Hallo zusammen,
wir würden gerne unsere Installation von Joomla gerne absichern.
Für Anregungen Tipps und Tricks sind wir dankbar.
Zunächst ist http noch erreichbar und die htacess Datei noch unberührt.
Beim Systemuser,haben wir bereits das Kennwort geändert und arbeiten dort mit einem anderen Super User. derzeit sind eben noch viel Änderungen und Konfigurationen zu erledigen.
Das Backend würde ich ungern auf IP Adressbereiche, die nicht vorhersehbar sind einschränken.
Was muss wie am besten abgesichert werden?
Ich bedanke mich vorab schon bei euch.
VG
Absicherung von Joomla
- R232
- Erledigt
-
-
-
Das Backend würde ich ungern auf IP Adressbereiche, die nicht vorhersehbar sind einschränken.
Was muss wie am besten abgesichert werden?Ein sehr wirkungsvoller Schutz ist es, wenn du das Backend einfach mittels zusätzlichem Passwortschutz für das administrator-Verzeichnis absicherst.
Nutze dazu eine .htaccess im administrator-Verzeichnis sowie eine .htpasswd, die typischerweise meist woanders liegt. Hilfreiche Anleitungen dazu gibt es viele im Netz. Oft kann man solch einen Passwortschutz auch direkt beim Hoster im Account anlegen.Damit fängt bereits der Webserver alle Backend-Anfragen ab und auf die Joomla-DB kann gar nicht erst zugegriffen werden. Das geschieht ja erst, wenn man versucht, die Zugangsdaten für das Backend in die Login-Maske einzugeben.
IP-Adressbereiche einzuschränken sehe ich persönlich als nicht sinnvoll an.
Zeitnahe Updates von Joomla und seinen Erweiterungen in Verbindung mit einem zusätzlichen Passwortschutz für das administrator-Verzeichnis haben bisher bei mir zu 0 gehackten Seiten geführt.
p.s. Und natürlich solle der Rechner "sauber" sein, mit dem du Joomla bearbeitest. Und FTP-Programme aktuell halten!
-
Ganz lieben Dank euch beiden.
Htaccess für Adminverzeichnus wird umgesetzt.
Mit User Trennung haben wir definitiv recht gut umgesetzt.
Die Configurationsdatei beinhaltet doch die Zugangsdaten der DB und liegt außerhalb vom Administrator Verzeichnis.
Habe leider von der alten Seite imt Spam zu tun. Dur Ospam ist es deutlich besser geworden, jedoch kommen noch einige. Email adresse ist im Impressum hinterlegt. Gibt es hier noch Möglichkeiten was dran zu drehen.
VG
-
Email adresse ist im Impressum hinterlegt
Aber nicht als reale, anklickbare Adresse?
-
Aber nicht als reale, anklickbare Adresse?
Ich hoffe aber doch!
Joomla hat von Haus aus (als Plugin ggfls. de/aktivierbar) ein eMail-Cloaking dabei!
Bedeutet: eine eMail-Adresse, die als normalsterbliche eMail-Adresse eingegeben wird, erhält von Joomla automatisch ein "mailto:" vorne weg und ist damit für einen Anwender einfach anklickbar, für einen suchenden eMail-Bot aber nicht erkennbar, weil ein Javascript die eMail-Adresse im Quellcode verschleiert. Ein Bot hingegen kann nur den Quellcode durchforsten, weil er ja keinen Browser dabei hat, der die Website korrekt anzeigt. Somit sind deine Mail-Adressen gegen "Sammler" aller bestens geschützt!
Axel
-
Hallo zusammen,
wir würden gerne unsere Installation von Joomla gerne absichern....Ist Joomla von Hause aus unsicher?
-
Ist Joomla von Hause aus unsicher?
Nein, aber es gibt dennoch sinnvolle zusätzliche Absicherungen, wie ein vorgeschalteter .htaccess-Passwortschutz, der sehr empfehlenswert ist. Weiteres wie Captchas oder ähnliche Anti-Bot-Schutzmaßnahmen ebenso.
-
Nein, aber es gibt dennoch sinnvolle zusätzliche Absicherungen...
Was ist für einen Laien wichtig, "Millionen" Seiten erzählen einem, was wichtig ist.
Die Joomla-Entwickler machen einen guten Job, mir gefällt in 4.3 die Web-Authentifizierung ausgesprochen gut!
Aber die Joomla-Entwickler wissen auch, was wichtig ist, könnte man alles bei der Installation abfragen, auch die Abfrage der Daten für den .htaccess-Passwortschutz des administratoren-Verzeichnisses.
Zudem könnten die Entwickler die Content-Security-Policy-Geschichte besser umsetzen, ich schlage mich immer wieder mit eigenen .htaccess-Einträgen herum.
Bis ich bei https://observatory.mozilla.org/ im optimalen Fall ein A+ bekomme, musste ich viel Handarbeit anlegen. Für eine benutzerfreundliche Seite begnüge ich mich aber mit einem B.
Zu viel Absicherung, vor allem die zusätzlichen .htacces-Einträge, machen die wichtigen Joomla-Updates zu einem Graus!
-
Zu viel Absicherung, vor allem die zusätzlichen .htacces-Einträge, machen die wichtigen Joomla-Updates zu einem Graus!
Du sprichst von Mehrzahl, aber es ist doch nur das Administrator-Verzeichnis, dass du Passwortschützen solltest. Alternativ gibts auch eine Erweiterung (ich glaube von Victor Vogel), wo du statt der htaccess ein Geheimwort angibst. Ohne dem, kommst du nicht zum Login, sondern wirst umgeleitet. Z.B.. zu Disneyland
Axel
-
Zudem könnten die Entwickler die Content-Security-Policy-Geschichte besser umsetzen, ich schlage mich immer wieder mit eigenen .htaccess-Einträgen herum.
Fast hätte es geklappt...
Zu viel Absicherung, vor allem die zusätzlichen .htacces-Einträge, machen die wichtigen Joomla-Updates zu einem Graus!
Header kann man auch mit dem mitgelieferten "System - HTTP Headers" Plugin setzen, wobei in der .htaccess es empfehlenswert(er) ist.
-
Alternativ gibts auch eine Erweiterung (ich glaube von Victor Vogel), wo du statt der htaccess ein Geheimwort angibst.
Ja, es ist das ECC+ Plugin: https://kubik-rubik.de/ecc-easycalccheck-plus
Ich sichere das Backend immer mit diesem Plugin.
-
Du sprichst von Mehrzahl, aber es ist doch nur das Administrator-Verzeichnis, dass du Passwortschützen solltest. ...
Wer sagt das?
Sicherheit ist nicht 1-Fach (auch nicht einfach).
-
Steht ja schon in #2.
-
Ein Schutz auf Software-Ebene ist eher die zweitbeste Wahl. Der Passwortschutz sollte davor (also per htaccess) stattfinden. Eine Alternative wäre das hier.
Seit Joomla 4.2 kann man aber tatsächlich (wenn man keine Schrott-Extension nutzt) alle Ordner absperren außer "images", "media" und die zwei index.php. Man kann sogar soweit gehen und in media + images PHP zu deaktivieren um falls irgendwas da passieren solle keine Angriffsfläche zu haben.
-
Hallo Profis, Fans und Bastler, ich hoffe, mein Post passt hier rein...
Eine neue Joomla!-Seite ist seit heute im Entstehen begriffen. Was habe ich für die Sicherheit getan?
überall sehr starke Passwörter
neueste Joomla!-Version 4.3.1PHP-Version 8.1
SFTP bei FTP-Verkehr
SSL-Zertifikat
zusätzlicher Schutz des Verzeichnisses example.de/administrator
Gibt es noch mehr, das ich tun kann?
Grüße, Streethawk68
-
Wenn vorhanden:
- Benutzerregistrierung deaktivieren
- Kontaktformular mit ECC+ absichern
und Kopie an Absender deaktivieren.
Immer alles zeitnah aktuell halten.
-
Gibt es noch mehr, das ich tun kann?
Indirekt: Den eigenen Rechner sauber und aktuell halten, mit dem man Joomla "bearbeitet", z.B. FileZilla, Editoren usw.
-
On top: Nicht wild alle Extensions installieren, die einem so über den Weg laufen. Jedes Stück Software bietet eine Angriffsfläche. Was nicht da ist kann nicht gehackt werden.