Joomla5 installieren

  • jetzt will ich die Seite an der ich bastel mit htacess htpawd schützen. Könnt ihr das empfehlen und wie geht es muss ich einfach die .htpaswrd datei erstellen

    Du benötigst eine .htaccess im Joomla-Root-Verzeichnis und eine .htpasswd.
    Falls du im Joomla-Root-Verzeichnis bereits eine .htaccess nutzt, kannst du diese einfach erweitern. Also ganz oben in dieser Datei den entsprechenden "Code" einfach reinschreiben.
    In diesem "Code" befindet sich auch der Pfad zur .htpasswd. Diesen passt du einfach an, je nachdem wo du die .htpasswd hinlegst.
    Was da in diese Dateien genau reinkommt, einfach mal googeln! Da gibt es Online-Generatoren.

  • Hallo Zusammen,

    ich hab hier im Thread mal aufgeräumt und die unsachlichen Sticheleien und Halbwahrheiten entfernt. In dem Kontext sind alle Beteiligten auch nochmal explizit an Umgangston im Forum erinnert.

    Zum Seite schützen braucht man keine htacces.

    Jetzt zur Sachebene:

    Erstmal einigen wir uns bitte darauf, dass wenn "Schutz mit htaccess" gesagt wird, ein Basic-Auth Schutz auf Basis von htaccess und htpasswd oder vergleichbaren Technologien gemeint ist. Zentral ist dabei immer, dass die Passwortabfrage auf Ebene des Webservers stattfindet und nicht in Joomla selbst abgebildet wird.

    In der Praxis gibt es zwei gängige Usecases für einen solchen Schutz:

    1. Schutz einer gesamten Website, also Front- und Backend. Wird gerne gemacht, um Websites in der Entwicklungsphase vor Crawling und co zu schützen. Hier hat der BasicAuth im Vergleich zum Joomla Offlinemodus den Vorteil, dass man die Seite auch im Gastmodus betrachten kann. Der Offline-Modus hingegen verlangt einen Joomla-Login, womit man die Seite dann nicht im öffentlichen Modus sieht, Caching teils deaktiviert ist und Zugriffsrechte eine Rolle spielen können.

    2. Schutz des Administrationsbereichs: hier geht es darum, eine zusätzliche Schutzebene zu etablieren, bei der schon der Webserver selbst etwaige unliebsame Anfragen blockt. Das ist deutlich effizienter als jeder Passwortschutz in Joomla, schützt vor einigen Angriffsszenarien bei denen der Joomla-eigene Schutz nicht hilft (File Upload vulnerabilities im Admin Ordner, schreibende SQL Injection Angriffe) und greift prinzipbedingt auch bei Requests, die garnicht durch die index.php des Adminbereichs durchlaufen, also jegliche Art von direktem Zugriff auf Dateien in dem Ordner.

    Daher ist ein Schutz des Adminbereichs eine sinnvolle Ergänzung.

  • Und wenn möglich, sollte man die "public folder" Funktion von Joomla! verwenden:

    [5.0] Allow Joomla be served from a public* folder by dgrammatiko · Pull Request #40509 · joomla/joomla-cms
    Pull Request for Issue # . public folder == subfolder of the root installation (but not restricted to only this config) that has only the allowed entry points…
    github.com
    [5.0] Introduce a CLI UI for creating a public folder by dgrammatiko · Pull Request #41446 · joomla/joomla-cms
    Pull Request for Issue # . Summary of Changes Added 1 new command on the main joomla.php CLI: site site:create-public-folder Create a public folder…
    github.com

    (Oder den Zugriff auf allgemeine PHP Dateien auch im Frontend unterbinden)

  • Hallo!

    Zitat

    1. Schutz einer gesamten Website, also Front- und Backend. Wird gerne gemacht, um Websites in der Entwicklungsphase vor Crawling und co zu schützen. Hier hat der BasicAuth im Vergleich zum Joomla Offlinemodus den Vorteil, dass man die Seite auch im Gastmodus betrachten kann. Der Offline-Modus hingegen verlangt einen Joomla-Login, womit man die Seite dann nicht im öffentlichen Modus sieht, Caching teils deaktiviert ist und Zugriffsrechte eine Rolle spielen können.

    Ich mache es so das ich einen User anlege und dem das Recht gebe das er Login machen kann.
    Dann kann ich jedem der an der Entwicklung teilnimmt und nur die Seite ansehen soll, das Recht dafür gebe.
    Dafür braucht es keine Adminrechte.

    Zitat

    2. Schutz des Administrationsbereichs: hier geht es darum, eine zusätzliche Schutzebene zu etablieren, bei der schon der Webserver selbst etwaige unliebsame Anfragen blockt. Das ist deutlich effizienter als jeder Passwortschutz in Joomla, schützt vor einigen Angriffsszenarien bei denen der Joomla-eigene Schutz nicht hilft (File Upload vulnerabilities im Admin Ordner, schreibende SQL Injection Angriffe) und greift prinzipbedingt auch bei Requests, die garnicht durch die index.php des Adminbereichs durchlaufen, also jegliche Art von direktem Zugriff auf Dateien in dem Ordner.

    Wenn man höhere Sicherheit will, dann empfehle die die 2-Faktor Authentifizierung. Das bietet Joomla ja an.
    Damit hat man dann hohe Sicherheit. Finde ich besser als htaccess, denn eine htaccess muss man händisch bauen und per ftp, o.a. hochladen. Ist recht unkomfortabel.
    So habe ich als es mit Internet los ging die ersten Seiten passwortgeschützt, wenn ich nen Adminbereich brauchte.
    Heute mache ich das nicht mehr, weil man da einfachen Usern (Kunden die einfach nur pflegen wollen) das Leben richtig schwer macht. Die kommen damit nicht wirklich klar.
    Das wird aber immer mehr kommen. Ich habe das Thema auf der Arbeit ja auch in Sachen VPN. Bring das mit der 2-Faktor Authentifizierung mal nen ganz normalen User bei. Die springen Dir an den Hals.
    iServ (Schulserver) hat das jetzt zur Pflicht gemacht. Was meint ihr wie die Schulen sich freuen.
    Aber man kommt nicht drum rum.

    Gruß
    sven

  • Ich mache es so das ich einen User anlege und dem das Recht gebe das er Login machen kann.
    Dann kann ich jedem der an der Entwicklung teilnimmt und nur die Seite ansehen soll, das Recht dafür gebe.
    Dafür braucht es keine Adminrechte.

    ... und bei dem Vorgehen bleiben die erwähnten Nachteile: man ist eingeloggter Nutzer, das Caching ist teils deaktiviert und einige Bereiche sind teils prinzipbedingt nicht zugänglich (z.b. Registrierung und Passwort Reset) und in anderen Bereichen greifen möglicherweise abweichende Zugriffsebenen. Das soll nicht heißen dass man das nicht auch so machen kann, aber es ist nunmal keine gleichwertige Alternative.

    Wenn man höhere Sicherheit will, dann empfehle die die 2-Faktor Authentifizierung. Das bietet Joomla ja an.
    Damit hat man dann hohe Sicherheit.

    Die 2-Faktor-Authentifizierung hat ebenfalls Vorteile und kann eine sinnvolle Ergänzung sein, sie schützt aber nicht gegen spezifische Angriffsszenarien, bei denen ein Basic-Auth Schutz sehr wohl hilft. Auch hier gilt: natürlich spricht nichts gegen 2FA, aber 2FA als gleichwertige Alternative zu benennen ist einfach nicht richtig.

  • ...Damit hat man dann hohe Sicherheit. Finde ich besser als htaccess, denn eine htaccess muss man händisch bauen und per ftp, o.a. hochladen. Ist recht unkomfortabel.

    Dafür kann man Online-Generatoren nutzen, die einem die paar Zeilen erzeugen. Ist alles in wenigen Minuten eingerichtet. Muss man auch nur 1x anlegen. Viele Hoster bieten einen Verzeichnisschutz auch direkt im Account an. Dann wird`s noch einfacher.
    Weiterer Vorteil bzgl. Absicherung: Es findet keinerlei Zugriff auf die Datenbank statt.

  • ...htaccess...Heute mache ich das nicht mehr, weil man da einfachen Usern (Kunden die einfach nur pflegen wollen) das Leben richtig schwer macht. Die kommen damit nicht wirklich klar...

    Was ist den schwer daran einen Link im Browser des Benutzers zu speichern nach folgendem Muster:

    https://Benutzername:Passwort@example.com/administrator/index.php

    also ähnlich wie schon dort erwähnt:

    User Frontend Bearbeitung

    Diese Link-Variante verwendet zwar die GET-Methode und dies ist daher nicht so sicher ist wie per POST-Methode (im Formular Benutzername und Passwort eintragen). Aber immer noch besser als kein entsprechender Schutz.

  • Diese Link-Variante verwendet zwar die GET-Methode und dies ist daher nicht so sicher ist wie per POST-Methode (im Formular Benutzername und Passwort eintragen). Aber immer noch besser als kein entsprechender Schutz.

    Dein Browser übermittelt Benutzer und Passwort hier nicht als Teil der URL im GET Request, sondern wandelt die Angaben in einen Authorization Header um. Deswegen ist es völlig latte, ob das per GET oder POST geht.

  • Da lasse ich mich als Laie aber sehr gerne eines besseren belehren. Super das die Übermittlung von "htaccess-Benutzername und Passwort" per https://Benutzername:Passwort@example.com/administrator/index.php genau so sicher ist wie im "Formular".