Joomla 3 end of life: waarom je website in 2026 risico loopt
Joomla 3 bereikte op 17 augustus 2023 officieel het einde van de levensduur (end of life). Lees je dit in 2026, dan draait je Joomla 3-website al bijna drie jaar zonder security-updates. Dat is geen theoretisch risico, maar een gedocumenteerd en steeds groter gevaar voor je bedrijf, je data en je bezoekers.
In dit artikel lees je precies wat end of life betekent voor je Joomla 3-website, waarom de urgentie elke maand toeneemt en welke opties je hebt.
Wat "end of life" werkelijk betekent
Wanneer het Joomla-project een versie tot end of life verklaart, stoppen er drie dingen definitief:
Geen security-patches meer. Elke kwetsbaarheid die na augustus 2023 wordt ontdekt en Joomla 3 treft, wordt voor die versie nooit meer verholpen. De kwetsbaarheden worden wel gepatcht in Joomla 5 en 6, en de details van elke fix worden openbaar gepubliceerd in het Joomla Security Centre. Dat betekent dat aanvallers exact kunnen nalezen hoe ze jouw versie kunnen misbruiken, en dat doen ze ook.
Geen bugfixes meer. Functionele problemen, compatibiliteitskwesties of softwarefouten in Joomla 3 worden nooit meer opgelost. Gaat er iets kapot, dan komt er geen officiële fix.
Geen compatibiliteitsupdates meer. Naarmate PHP zich ontwikkelt, MySQL verandert en webstandaarden vooruitgaan, wordt Joomla 3 niet bijgewerkt om ermee samen te werken. De kloof tussen wat je hostingprovider draait en wat Joomla 3 ondersteunt, wordt elke maand groter.
De risico's zijn niet theoretisch
Bekende kwetsbaarheden zijn openbaar
Sinds augustus 2023 zijn er meerdere beveiligingslekken bekendgemaakt die Joomla 3 treffen. Denk aan cross-site scripting (XSS)-kwetsbaarheden in diverse kerncomponenten, SQL-injectievectoren en kwetsbaarheden in bestandsuploads. Elke kwetsbaarheid staat in het Joomla Security Centre beschreven, met genoeg details voor elke bekwame aanvaller om er een exploit voor te ontwikkelen.
Initiatieven uit de community, zoals het Joomla 3.10.999-project, hebben onofficiële patches geleverd voor een deel van deze problemen, verspreid over 55 bestanden en 9 afzonderlijke XSS-kwetsbaarheden, naast andere securityfixes. Maar het toepassen van die patches vereist handmatig bewerken van bestanden op elke site, en ze dekken alleen kwetsbaarheden die bekend waren op het moment dat de patches werden gemaakt. Nieuwe kwetsbaarheden die na de release worden ontdekt, blijven onverholpen.
De ondersteuning voor PHP loopt af
Joomla 3 is gebouwd voor PHP 5.6 tot en met PHP 7.4. PHP 7.4 bereikte zijn end of life in november 2022. Hostingproviders verwijderen PHP 7.4 van hun servers, en zodra jouw provider dat doet, stopt je Joomla 3-website of wordt die gedwongen op een PHP-versie waarop ze nooit is getest.
Het is geen kwestie van of, maar van wanneer. Sommige providers hebben de overstap al gemaakt. Andere kondigen het aan. Zodra jouw provider overstapt, gaat je site stuk, vaak zonder waarschuwing en zonder eenvoudige oplossing.
Extensions sterven uit
Extensionontwikkelaars zijn verder gegaan. De populairste Joomla-extensions, zoals Akeeba Backup, HikaShop, AcyMailing, Kunena en RSForm Pro, hebben hun ontwikkeling allemaal verlegd naar Joomla 5 en 6. Hun Joomla 3-versies krijgen op zijn best minimaal onderhoud, en veel ontwikkelaars hebben hun laatste Joomla 3-update al uitgebracht.
Elke ongepatchte extension op je Joomla 3-site is een extra kwetsbaarheid. Draai je 20 extensions en krijgt geen daarvan security-updates, dan heb je 20 mogelijke toegangspoorten voor aanvallers, bovenop de kwetsbaarheden in de Joomla-kern.
AVG-aansprakelijkheid
Verzamelt je website persoonsgegevens, via contactformulieren, gebruikersregistraties, analytics of cookies, dan verwerk je persoonsgegevens onder de AVG. De verordening vereist "passende technische maatregelen" om die gegevens te beschermen. Een contentmanagementsysteem draaien dat al bijna drie jaar geen security-update heeft gehad, is in elke toezichthoudende toetsing bijzonder lastig te verdedigen als "passende technische maatregel".
Vindt er een datalek plaats op je Joomla 3-site dat te herleiden is tot een ongepatchte kwetsbaarheid, dan kunnen de gevolgen onder de AVG fors zijn: boetes tot 20 miljoen euro of 4% van de jaaromzet.
Gevolgen voor zoekmachines
Google kan gecompromitteerde websites in de zoekresultaten markeren met waarschuwingen als "Deze site is mogelijk gehackt." Zulke waarschuwingen verwoesten je doorklikratio en kunnen weken blijven staan, zelfs nadat het onderliggende probleem is opgelost. Jarenlange SEO-investeringen kunnen door één enkel beveiligingsincident worden weggevaagd.
Wat je zou moeten doen
Optie 1: upgraden naar Joomla 5 of 6 (aanbevolen)
De enige echte langetermijnoplossing is je website migreren naar een ondersteunde Joomla-versie. Joomla 5.4 is de huidige Long Term Support-release: stabiel, bewezen en volledig ondersteund. Joomla 6 is de nieuwste release, met de modernste functies en actieve ontwikkeling.
Migreren vanaf Joomla 3 is een gestructureerd proces. Het is geen one-click-update: de architectuur is tussen Joomla 3 en 4 veranderd, dus de migratie vereist het updaten of vervangen van extensions, het opnieuw opbouwen van je template en een zorgvuldige overdracht van data. Maar het resultaat is een moderne, veilige website op een ondersteund platform, met jarenlange updates in het verschiet.
Optie 2: community-patches toepassen (tijdelijk)
Kun je niet meteen migreren, dan pak je met de door de community geleverde security-patches (zoals het 3.10.999-project) een deel van de bekende kwetsbaarheden aan. Dit is een noodverband, geen oplossing: het koopt je tijd terwijl je je migratie plant, maar het verhelpt geen toekomstige kwetsbaarheden en lost het PHP-compatibiliteitsprobleem niet op.
Optie 3: niets doen (niet aanbevolen)
Een ongepatchte Joomla 3-website blijven draaien is een gok die elke maand slechter uitpakt. Hoe langer je wacht, hoe meer kwetsbaarheden zich opstapelen, hoe minder extensionontwikkelaars de compatibiliteit met Joomla 3 onderhouden en hoe lastiger het voor hostingproviders wordt om de PHP-versies te ondersteunen die Joomla 3 nodig heeft. Uiteindelijk dwingt iets je hand, en een noodmigratie na een hack of een hostingstoring is altijd duurder en stressvoller dan een geplande upgrade.
De kosten van wachten versus de kosten van upgraden
Een professionele migratie van Joomla 3 naar 5 of 6 voor een standaard zakelijke website begint vanaf 1.200 tot 1.500 euro. Complexe sites met maatwerkcomponenten, e-commerce of meertalige content kosten meer, maar de omvang en de prijs worden vooraf vastgesteld via een gratis site-audit.
Vergelijk dat met de kosten van een datalek: noodgedwongen incidentafhandeling, melding van het datalek bij de Autoriteit Persoonsgegevens, mogelijke AVG-boetes, omzetverlies tijdens downtime, schade aan je zoekposities en de reputatieschade van klanten moeten informeren dat hun gegevens mogelijk zijn gelekt. De upgrade is altijd goedkoper dan het lek.
Hoe wij kunnen helpen
Wij zijn gespecialiseerd in Joomla 3-migraties voor Europese bedrijven. Onze gratis site-audit onderzoekt je Joomla 3-installatie en levert binnen 24 uur een gedetailleerd rapport op: elke extension gecontroleerd op compatibiliteit, elk risico in kaart gebracht en een helder migratieplan met een offerte tegen vaste prijs.
Geen kosten. Geen verplichtingen. Geen verkooppraat. Gewoon een heldere technische beoordeling van Joomla-specialisten die precies begrijpen wat jouw site nodig heeft.