Angesichts des Acymailing-Desasters: welche zusätzliche Absicherung der Joomla-Installation macht Sinn?

    Joomla Version
    4.4
    PHP Version
    PHP 8.1.x
    Hoster
    webgo

    Ich hatte Acymailing schon auf zwei meiner neuen Websites eingerichtet. Aber glücklicher Weise kam ich mit der Gestaltung meiner Newsletter nicht zurecht und habe mich dann für NS Pro entschieden. Die Gestaltung war hier viel einfacher. Kaum hatte ich das in Betrieb, erfuhr ich von der Sicherheitslücke in Acymailing.


    Meine Websites sichere ich immer mit einer htaccess im Admin-Bereich ab, deaktiviere "Kontakte", habe so wenig Extensions wie möglich installiert und im Root eine sorgfältig optimierte htaccess.


    Nun riet mir ein bekannter dazu, ich solle diese Extension installieren: https://extensions.joomla.org/…ty/site-security/eyesite/

    Wenn ich das richtig verstehe, hilft diese nicht gegen Verfälschungen in der Datenbank. Wohl aber registriert sie, wenn sich Dateien der Installation ändern. Anscheinend wird je Datei ein Haswert erzeugt und in der Datenbank abgelegt. Der wird dann in regelmäßigen Abständen mit den Hashwerten der aktuellen Installation verglichen und bei Änderungen erhält man eine Email-Benachrichtigung.

    Immerhin wäre damit vermutlich ein Einbruch über die Acymailing-Lücke aufgefallen, bevor das ganze System verseucht ist, oder?


    Was ist also von solch einer Extension zu halten? Bringt die wirklich mehr Sicherheit? Und wenn nicht "Eyesite", welche Extension würde es besser machen?

    Ich vergleiche auf paar Seiten auch geänderte Hashwerte und neu angelegte (allerdings mit anderer Erweiterung), sowie gelöschte Dateien. Diese werden mir als Liste angezeigt. So weit so gut. Würde ich dabei für jede Änderung Emails bekommen, wären meine Postfächer bei 2 der Seiten mehr als Anschlag voll.


    Will nur sagen: Man sollte sein Joomla schon genau kennen, um sofort zu erkennen, bei mir, beim Scrollen durch die Liste, was lagitim ist, was nun tatsächlich ein unerwünschter Zugriff, eine unerwünschte, neue Datei oder eine gefährliche Änderung, ganz vielleicht sein könnte.


    Jetzt könnte ich natürlich bestimmte Verzeichnisse ausschließen, in denen solche Änderungen legitim sind. Wer sagt mir nun aber, dass ggf. ein Angriff in einem solchen Verzeichnis stattgefunden hat, das ich schlau von der Beobachtung ausgeschlossen habe.


    Oder ich lösche hektisch blind alle diese "gefährlichen Änderungen" ... und lege mein Joomla lahm.


    Nicht umsonst werden solche Tools auch Schlangenöl genannt ;) Die eigene Birne gehört schon dazu ;) ein bisschen helfen können sie dann, wenn man durchblickt.

    Und wenn du deine Seite/Erweiterungen/Template/Framework immer aktuell hälst,

    dein BE mit einem Verzeichnisschutz versehen ist, ist das schon eine gute Grundabsicherung!


    Bin seit 2008 mit 1.5 dabei, und wurde noch nie ............. kopf, klopf, klopf. :)

    Vielen Dank für die Antworten. Da bin ich ja beruhigt. Auch ich habe mit Joomla 1.5 angefangen. Und ich bin mit 1.5 ein Mal gehackt worden. Bemerkt hatte ich das erst, als ich mir mal den ausgelieferten HTML-Text angeschaut hatte. Da waren endlose Texte eingefügt, die aber nicht dargestellt worden sind. Noch während ich nach dem Fehler suchte, war dann plötzlich die Website voll platt.

    Mit Akeeba Backup die Site neu installiert und seitdem immer das Backend mit htaccess dicht gemacht.


    Mit Joomla 3.x hatte ich dann dennoch eine Panne – vermutlich über die Systemkomponente Kontakte: Plötzlich hatten sich weitere Benutzer eingetragen, die aber nicht aktiviert wurden. Eine Überprüfung der Dateien ergab nix Auffälliges. Ich habe dann diese Benutzer gelöscht. Welche Gegenmaßnahme dann geholfen hatte, weiß ich nicht mehr. Seitdem ist an meinen Joomla-Websites nix Sicherheitsrelevantes mehr passiert.


    Ich achte aber auch darauf, ständig alles aktuell zu halten.


    Die einzige zusätzliche Sicherheits-Extension, die ich nutze, ist BruteForceStop. Die hat schon so manche Script-Kiddies und andere ausgesperrt. Früher hatte ich noch Marco's SQL injection installiert. Aber das gibt es ja leider nicht mehr für J4 und wurde zudem lange nicht mehr gepflegt. Hier hilft inzwischen sicher die aktuelle htaccess von Joomla.

    Statt irgendwelche Scripte die Anmeldungen überwachen, einfach einen .htaccesss-Passwortschutz auf das administrator-Verzeichnis legen (sinnvolles Passwort natürlich). Das löst keine PHP-Scripte und Datenbankabfragen aus und nimmt extrem viel Last, wenn versucht wird massenhaft auf das Login zuzugreifen.

    Zusätzliche Scripte sind zusätzliche potentielle Sicherheitslücken und erzeugen Last, anstatt diese zu vermeiden.