Absicherung von Joomla

  • Hallo zusammen,

    wir würden gerne unsere Installation von Joomla gerne absichern.

    Für Anregungen Tipps und Tricks sind wir dankbar.

    Zunächst ist http noch erreichbar und die htacess Datei noch unberührt.
    Beim Systemuser,haben wir bereits das Kennwort geändert und arbeiten dort mit einem anderen Super User. derzeit sind eben noch viel Änderungen und Konfigurationen zu erledigen.
    Das Backend würde ich ungern auf IP Adressbereiche, die nicht vorhersehbar sind einschränken.
    Was muss wie am besten abgesichert werden?

    Ich bedanke mich vorab schon bei euch.

    VG

  • Das Backend würde ich ungern auf IP Adressbereiche, die nicht vorhersehbar sind einschränken.
    Was muss wie am besten abgesichert werden?

    Ein sehr wirkungsvoller Schutz ist es, wenn du das Backend einfach mittels zusätzlichem Passwortschutz für das administrator-Verzeichnis absicherst.
    Nutze dazu eine .htaccess im administrator-Verzeichnis sowie eine .htpasswd, die typischerweise meist woanders liegt. Hilfreiche Anleitungen dazu gibt es viele im Netz. Oft kann man solch einen Passwortschutz auch direkt beim Hoster im Account anlegen.

    Damit fängt bereits der Webserver alle Backend-Anfragen ab und auf die Joomla-DB kann gar nicht erst zugegriffen werden. Das geschieht ja erst, wenn man versucht, die Zugangsdaten für das Backend in die Login-Maske einzugeben.

    IP-Adressbereiche einzuschränken sehe ich persönlich als nicht sinnvoll an.

    Zeitnahe Updates von Joomla und seinen Erweiterungen in Verbindung mit einem zusätzlichen Passwortschutz für das administrator-Verzeichnis haben bisher bei mir zu 0 gehackten Seiten geführt.

    p.s. Und natürlich solle der Rechner "sauber" sein, mit dem du Joomla bearbeitest. Und FTP-Programme aktuell halten!

  • Ganz lieben Dank euch beiden.

    Htaccess für Adminverzeichnus wird umgesetzt.

    Mit User Trennung haben wir definitiv recht gut umgesetzt.

    Die Configurationsdatei beinhaltet doch die Zugangsdaten der DB und liegt außerhalb vom Administrator Verzeichnis.

    Habe leider von der alten Seite imt Spam zu tun. Dur Ospam ist es deutlich besser geworden, jedoch kommen noch einige. Email adresse ist im Impressum hinterlegt. Gibt es hier noch Möglichkeiten was dran zu drehen.

    VG

  • Aber nicht als reale, anklickbare Adresse?

    Ich hoffe aber doch!

    Joomla hat von Haus aus (als Plugin ggfls. de/aktivierbar) ein eMail-Cloaking dabei!

    Bedeutet: eine eMail-Adresse, die als normalsterbliche eMail-Adresse eingegeben wird, erhält von Joomla automatisch ein "mailto:" vorne weg und ist damit für einen Anwender einfach anklickbar, für einen suchenden eMail-Bot aber nicht erkennbar, weil ein Javascript die eMail-Adresse im Quellcode verschleiert. Ein Bot hingegen kann nur den Quellcode durchforsten, weil er ja keinen Browser dabei hat, der die Website korrekt anzeigt. Somit sind deine Mail-Adressen gegen "Sammler" aller bestens geschützt!


    Axel

  • Nein, aber es gibt dennoch sinnvolle zusätzliche Absicherungen...

    Was ist für einen Laien wichtig, "Millionen" Seiten erzählen einem, was wichtig ist.

    Die Joomla-Entwickler machen einen guten Job, mir gefällt in 4.3 die Web-Authentifizierung ausgesprochen gut!

    Aber die Joomla-Entwickler wissen auch, was wichtig ist, könnte man alles bei der Installation abfragen, auch die Abfrage der Daten für den .htaccess-Passwortschutz des administratoren-Verzeichnisses.

    Zudem könnten die Entwickler die Content-Security-Policy-Geschichte besser umsetzen, ich schlage mich immer wieder mit eigenen .htaccess-Einträgen herum.

    Bis ich bei https://observatory.mozilla.org/ im optimalen Fall ein A+ bekomme, musste ich viel Handarbeit anlegen. Für eine benutzerfreundliche Seite begnüge ich mich aber mit einem B.

    Zu viel Absicherung, vor allem die zusätzlichen .htacces-Einträge, machen die wichtigen Joomla-Updates zu einem Graus!

    Eine Suchmaschine quäle ich immer zuerst ;)

  • Zu viel Absicherung, vor allem die zusätzlichen .htacces-Einträge, machen die wichtigen Joomla-Updates zu einem Graus!

    Du sprichst von Mehrzahl, aber es ist doch nur das Administrator-Verzeichnis, dass du Passwortschützen solltest. Alternativ gibts auch eine Erweiterung (ich glaube von Victor Vogel), wo du statt der htaccess ein Geheimwort angibst. Ohne dem, kommst du nicht zum Login, sondern wirst umgeleitet. Z.B.. zu Disneyland ;)


    Axel

  • Zudem könnten die Entwickler die Content-Security-Policy-Geschichte besser umsetzen, ich schlage mich immer wieder mit eigenen .htaccess-Einträgen herum.

    Fast hätte es geklappt...

    Zu viel Absicherung, vor allem die zusätzlichen .htacces-Einträge, machen die wichtigen Joomla-Updates zu einem Graus!

    Header kann man auch mit dem mitgelieferten "System - HTTP Headers" Plugin setzen, wobei in der .htaccess es empfehlenswert(er) ist.

  • Alternativ gibts auch eine Erweiterung (ich glaube von Victor Vogel), wo du statt der htaccess ein Geheimwort angibst.

    Ja, es ist das ECC+ Plugin: https://kubik-rubik.de/ecc-easycalccheck-plus

    Ich sichere das Backend immer mit diesem Plugin.

    JoomGallery::friends ist aktuell noch auf der Suche nach Helfern für die JoomGallery 4 Entwicklung!

    Gesucht sind Leute für die PHP-Entwicklung, zum Testen, Übersetzen und Dokumentieren.

    Bei Interesse melde dich per PM oder Mail bei mir (Elfangor93).

  • Ein Schutz auf Software-Ebene ist eher die zweitbeste Wahl. Der Passwortschutz sollte davor (also per htaccess) stattfinden. Eine Alternative wäre das hier.

    Seit Joomla 4.2 kann man aber tatsächlich (wenn man keine Schrott-Extension nutzt) alle Ordner absperren außer "images", "media" und die zwei index.php. Man kann sogar soweit gehen und in media + images PHP zu deaktivieren um falls irgendwas da passieren solle keine Angriffsfläche zu haben.

  • Hallo Profis, Fans und Bastler, ich hoffe, mein Post passt hier rein...

    Eine neue Joomla!-Seite ist seit heute im Entstehen begriffen. Was habe ich für die Sicherheit getan?

    überall sehr starke Passwörter
    neueste Joomla!-Version 4.3.1

    PHP-Version 8.1

    SFTP bei FTP-Verkehr

    SSL-Zertifikat

    zusätzlicher Schutz des Verzeichnisses example.de/administrator

    Gibt es noch mehr, das ich tun kann?

    Grüße, Streethawk68

    Hiermit beenden Sie Ihre Windows-Sitzung / OK vielleicht ABBRECHEN

  • On top: Nicht wild alle Extensions installieren, die einem so über den Weg laufen. Jedes Stück Software bietet eine Angriffsfläche. Was nicht da ist kann nicht gehackt werden.

    ------------------------------------------------------------
    Gruß vom Jörg
    (Lehrer ist kein Beruf sondern eine Diagnose. oops )