Ich denke die vom Security-Team für die Hoster mitgeteilten mod-security-Regeln kann man auch mit htaccess realisieren.
Ich möchte das hier nicht veröffentlichen, weil das ggf. auch potentiellen Angreifern hilft.
Ich denke die vom Security-Team für die Hoster mitgeteilten mod-security-Regeln kann man auch mit htaccess realisieren.
Ich möchte das hier nicht veröffentlichen, weil das ggf. auch potentiellen Angreifern hilft.
Joomla sollte aber mit gutem Beispiel vorangehen und noch den Administrator-Bereich absichern.
Ja, htaccess wurde doch von Joomla Security immer als MUSS erklärt.
Oder ist dies auch nicht mehr gültig ?
früher wurde auch immer ein starker "Benutzername" als Sicherheit propagiert, und heute weiss man dass alles nur in Kleinschreibung angenommen wird.
Hol doch erstmal tief Luft und entspanne dich. Du vermischst hier viele Dinge, die nichts miteinander zu tun haben.
joomla.com ist nicht "Joomla" (das ist joomla.org). joomla.com wird von einem Dienstleister betrieben, der kostenlos Joomla!-Instanzen bereitstellt.
Wer ist "Joomla Security" die htaccess als "MUSS" erklärt haben?
Ein starker Benutzername wurde noch nie als Sicherheit propagiert, Benutzernamen sind per se kein Teil der Sicherheit. Was du mit "alles nur in Kleinschreibung" meinst, erschließt sich mir auch nicht. Der Benutzername kann Groß-/Kleinschreibung und auch Zahlen und Sonderzeichen enthalten, muss aber nicht. Ein starkes Passwort ist eine ganz andere Geschichte und zwingend empfohlen. Zusätzlich, um mit dem Wandel der Technologie mitzuhalten empfiehlt sich mittlerweile auch eine sogenannte Two-Factor-Authentication (z.B. ein Yubi-Key) um den Login nochmals sicherer zu machen.
Was sich für mich noch nicht genau erschlossen hat ist, woraus du hinaus willst. Für eine Sicherheitsratgeber musst du dich selbst in die Materie einarbeiten, da vieles abhängig von der Umgebung in der du dich befindest ist.
Hier ein paar unsortierte Buzz-Wörter:
- Mindespasswortlänge erhöhen
- mit Joomla! 4 (und sauber programmierten Templates + Erweiterungen) kann man für alle Ordner außer media/images/administrator den Zugriff mittels htaccess komplett blockieren, ohne dass Joomla! davon beeinträchtigt wird.
- außer die "index.php" im root und im administrator-Ordner muss eigentlich keine PHP-Datei ausführbar sein (angenommen die API/CLI wird nicht genutzt, sonst die dort auch). Deshalb kann man auch per htaccess PHP-Dateien aufrufen für alles andere unterbinden (eventuell sogar im image/media Ordner PHP komplett deaktivieren).
- statt PW-Schutz kann auch eine IP-Sperre fürs Backend sinnvoll sein (je nach Anwendungsfall).
- Mit dem header-Plugin von Joomla! 4 kann man gut XSS-Attacken unterbinden (wenn man weiß was man tut, ansonsten sperrt man sich auch gerne mal aus dem Backend aus).
- Nutzung von sauberen Zugriffsregeln
- Deaktivierung aller Erweiterungen die man nicht nutzt (insbesonders Plugins)
- Keine 3rd-Party-Erweiterungen nutzen
- Kein Code-Gefrickel in Overrides mit Sachen die man sich irgendwo herkopiert hat
- ..... nun wirds detailiert, gibt tausende Sachen die man machen kann, man muss sich halt einarbeiten....das wichtigste: Joomla! aktuell halten und regelmäßig Backups machen die aber nicht auf dem selben Server gespeichert werden.
Gibt viele Resourcen- und Infoseiten, ganz interessant ist u.a. auch: https://owasp.org/www-project-top-10-ci-cd-security-risks/
Ok, danke bembelimen für deine Ausführliche Erklärung.
Danke, bin jetzt wieder entspannt, weiss aber nicht für wie lange.
Der Benutzername kann Groß-/Kleinschreibung....
Nutzt ja nichts, da alles in Kleinschreibung akzeptiert wird.
Wer ist "Joomla Security" die htaccess als "MUSS" erklärt haben?
Also hier wurde folgendes empfohlen:
JOOMLADAY DEUTSCHLAND Joomla-Sicherheit
Htaccess Schutz: 10:32 + 42:45
Wenns David sagt, ist es richtig, mich hatte das "muss" irritiert. Man "muss" seine Wohnungstür nicht abschließen, aber man sollte es (und es wäre nicht clever es nicht zu tun). Gleiches gilt für die htaccess.
Und zum Benutzername: völlig egal, wie der lautet, den sieht man eh oft irgendwo, hier im Forum ist deiner z.B. "Stef". Deshalb wie gesagt, kein Sicherheitskriterium.
... (und es wäre nicht clever es nicht zu tun)...
Und genau dass meinte ich im #59
BTW in den Passwortoptionen lässt sich doch einiges konfigurieren...
Dazu auch hier die Empfehlungen.
Joomla sollte aber mit gutem Beispiel vorangehen und noch den Administrator-Bereich absichern.
Ich glaube ich habe dich nur falsch verstanden. ich dachte du willst das im Joomla-Core haben.
Wenn eine J4-Installation bislang noch nicht öffentlich zugänglich war/ist, also auch das Frontend nur durch Passwort via htaccess (eingerichtet per Plesk) erreichbar ist, ist es dann trotzdem wichtig/erforderlich, die unten stehenden Maßnahmen in der configuration.php vorzunehmen?
Oder ist das dann bei einer solchen Konstellation nicht relevant?
Ich denke, dass viele Joomla-User sich folgende Frage stellen:
Bin ich ab dem Update auf Joomla 4.2.8 geschützt und wenn bisher noch keine Angriffe erfolgt sind, bedeutet dies, dass die Daten über API noch nicht abgegriffen wurden? Kann ich dann auf die Passwortänderungen verzichten?
Vielleicht können unsere Sicherheitsexperten das einfach mal beantworten, so dass es auch ein Nichtfachmann versteht.
UND an einem Beispiel mal erklären, was tatsächlich durch eine Kompromitierung passieren kann.
Bin ich ab dem Update auf Joomla 4.2.8 geschützt und wenn bisher noch keine Angriffe erfolgt sind, bedeutet dies, dass die Daten über API noch nicht abgegriffen wurden? Kann ich dann auf die Passwortänderungen verzichten?
Wenn du sicher sagen kannst, das keine Daten abgegriffen worden sind dann ja, dann kann man darauf verzichten.
tatsächlich durch eine Kompromitierung passieren kan
Datenbank Daten abgreifen, eigene Verbindung zum Datenbank Server aufbauen, neuen Super User erzeugen, einloggen, backdoor installieren. Zack: Seite gehackt.
Ich denke die vom Security-Team für die Hoster mitgeteilten mod-security-Regeln kann man auch mit htaccess realisieren.
Ich möchte das hier nicht veröffentlichen, weil das ggf. auch potentiellen Angreifern hilft.
Siehe Mitigation Option B:
Wenn eine J4-Installation bislang noch nicht öffentlich zugänglich war/ist, also auch das Frontend nur durch Passwort via htaccess (eingerichtet per Plesk) erreichbar ist, ist es dann trotzdem wichtig/erforderlich, die unten stehenden Maßnahmen in der configuration.php vorzunehmen?
Wenn durchgehend abgesichert war, musst du nichts machen.
was tatsächlich durch eine Kompromitierung passieren kann.
SMTP Daten abgreifen und zack Spam versenden, bis der Hoster dich blockt...
Wenn durchgehend abgesichert war, musst du nichts machen.
Danke!
FTP-Daten auslesen. Sehe das zumindest immer noch bei manchem Kunden als "Altlasten" in der Konfiguration, wenn auch da deaktiviert.
FTP-Daten auslesen. Sehe das zumindest immer noch bei manchem Kunden als "Altlasten" in der Konfiguration, wenn auch da deaktiviert.
Sorry, was meinst Du damit?
Ist das noch ein ergänzender Hinweis von Dir auf meine htaccess-bezogene Frage eben?
Sorry, was meinst Du damit?
Bezieht sich auf #72 und #75. "Was kann passieren".
Ich deaktiviere, neben mehreren anderen:
CodeAlles anzeigenWeb Services - Bannerverwaltung Web Services - Benutzerverwaltung Web Services - Datenschutzverwaltung Web Services - Inhaltsverwaltung Web Services - Installation Web Services - Konfiguration Web Services - Kontaktverwaltung Web Services - Medien Web Services - Menüverwaltung Web Services - Modulverwaltung Web Services - Nachrichtenverwaltung Web Services - Newsfeedverwaltung Web Services - Pluginverwaltung Web Services - Schlagwörterverwaltung Web Services - Sprachverwaltung Web Services - Templateverwaltung Web Services - Weiterleitungsverwaltung API Authentifizierung - Joomla Token Benutzer - Joomla API Token Geplante Aufgaben System - Aufgabenbenachrichtigung Weitere Plugins zum Bereich "Aufgabe".
Die Schwierigkeit "Was ist das überhaupt?" bleibt ja trotzdem und zieht die Installation in die Länge. Gerade für Menschen, die das das erste Mal machen, eine Qual. Ich PERSÖNLICH, weil ich o.g. Features bisher nur auf 1 Seite nutze, fände es besser, wen die erst mal gar nicht aktiviert sind. Umgekehrt ist es aber manchmal verwirrend, was man nun aktivieren muss, damit man bestimmte Features nutzen kann.
Schwierig, irgendwie. Bleibt halt doch eine individuelle Entscheidung.
Moin Moin,
vielen Dank für den Hinweis und Tipp
Gerade hier gelesen: The Joomla 4.2.8 security fix and why it's NOT the end of the world - Dionysopoulos.me, dass es sich auch über Plugin-Typ filtern läßt:
Cool, hatte ich so auch noch nicht auf dem Zettel.
Ich schalte die jetzt in meinen J4 erst einmal alle ab, auch wenn Nicholas schreibt, das es zukünftig zu Problemen kommen könnte. Dann kann man es ja immer nochmal wieder einschalten. Ich habe jetzt alle DB Pw geändert, bei z.Zt. 6x J4 dauerte das keine 10 Minuten
das es zukünftig zu Problemen kommen könnte
Dann ist das schlechte Programmierung Jedes zukünftig hinzukommende Feature muss darauf Rücksicht nehmen. und einen entsprechenden Hinweis anzeigen. Ich kann mit seiner Argumentation jedenfalls gar nichts anfangen und bleibe, wie vom ersten Tag an erst mal bei Alles deaktivieren, was aktuell nicht benötigt wird. Übrigens auch das Web-AUthn-Plugin. Muss man ihm ja nicht sagen