Joomla Sicherheitslücke Drittanbieter-Erweiterungen

Sie sollten nicht nur Ihr Joomla!-CORE aktuell halten. Oft bieten die eingesetzten Drittanbieter-Erweiterungen eine unnötige Sicherheitslücke und sollten daher auf dem Laufenden gehalten werden.
Versuchen Sie, die Anzahl der verwendeten Erweiterungen von Drittanbietern auf ein Minimum zu reduzieren. Installieren Sie nicht unnötig zusätzliche Tools, nur um sie zu testen. Löschen Sie die nicht verwendeten Komponenten von Drittanbietern und beobachten Sie regelmäßig Sicherheitswarnungen und Sicherheitsforen:

z.B. joomlaportal, joomla.org, Exploid-DB, joomlaos

Joomla-tmp-Verzeichnis

Prüfen Sie, ob der Joomla! temporäre Ordner öffentlich zugänglich ist. Setzen Sie die Rechte dementsprechend (chmod 755) und löschen Sie regelmäßig die Inhalte aus diesem Verzeichnis.

Joomla Sitzung (Session) Einstellungen

Überprüfen Sie Ihre Sitzungsdauer in Ihren Serverkonfigurationen. Sie finden diese unter Konfiguration/System. Die automatische Abmeldung, bei Inaktivität eines Benutzers sollte nach maximal 15 Minuten erfolgen.

Suchmaschinen-Freundliche URL's in Joomla

Überprüfen Sie, ob Sie Search Engine Friendly URLs aktiviert haben. Sie finden die Einstellungen im Joomla Backend unter "Konfigurationen". Um den URL-Rewrite nutzen zu können, muss allerdings die htaccess.txt Datei (nur bei einem Apache-Server) im Hauptverzeichniss der Joomla-Installation auf .htaccess umbenannt werden. Das gleiche betrifft die Datei web.config.txt. Diese muss bei einem ISS-7 Webserver in web.config umbenannt werden.

Joomla Rechteverwaltung

Achten Sie darauf, dass jeder Joomla Benutzer nur die Rechte bekommt, die er tatsächlich benötigt. Vergeben Sie daher die Super-Administratoren-Rechte nur für vertrauenswürdige Personen.
Bei zu vielen Administratoren Ihrer Joomla-Website ist es sehr schwierig den Überblick zu behalten und die Gefahren lassen sich nicht auf Anhieb erkennen. Administratoren oder Webmaster, nur vorübergehend an einer Website arbeiten, sollte der Zugang zum Backend auch tatsächlich nur verübergehend vergeben werden. Auch den Mitarbeiter von externen Webagenturen sollten nur die Rechte vergeben werden, die zum Ausführen des bestimmten Auftrages oder zur Contentpflege benötigt werden.

Verzichten Sie, wenn möglich, auf FTP! Über das Abhören von FTP-Zugangsdaten mit Hilfe von Trojanern wird sehr massiv gehackt. Bei vielen Providern kann ein Dateimanager verwendet werden, um Dateien auf den Server zu kopieren. Diesen können Sie anstatt von FTP verwenden.

Joomla HTACCESS Schutz

Auf das Anmeldeformular des Joomla-Backends kann jeder zugreifen und beliebig oft versuchen, sich einzuloggen. Um dies zu verhindern, setzen Sie einen .htaccess-Passwortschutz für das Verzeichnis "administrator". Somit ist eine zusätzliche Authentifizierung noch vor der Joomla-Anmeldung notwendig. Dieser Maßnahme ist sehr effektiv und schützt vor einer Vielzahl typischer Angriffe.

Joomla Korrekte PHP Servereinstellungen

Folgende Sicherheitseinstellungen werden vom Provider festgelegt und sollten bei einer Überprüfung der PHP-Einstellungen noch vor der Joomla Installation so aussehen:

  • register_globals OFF (deaktiviert)
  • allow_url_fopen OFF (deaktiviert)
  • allow_url_include OFF (deaktiviert)
  • open_basedir verwendet
  • safe_mode OFF (deaktiviert)

 

Joomla - sichere Passwörter verwenden
  • Nutzen Sie sichere Passwörter (mindest 8 Zeichen, gemischte Buchstaben, groß und klein geschrieben/Zahlen)
  • Verwenden Sie nie dieselben Passwörter für unterschiedliche Dienste (MySQL/Joomla Backend/ FTP)
  • Verändern Sie die Passwörter in regelmäßigen Abständen
  • Speichern Sie Ihr FTP-Passwort nicht in der Global Configuration
Joomla regelmäßige Backups

Erstellen Sie regelmäßig Backups von Ihrem System. Es gibt viele Möglichkeiten, die Daten Ihrer Website zu sichern:

  1. Manuell: Erstellen Sie ein Backup Ihrer MySQL-Datenbank und sichern Sie das Dump zusätzlich auf Ihrem Computer. Kopieren Sie alle Daten Ihrer Joomla-Installation über FTP auf Ihren Rechner.
  2. Mit Hilfe Ihres Providers: Manche Provider bieten verschiedene Tools um Ihre Website-Daten regelmäßig zu sichern. Schauen Sie auf der Website Ihres Providers nach ob in Ihrem Hosting-Paket auch ein Backup-Tool enthalten ist.
  3. Mit einer Komponente: Für Joomla gibt es eine Vielzahl von Backup-Komponenten wie Akkeba Backup, die ein vollständiges Backup Ihrer Website in verschiedenen Vormaten erstellen können.

Ob Sie täglich, Wöchentlich oder einmal im Monat ein Backup erstellen sollten hängt meist davon ab, wie oft Sie neue Inhalte in Ihre Website eingeben. Wichtig ist, dass Sie nicht das letzte Backup mit einem neuen Überschreiben sondern eine Mehrzahl von Backups aufheben. Somit können Sie sicher gehen, dass Sie kein backup mit nicht infizierten Daten durch ein inviziertes überschreiben.

Die Verzeichnisse einer Joomla Installation sollen auf chmod 755 und Dateien auf chmod 644 gestellt werden.

Folgende Dateien brauchen die Leserechte chmod 444:

  • index.php
  • configuration.php
  • /administrator/index.php
  • /templates/Ihr Template/index.php
  • Alle „.htaccess"-Dateien
  • Alle Dateien mit der Endung „.css"

Sollte jemand tatsächlich noch eine Website mit der schon längst überfälligen Joomla! Version 1.5 betreiben, sollten zusätzlich folgende Dateien auf chmod 444 gestellt werden:

  • index2.php
  • /administrator/index2.php
  • /administrator/index3.php
Joomla: Verstecken Sie die configuration.php-Datei

Um die configuration.php möglichst vor dem Auslesen der Daten abzusichern, ist es sinnvoll diese aus dem root-Verzeichnis in ein darüberlegenes und nicht zugängliches Verzeichnis zu verschieben. Damit das System die Datei findet sollten folgende Änderungen vorgenommen werden:

Ändern Sie den Pfad zur configuration.php in den folgenden Dateien:

  • includes/defines.php
  • admin/includes/defines.php

Hier folgende Zeilen ändern:

ALT: define( 'JPATH_CONFIGURATION',     JPATH_ROOT.DS );

NEU: define( 'JPATH_CONFIGURATION',     JPATH_ROOT.DS.'..'.DS.'NEUER ORDNERNAME' );