Designagentur München - bioculture GmbH

Umsetzung der Spendenaktion-Landingpage für die Adventsverlosung von YoungWings.

Verzichten Sie, wenn möglich, auf FTP! Über das Abhören von FTP-Zugangsdaten mit Hilfe von Trojanern wird sehr massiv gehackt. Bei vielen Providern kann ein Dateimanager verwendet werden, um Dateien auf den Server zu kopieren. Diesen können Sie anstatt von FTP verwenden.

Auf das Anmeldeformular des Joomla-Backends kann jeder zugreifen und beliebig oft versuchen, sich einzuloggen. Um dies zu verhindern, setzen Sie einen .htaccess-Passwortschutz für das Verzeichnis "administrator". Somit ist eine zusätzliche Authentifizierung noch vor der Joomla-Anmeldung notwendig. Dieser Maßnahme ist sehr effektiv und schützt vor einer Vielzahl typischer Angriffe.

Prüfen Sie, ob der Joomla! temporäre Ordner öffentlich zugänglich ist. Setzen Sie die Rechte dementsprechend (chmod 755) und löschen Sie regelmäßig die Inhalte aus diesem Verzeichnis.

Folgende Sicherheitseinstellungen werden vom Provider festgelegt und sollten bei einer Überprüfung der PHP-Einstellungen noch vor der Joomla Installation so aussehen:

• register_globals OFF (deaktiviert)
• allow_url_fopen OFF (deaktiviert)
• allow_url_include OFF (deaktiviert)
• open_basedir verwendet
• safe_mode OFF (deaktiviert)

Die Verzeichnisse einer Joomla Installation sollen auf chmod 755 und Dateien auf chmod 644 gestellt werden.

Folgende Dateien brauchen die Leserechte chmod 444:

• index.php
• configuration.php
• /administrator/index.php
• /templates/Ihr Template/index.php
• Alle „.htaccess"-Dateien
• Alle Dateien mit der Endung „.css"

Sollte jemand tatsächlich noch eine Website mit der schon längst überfälligen Joomla! Version 1.5 betreiben, sollten zusätzlich folgende Dateien auf chmod 444 gestellt werden:

• index2.php
• /administrator/index2.php
• /administrator/index3.php

• Nutzen Sie sichere Passwörter (mindest 8 Zeichen, gemischte Buchstaben, groß und klein geschrieben/Zahlen)
• Verwenden Sie nie dieselben Passwörter für unterschiedliche Dienste (MySQL/Joomla Backend/ FTP)
• Verändern Sie die Passwörter in regelmäßigen Abständen
• Speichern Sie Ihr FTP-Passwort nicht in der Global Configuration

Sie sollten nicht nur Ihr Joomla!-CORE aktuell halten. Oft bieten die eingesetzten Drittanbieter-Erweiterungen eine unnötige Sicherheitslücke und sollten daher auf dem Laufenden gehalten werden.
Versuchen Sie, die Anzahl der verwendeten Erweiterungen von Drittanbietern auf ein Minimum zu reduzieren. Installieren Sie nicht unnötig zusätzliche Tools, nur um sie zu testen. Löschen Sie die nicht verwendeten Komponenten von Drittanbietern und beobachten Sie regelmäßig Sicherheitswarnungen und Sicherheitsforen:

z.B. joomlaportal, joomla.org, Exploid-DB, joomlaos

Überprüfen Sie Ihre Sitzungsdauer in Ihren Serverkonfigurationen. Sie finden diese unter Konfiguration/System. Die automatische Abmeldung, bei Inaktivität eines Benutzers sollte nach maximal 15 Minuten erfolgen.

Verein Stadtteilarbeit e.V. freut sich über einen neuen Internetauftritt und einen schnelleren Server.

Überprüfen Sie, ob Sie Search Engine Friendly URLs aktiviert haben. Sie finden die Einstellungen im Joomla Backend unter "Konfigurationen". Um den URL-Rewrite nutzen zu können, muss allerdings die htaccess.txt Datei (nur bei einem Apache-Server) im Hauptverzeichniss der Joomla-Installation auf .htaccess umbenannt werden. Das gleiche betrifft die Datei web.config.txt. Diese muss bei einem ISS-7 Webserver in web.config umbenannt werden.

Um die configuration.php möglichst vor dem Auslesen der Daten abzusichern, ist es sinnvoll diese aus dem root-Verzeichnis in ein darüberlegenes und nicht zugängliches Verzeichnis zu verschieben. Damit das System die Datei findet sollten folgende Änderungen vorgenommen werden:

Ändern Sie den Pfad zur configuration.php in den folgenden Dateien:

• includes/defines.php
• admin/includes/defines.php

Hier folgende Zeilen ändern:

ALT: define( 'JPATH_CONFIGURATION',     JPATH_ROOT.DS );

NEU: define( 'JPATH_CONFIGURATION',     JPATH_ROOT.DS.'..'.DS.'NEUER ORDNERNAME' );