Wichtiges Sicherheitsupdate für J4 | 4.2.8

    Zitat von Stef

    Joomla sollte aber mit gutem Beispiel vorangehen und noch den Administrator-Bereich absichern. nono


    https://cassiopeia.joomla.com/

    Zitat von Stef

    Ja, htaccess wurde doch von Joomla Security immer als MUSS erklärt.


    Oder ist dies auch nicht mehr gültig ?


    früher wurde auch immer ein starker "Benutzername" als Sicherheit propagiert, und heute weiss man dass alles nur in Kleinschreibung angenommen wird.

    Hol doch erstmal tief Luft und entspanne dich. Du vermischst hier viele Dinge, die nichts miteinander zu tun haben.


    joomla.com ist nicht "Joomla" (das ist joomla.org). joomla.com wird von einem Dienstleister betrieben, der kostenlos Joomla!-Instanzen bereitstellt.


    Wer ist "Joomla Security" die htaccess als "MUSS" erklärt haben?


    Ein starker Benutzername wurde noch nie als Sicherheit propagiert, Benutzernamen sind per se kein Teil der Sicherheit. Was du mit "alles nur in Kleinschreibung" meinst, erschließt sich mir auch nicht. Der Benutzername kann Groß-/Kleinschreibung und auch Zahlen und Sonderzeichen enthalten, muss aber nicht. Ein starkes Passwort ist eine ganz andere Geschichte und zwingend empfohlen. Zusätzlich, um mit dem Wandel der Technologie mitzuhalten empfiehlt sich mittlerweile auch eine sogenannte Two-Factor-Authentication (z.B. ein Yubi-Key) um den Login nochmals sicherer zu machen.


    Was sich für mich noch nicht genau erschlossen hat ist, woraus du hinaus willst. Für eine Sicherheitsratgeber musst du dich selbst in die Materie einarbeiten, da vieles abhängig von der Umgebung in der du dich befindest ist.


    Hier ein paar unsortierte Buzz-Wörter:

    - Mindespasswortlänge erhöhen

    - mit Joomla! 4 (und sauber programmierten Templates + Erweiterungen) kann man für alle Ordner außer media/images/administrator den Zugriff mittels htaccess komplett blockieren, ohne dass Joomla! davon beeinträchtigt wird.

    - außer die "index.php" im root und im administrator-Ordner muss eigentlich keine PHP-Datei ausführbar sein (angenommen die API/CLI wird nicht genutzt, sonst die dort auch). Deshalb kann man auch per htaccess PHP-Dateien aufrufen für alles andere unterbinden (eventuell sogar im image/media Ordner PHP komplett deaktivieren).

    - statt PW-Schutz kann auch eine IP-Sperre fürs Backend sinnvoll sein (je nach Anwendungsfall).

    - Mit dem header-Plugin von Joomla! 4 kann man gut XSS-Attacken unterbinden (wenn man weiß was man tut, ansonsten sperrt man sich auch gerne mal aus dem Backend aus).

    - Nutzung von sauberen Zugriffsregeln

    - Deaktivierung aller Erweiterungen die man nicht nutzt (insbesonders Plugins)

    - Keine 3rd-Party-Erweiterungen nutzen

    - Kein Code-Gefrickel in Overrides mit Sachen die man sich irgendwo herkopiert hat

    - ..... nun wirds detailiert, gibt tausende Sachen die man machen kann, man muss sich halt einarbeiten....das wichtigste: Joomla! aktuell halten und regelmäßig Backups machen die aber nicht auf dem selben Server gespeichert werden.


    Gibt viele Resourcen- und Infoseiten, ganz interessant ist u.a. auch: https://owasp.org/www-project-top-10-ci-cd-security-risks/

    Ok, danke bembelimen für deine Ausführliche Erklärung.

    Danke, bin jetzt wieder entspannt, weiss aber nicht für wie lange. :D


    Zitat von bembelimen

    Der Benutzername kann Groß-/Kleinschreibung....

    Nutzt ja nichts, da alles in Kleinschreibung akzeptiert wird.



    Zitat von bembelimen

    Wer ist "Joomla Security" die htaccess als "MUSS" erklärt haben?


    Also hier wurde folgendes empfohlen:

    JOOMLADAY DEUTSCHLAND Joomla-Sicherheit


    Htaccess Schutz: 10:32 + 42:45


    Externer Inhalt www.youtube.com
    Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.
    Durch die Aktivierung der externen Inhalte erklären Sie sich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.

    Wenns David sagt, ist es richtig, mich hatte das "muss" irritiert. Man "muss" seine Wohnungstür nicht abschließen, aber man sollte es (und es wäre nicht clever es nicht zu tun). Gleiches gilt für die htaccess.


    Und zum Benutzername: völlig egal, wie der lautet, den sieht man eh oft irgendwo, hier im Forum ist deiner z.B. "Stef". Deshalb wie gesagt, kein Sicherheitskriterium.

    Wenn eine J4-Installation bislang noch nicht öffentlich zugänglich war/ist, also auch das Frontend nur durch Passwort via htaccess (eingerichtet per Plesk) erreichbar ist, ist es dann trotzdem wichtig/erforderlich, die unten stehenden Maßnahmen in der configuration.php vorzunehmen?


    Oder ist das dann bei einer solchen Konstellation nicht relevant?



    Ich denke, dass viele Joomla-User sich folgende Frage stellen:


    Bin ich ab dem Update auf Joomla 4.2.8 geschützt und wenn bisher noch keine Angriffe erfolgt sind, bedeutet dies, dass die Daten über API noch nicht abgegriffen wurden? Kann ich dann auf die Passwortänderungen verzichten?


    Vielleicht können unsere Sicherheitsexperten das einfach mal beantworten, so dass es auch ein Nichtfachmann versteht.


    UND an einem Beispiel mal erklären, was tatsächlich durch eine Kompromitierung passieren kann.

    Zitat von WM-Loose

    Bin ich ab dem Update auf Joomla 4.2.8 geschützt und wenn bisher noch keine Angriffe erfolgt sind, bedeutet dies, dass die Daten über API noch nicht abgegriffen wurden? Kann ich dann auf die Passwortänderungen verzichten?

    Wenn du sicher sagen kannst, das keine Daten abgegriffen worden sind dann ja, dann kann man darauf verzichten.


    Zitat von WM-Loose

    tatsächlich durch eine Kompromitierung passieren kan

    Datenbank Daten abgreifen, eigene Verbindung zum Datenbank Server aufbauen, neuen Super User erzeugen, einloggen, backdoor installieren. Zack: Seite gehackt.

    Zitat von flotte

    Ich denke die vom Security-Team für die Hoster mitgeteilten mod-security-Regeln kann man auch mit htaccess realisieren.

    Ich möchte das hier nicht veröffentlichen, weil das ggf. auch potentiellen Angreifern hilft.

    Siehe Mitigation Option B:


    The Joomla 4.2.8 security fix and why it's NOT the end of the world
    Personal blog of Nicholas Dionysopoulos. I say what I mean and I mean what I say.
    www.dionysopoulos.me

    Zitat von Re:Later

    Ich deaktiviere, neben mehreren anderen:


    Die Schwierigkeit "Was ist das überhaupt?" bleibt ja trotzdem und zieht die Installation in die Länge. Gerade für Menschen, die das das erste Mal machen, eine Qual. Ich PERSÖNLICH, weil ich o.g. Features bisher nur auf 1 Seite nutze, fände es besser, wen die erst mal gar nicht aktiviert sind. Umgekehrt ist es aber manchmal verwirrend, was man nun aktivieren muss, damit man bestimmte Features nutzen kann.


    Schwierig, irgendwie. Bleibt halt doch eine individuelle Entscheidung.

    Moin Moin,

    vielen Dank für den Hinweis und Tipp :)

    Gerade hier gelesen: The Joomla 4.2.8 security fix and why it's NOT the end of the world - Dionysopoulos.me, dass es sich auch über Plugin-Typ filtern läßt:



    Cool, hatte ich so auch noch nicht auf dem Zettel.


    Ich schalte die jetzt in meinen J4 erst einmal alle ab, auch wenn Nicholas schreibt, das es zukünftig zu Problemen kommen könnte. Dann kann man es ja immer nochmal wieder einschalten. Ich habe jetzt alle DB Pw geändert, bei z.Zt. 6x J4 dauerte das keine 10 Minuten :)

    WBR from DE-de

    "Hier könnte Ihre Werbung stehen"

    Zitat von deltapapa

    das es zukünftig zu Problemen kommen könnte

    Dann ist das schlechte Programmierung ;) Jedes zukünftig hinzukommende Feature muss darauf Rücksicht nehmen. und einen entsprechenden Hinweis anzeigen. Ich kann mit seiner Argumentation jedenfalls gar nichts anfangen und bleibe, wie vom ersten Tag an erst mal bei Alles deaktivieren, was aktuell nicht benötigt wird. Übrigens auch das Web-AUthn-Plugin. Muss man ihm ja nicht sagen ;)