Wenn du eine Joomla Website betreibst solltest du dir ein paar Gedanken um die Sicherheit machen!

Beliebte Content Management Systeme wie Joomla geraten leider auch immer wieder in das Visier von Hackern. Diese wollen vor allem massenhaft Spam-Mails verteilen und das schadet deinem Webserver, deiner Domain oder IP durch Blacklists und vor allem deinen Nerven. Aber nicht nur Spam-Mails sind das Ziel sondern auch das verbreiten von Viren, das klauen von Passwörtern, das weiterleiten auf gewinnbringende Urls oder das stilllegen der Website kann der Grund für einen Hackangriff sein.

All das willst du nicht! Deshalb haben wir ein paar Hinweise und Tipps für dich zusammengefasst welche du bei der Administration von Joomla beachten solltest.

 

Sicherer Webserver

Mod Security oder Naxsi

Fangen wir bei der Sicherheit des Webservers an. Bei einem Shared Webhosting oder einem Managed Server wird sich der Webhoster sicherlich um die entsprechenden Sicherheitspakete Kümmern, solltest du allerdings einen eigenen Rootserver nutzen, dann sollte eine WAF (Web Application Firewall) installiert sein. Für einen apache gibt es hier modsecurity und für nginx naxsi.

Auch wenn eine WAF die Geschwindigkeiten der Website reduziert, sollte man die Sicherheit des Webservers immer vorziehen. Neben der WAF musst du dich bei einem Rootserver selber um alle Sicherheitsupdates kümmern und den Server administrieren.

htaccess Zugriffsschutz

Nach der Joomla Installation solltest du dir einen zusätzlichen Zugriffsschutz für das Backend (Administrationsoberfläche) erstellen. Ein htaccess Schutz kann entweder direkt über das Kundeninterface des Webhosters oder manuell über eine .htaccess Datei erstellt werden.

Der Schutz sollte für den gesamten Pfad „/Administrator“ gelten und andere Logins als der Joomla Administrator besitzen.

Backup und Restore

Ein ordentliches Backup erspart dir im Fall eines Hacks viel Zeit und Nerven. Bei einigen Webhostern ist ein automatisiertes Backup mit ein paar Klicks einstellbar und auch einWiederherstellen der Dateiebene und Datenbanken ist über Scripte schnell zu erledigen.

Sollte dein Hoster kein Backup anbieten, musst du dich selber darum kümmern. Hierzu kannst du ein Datei- und Datenbank Backupscript nutzen welches es bereits zahlreich im Netz gibt oder du nutzt eine Joomla Komponente mit Disaster Recovery Funktion, falls auch der Zugriff auf das Backend nicht mehr möglich sein sollte. Akeeba bietet hier eine gute Lösung.

Die Backups sollten in einem nicht öffentlichen Bereich des Server gespeichert werden.

 

Joomla Konfigurationen

Neben der Sicherheit auf dem Webserver solltest du einige Dinge bei der Konfiguration von Joomla beachten.

FTP Logindaten

FTP Login Daten solltest du am besten nicht in Joomla speichern sofern dies nicht zwingend benötigt wird. Wir die FTP Upload Funktion benötigt, solltest du hier einen speziellen Login für Joomla mit sicherem Passwort anlegen und dieses Login auch nur hier verwenden. Im Access Log des Servers kannst du so schneller herausfinden über welchen FTP Login Dateien hochgeladen wurden.

Dateiberechtigungen

Über das Joomla Backend können die Dateiberechtigungen überprüft werden. Allerdings solltest du der configuration.php im Joomla Verzeichnis besser die Rechte 444 geben.

Über eine FTP Programm können die Dateiberechtigungen recht einfach gesetzt werden. Die Berechtigungen der 755 solltest du niemals in einer Liveumgebung nutzen. Hier ist immer 644 oder 444 zu empfehlen.

Beachte aber, dass die configuration.php Datei mit der Berechtigung 444 nicht mehr beschreibbar ist. Konfigurationen an Joomla müssen dann direkt in der Datei vorgenommen werden. Auch bei dem erneuten Upload auf den Webserver müssen die Berechtigungen zuvor erst wieder auf 644 geändert werden um die Datei überschreiben zu können.

Dies ist etwas umständlich aber du solltest die Daten (Datenbank und FTP Login) in der configuration.php gut schützen.

Updates und Wartung

Für Joomla werden regelmäßig Sicherheitsupdates veröffentlicht, welche du umgehend installieren solltest. Durch die Beliebtheit von Joomla steigt auch das Interesse möglicher Hacker und entdeckte Schwachstellen werden umgehend ausgenutzt.

Sofern die E-Mail Benachrichtigung in Joomla aktiviert ist, erhältst du bei neuen Updates eine E-Mail zugesandt. In der Regel geschieht dies beim Aufrufen der Website durch einen Besucher, hier wird überprüft ob Joomla in der aktuellen Version genutzt wird.

Footprints vermeiden

Um sogenannte Footprints zu vermeiden, sollte nicht jeder deiner technisch visierten Besucher gleich erkennen, dass es sich um ein Joomla CMS handelt.

Neben dem htaccess Schutz der Administration solltest du die URL-Rewrite Option in der Joomla Konfiguration aktivieren. Im Quellcode deiner Website wird Joomla als verwendetes System ausgegeben, dies kann meist über das verwendete Template oder ein Modul im JED (Joomla Extensions Directory) deaktiviert werden.

Standartlogin ändern

Joomla nutzt als Standartlogin den Benutzernamen Admin. Mache es einem Angreifer nicht zu einfach und wähle lieber einen alternativen Benutzernamen für den Administrator. Dass das zugehörige Passwort nicht 1234 oder Admin lauten sollte, ist selbstverständlich.

Editor Einstellungen und Textfilter

Für den genutzten Editor in Joomla solltest du definieren welche Benutzergruppe besondere Berechtigungen erhalten. Dies sind als Beispiel die Verwendung von iFrame oder ungefiltertes HTML, welches beide nur den Administratoren gestattet sein sollte.

Hier gibt es einmal in der Joomla Konfiguration entsprechende Textfilter und im Tiny Editor Plugin weitere Konfigurationsmöglichkeiten.

E-Mail Spam

Um den Versand von ungewollten E-Mails über dein System zu vermeiden solltest du neben den bisherigen Sicherheitsmaßnahmen Systemplugins wie „Weiterempfehlen“ deaktivieren (notfalls deinstallieren). Die in Joomla hinterlegte E-Mail Adresse sollte sonst nirgends verwendet werden und statt PHP Mail könntest Du in der Joomla Konfiguration eine alternative Authentifizierung wie SMTP wählen.

Eine kleine Sicherheit kannst du noch auf dem Webhosting vornehmen, und zwar die Deaktivierung von PHP-Mail als auch das Setzen eines Limits für die E-Mail-Versendung. Ein regelmäßiger Blick in die Mail-Warteschlange auf dem Webserver schadet natürlich auch nie.

 

Tipps zur Sicheheit mit Joomla

Als weiteren Bereich noch ein paar Hinweise für den sicheren Umgang mit Joomla und allem was dazu gehört.

Joomla sauber halten

Weniger ist mehr! Erfahrungsgemäß trifft dies absolut bei der Installation von Komponenten, Modulen und Plugins in Joomla zu. Je mehr installiert ist, je mehr gibt es zu warten und je komplexer wird das System.

Bei der Auswahl der Erweiterungen solltest du auf Quellen erfahrener Joomla Entwickler vertrauen.

Optional bietet es sich an, komplexe Projekte auf mehrere Joomla Instanzen aufzuteilen. Somit wird eine einzige Installation nicht zu überladen und kann besser gewartet und analysiert werden.

Joomla Firewall

Als zusätzliche Sicherheit von Joomla gibt es zwei oder drei gute Joomla Firewalls im JED welche neben erkannten Schwachstellen in Erweiterungen auch diverse Hackversuche blocken und protokollieren. Eine Investierung in solch eine Erweiterung ist auf jeden Fall empfehlenswert.

Backlinks überprüfen

Klingt erstmal seltsam? Ist es aber nicht. Viele gehackten Websites haben irgendwo eine Datei liegen, welche von dem Angreifer hochgeladen wurde. Dieser will seine Fähigkeiten in diversen Foren womöglich mitteilen und setzt einen Backlink zu der Website.

Lokale Passwörter

Auch dein lokales System (PC, Mac, Tablet …) sollte sicher sein. Neben einem ausreichenden Schutz, sollten auch hier keine Passwörter der Joomla Installation im Klartext abgelegt sein. Nutze einen Passwortmanager und achte darauf, dass auch deine Software keine Passwörter speichert.

Aktuell speichert der FTP Client Filezilla alle gespeicherten Verbindungen mit Passwort im Klartext ab. Es gibt entsprechende Anleitungen im Netz dies umzustellen, allerdings sollte man sich hierüber bewusst sein.

Generell solltest du immer sichere Passwörter nutzen.

 

 

 

10 Jahre Joomla-Kompetenz