JOOMLA 4 sicher?

Was meinst du genau mit "Adressdaten hochladen"?

In welcher Form liegen diese dann vor? (PDF, Bild, direkt im Frontend als Text sichtbar)

Nur für registrierte User sichtbar?

Die Http Security-Header kann man natürlich anpassen. Das ist aber ein (großer) Thema für sich.

D.h. du nutzt die Newsletter-Komponente Acymailing. Und die Daten sollen von den Usern im Newsletter-Eintrage-Modul eingegeben werden (zusätzliche Felder)?

Oder bin ich da auf dem falschen Dampfer?

Empfehlenswert wäre es noch, einen Passwortschutz vor /administrator zu setzen.

Für maximale Sicherheit: Admintools Pro inkl. Firewall nutzen und damit eine sehr sichere .htaccess für das Hauptverzeichnis generieren (50,- net 1y subscription):

Admin Tools for Joomla!

Alternative: RSFirewall

RSFirewall! - Das modernste Sicherheitserweiterung für Joomla!®

Aber auch ohne diese beiden paid Extensions ist Joomla als sicher einzustufen, vorausgesetzt man hält sich an die allgemeinen Empfehlungen (komplexe Passwörter, sichere Hosting Umgebung).

Zitat von bembelimen

scheinbar hat ein Fehler in der Forensoftware meinen Beitrag deaktiviert, nur damit er nicht verloren geht.

Fehler in der Forensoftware? Der Beitrag trägt auch nicht das geringste zu Problemlösung bei, also unnötig. Hoffentlich tritt der Fehler noch einmal auf.

LG

Zitat von Gerald

Der Beitrag trägt auch nicht das geringste zu Problemlösung bei, also unnötig.

Jetzt wird's albern.

Ich sehe das wie Gerald. Ich lasse auch nicht mein Portemonnaie offen im Auto liegen, um Einbrüche zu provozieren.

Hat sich rgendwer hier mal den paranoiden Bericht oben durchgelesen? Um beim Auto zu bleiben: Die nahezu durchgehende Argumentation ist: Du hast keine gepanzerte Limousine. Ergo: Du hast ein unsicheres Auto, aus dem dir ggf. ein Portemonnaie geklaut werden könnte, wenn es irgendwo steht, wo es niemandem auffällt, wenn die Scheibe eingeschlagen wird oder du doof genug warst, deinen Schlüssel rumliegen zu lassen etc. Oder aus China, am Zoll vorbei, importierte Scheiben verwendest, auf der die Prüfsiegel Tippfehler haben...

Die netteste Stilblüte im Bericht ist der Hinweis, dass angeblich eine eventuelle Backup-Datei öffentlich zugänglich sei. Das ist dann die minifizierte metismenu-JavaScript. Ich kann nur mutmaßen, dass das verwendete Tool, das diesen Bericht erzeugte, nicht unterscheiden kann, dass heutzutage, wenn eben möglich, Joomla die bewusst beiliegenden *.gz-Dateien ausliefert oder das Tool eben in dieser Art weitgehenst Müll ist (wie viele solcher Tools in diversen anderen Bereichen).

BTW: Niemand lädt heutzutage mehr guten Gewissens eine Liste mit Nutzerdaten in ein System hoch, wenn nicht jeder einzelne Nutzer wenigstens früher schon mal sein Einverständnis via Double-OptIn gegeben hat oder sich selbst registriert hat oder allerwenigstens per PRIVATER Email sein Einverständnis gegeben hat oder ähnliches.

Da Newsletter-Systeme "bei Klick auf Link unten" die Daten nicht löschen, sondern lediglich deaktivieren, AcyMailing so, dass jedweder den Account wieder aktivieren kann (wenn man nicht umprogrammiert), der die betr. Email kennt. Außer der Administrator sperrt den Account komplett. Damit sind die Daten aber immer noch unerwünscht im System.

Und da macht ein pauschaler Webseiten-Scan überhaupt keinen Sinn. Da geht es in Bereiche expliziter Erweiterungslücken oder Serversicherheit u.v.a., weit abseits von der eigentlichen, öffentlich zugänglichen Webseite.

Ergo: Es geht darum, wie du mit diesen Daten umgehst, den Passwörtern, die Zugangssicherheit, die Backup-Dateien auf deiner privaten Festplatte, deiner Excel-Liste etc. in der Cloud (eh No-Go meines Erachtens) usw. usf.

Und wer mehr Daten als außer und einzig Email-Adresse für einen Emailversand speichert, verstößt sowieso gegen Privatsphäre-Regularien. Das gilt auch, wenn man Email-Verteiler sonstwo für irgendwelche Noise-Sammelnachrichten verwendet.