dan ook standaard JCE.

Voordat je onderstaande stappen gaat uitvoeren maak je natuurlijk eerst een volledige backup van je website en de database…

Download eerst de laatste versie van JCE voor Joomla 1.5 via deze link. Het maakt daarbij niet uit of je de .tar.gz versie of de .zip versie neemt. In mijn geval heb ik het .zip-bestand gedownload. Download ook meteen het Nederlandse taalbestand, tenminste als je JCE in het Nederlands wil gebruiken. Sla de bestanden op in een map op je computer.

Vervolgens ga je JCE installeren. Dit doe je via de standaard installer. Je vindt die in de Joomla backend onder Extensies > Installeer. Kies het installatiebestand (com_jce_2284.zip) en klik op de knop Upload bestand & Installeer:

Installeer JCE

Installeer JCE

Als alles goed gaat krijg je daarna de melding dat de installatie gelukt is.

Optioneel: Nadat JCE is geïnstalleerd, installeren we meteen het Nederlandse taalbestand. Dat doe je niet via de Joomla installer, maar direct vanuit JCE. Ga hiervoor naar Componenten > JCE Administration > Install Add-ons. Kies het Nederlandse taalbestand en klik daarna op Install Package:

Installeer NL taal

Installeer NL taal

Daarna klik je in hetzelfde scherm JCE Administration >> Install Add-ons op de link Control Panel. Je ziet dan JCE in het Nederlands:

JCE Controlepaneel in het Nederlands

JCE Controlepaneel in het Nederlands

 

Als laatste moet je JCE als de standaard tekstverwerker instellen. Ga hiervoor naar Website > Algemene instellingen. Bij Standaard WYSIWYG tekstverwerker kies je voor Editor – JCE:

JCE standaard editor

JCE standaard editor

Sla de wijzigingen op door rechtsboven op Opslaan te klikken.

De originele TinyMCE de-activeren

Nu je JCE als standaard tekstverwerker hebt ingesteld kun je de originele TinyMCE deactiveren. TinyMCE is een zogenaamde editor plugin en die kun je beheren via pluginbeheer.

Ga in de Joomla backend naar Extensies > Pluginbeheer. Bij het typefilter rechtsboven kies je onder Selecteer type voor editors. Er verschijnt dan een lijst met geïnstalleerde editor plugins:

Joomla editor plugins

Joomla editor plugins

Klik in de regel waar TinyMCE staat (in bovenstaand voorbeeld regel 2) in de kolom Geactiveerd op het groene vinkje. Dit verandert dan naar een rood bolletje met wit kruis ten teken dat de plugin is gedeactiveerd. TinyMCE kan dan vanaf dat moment niet meer gebruikt worden in Joomla.

De originele TinyMCE bestanden verwijderen

Na het deactiveren van TinyMCE moeten de originele programmabestanden van TinyMCE nog worden verwijderd. Nadat je met SFTP of SSH bent ingelogd, navigeer je naar de map plugins/editors. Verwijder daar de volgende bestanden en map:

  • bestand tinymce.php
  • bestand tinymce.xml
  • map tinymce

Daarmee heb je alle stappen afgerond. Je hebt een nieuwe JCE tekstverwerker geïnstalleerd, TinyMCE gedeactiveerd en de programmabestaden van TinyMCE opgeruimd.

Nu kun je je in alle rust voorbereiden op een migratie naar Joomla 2.5 of 3.0. Succes!

Ook een gastblog schrijven voor Byte?

We vinden het erg leuk om interessante en informatieve blogposts van onze partners te ontvangen. Als je ook graag je kennis deelt in de vorm van een (niet commerciële) gastblog, laat het ons dan graag weten via support@byte.nl.

Scan je eigen Magento shop op veiligheidslekken