(Dies ist der erste Teil der Artikelserie "Joomla absichern". Der zweite Teil folgt demnächst.)
Wozu Joomla absichern?
Bei Joomla sind logischerweise einige Sachen immer gleich: die Anmeldeseite zum Admin-Bereich, installierte Module & Erweiterungen und die Standard Templates. Ein Angreifer sammelt möglichst viele Informationen über Ihre Seite. So wird unter anderem nach bekannten Problemen und Angriffszielen gesucht. Damit ein Hacker eben nicht gleich so einfach an die Informationen kommt, die er haben möchte, sind ein paar Änderungen nötig. Nehmen Sie sich also eine Weile Zeit und setzen Sie die nachfolgenden Tipps um - denn wurde Ihr System erst einmal geknackt, brauchen Sie zur Wiederherstellung noch mehr Zeit als zur Umsetzung dieser Hinweise!
Sichere Passwörter
Sicherlich ein alter Hut, aber dieser gilt natürlich auch für Joomla. Verwenden Sie nur sichere Passwörter. Ebenfalls wäre es ratsam, den Login-Namen zu ändern. Der Nutzername des Administrators kann schon bei der Installation gewählt werden. Seien Sie clever und ändern Sie diesen Standardnamen! Das Sie für diesen Login dann auch ein sicheres Passwort nutzen sollten, versteht sich dabei von selbst.
Administrator Login absichern
Bei jeder Joomla Installation im Netz (oder zumindest bei den meisten) dürfte das Anmeldeformular für den Login-Bereich gleich aussehen. Ein ideales Angriffsziel!Versehen Sie Ihren Administrator Bereich mit einem sog. .htaccess Verzeichnissschutz. Im Kundenmenü zur Verwaltung Ihrer Webseite versteckt sich ein Menüpunkt "Verzeichnissschutz" oder "Rechte Verwaltung". Hier können Sie ein Passwort-Schutz für einen Ordner anlegen. Wählen Sie hier einen Nutzernamen und ein sicheres Passwort.
Rufen Sie nun die Adminseite auf, wird Ihr Browser Sie auffordern, einen Benutzernamen und ein Passwort einzugeben. Verfügen Sie nicht über solch ein Tool oder finden den Menüpunkt zum Anlegen nicht, so ist nachfolgend ein Beispiel für eine .htaccess Datei:
AuthType BasicDie Datei ".htpasswd" (also die Datei, wo das Passwort verschlüsselt gespeichert wird):
AuthName "Admin-Schutz"
AuthUserFile .htpasswd
Require user mustermann
mustermann:$1$MH8975MNOQPEine .htaccess Datei inkl. Passwortschutz können Sie zum Beispiel hier generieren lassen: fueralles.de/htaccess-generator.html. Sind die Dateien angelegt, laden Sie sie in den /administrator/ Ordner hoch.
Datei- und Verzeichnissrechte
Unter Unix Systemen (also das Betriebssystem des Servers, auf dem Ihre Webseite läuft) gibt es eine Dateirechte-Verwaltung. Diese sorgt dafür, dass nicht beliebig Dateien sowie Verzeichnisse ausgeführt bzw. ausgelesen werden können. Was es für eine Joomla Installation bedeuten würde, wenn alle Ordner ausgelesen werden könnten, brauche ich hier wohl nicht zu erwähnen.Setzen Sie daher immer die richtigen Dateirechte mit Ihrem FTP Programm:
Verzeichnisse: 0755Achten Sie darauf, dass man Erweiterungen besondere Dateirechte benötigen. Sie sollten jedoch immer auf "Alle lesen und schreiben (0777)" verzichten - das Sicherheitsrisiko ist u.U. sehr groß.
Dateien: 0644
0444 für folgende Dateien:
/administrator/index.php
/templates/TemplateName/index.php
index.php
configuration.php
.htaccess Dateien
.css Dateien
Erweiterungen und Kern immer aktuell halten
Halten Sie die Joomla Kerninstallation immer auf dem neuesten Stand. Die aktuelle Version wird im Admin-Interface oben rechts (z.B. 1.5.24) eingeblendet. Updates für Ihre Joomla-Installation erhalten Sie unter anderem unter JGerman.de. Doch nicht nur der Joomla Kern muss aktuell gehalten werden. Alle Erweiterungen, Plugins und Module müssen regelmäßig auf Aktualität geprüft werden. Zumindest unter Joomla 1.5 gibt es keine Komponente, die das von Haus aus erledigt. Unter Joomla 1.6 und 1.7 wurde dies ja ein wenig verändert/verbessert.Was bringt es also, wenn Ihr System auf dem neuesten Stand ist, wenn es Ihre Erweiterungen nicht sind? - Gar nichts!
