Web Application Firewall (WAF)

Hallo zusammen, ich lese gerade die Anforderungen die uns unsere Homepage gestellt wird.

"Institutionen sollten eine Web Application Firewall (WAF) einsetzen. Die Konfiguration der eingesetzten WAF sollte auf die zu schützende Webanwendung oder den Webservice angepasst werden. Nach jedem Update der Webanwendung oder des Webservices sollte die Konfiguration der WAF geprüft werden.
Eine Web Application Firewall ist eine Spezialform einer Application Firewall für das HTTP-Protokoll, um die damit verbundeneren Angriffe zu minimieren.
Bei der Bereitstellung einer web-Anwendung sollten Sie entweder eine open source Lösungen (wie ModSecurity, Waf2Py oder OctopusWAF) oder eine spezielle kommerzielle Appliance verwenden. Zu dem Einsatz einer Web Application Firewall gehört auch die richtige Konfiguration der Firewall, ggf. die Härtung der zugrunde liegenden Hardware und des Betriebssystems und die regelmäßige Wartung und Updates"

Ich habe bei checkdomain angefragt, ob eine WAF eingesetzt wird. Rückmeldung: "Ja, grundsätzlich kommt eine Web Application Firewall (WAF) zu Einsatz"

Ich kann mir die WAF im Kundenportal ansehen:

Nun meine Frage: Ist das nun ausreichend für die Anforderung oben?

"Nach jedem Update der Webanwendung oder des Webservices sollte die Konfiguration der WAF geprüft werden."

--> Wie prüft Ihr denn sowas?

VG Jan

Dank flotte für deine Antwort.

Meinst Du, dass wir mit unseren Seiten mit ausreichend Sicherheitsmerkmale in Joomla versorgt sind?

Oder was würdest Du noch zusätzlich tun?

VG Jan

Zitat von Stef

Welche Seiten...

Hallo Stef, ich meinte den Standard Joomla setup Version 5.3.4.

Zitat von Sieger66

Wenn du die Sicherheit deiner Website erhöhen möchtest könntest du nachfolgende zusätzliche Einträge in der .htaccess vom Joomla-Root-Dateiordner machen

so wie es am JoomlaDay DACH 2023 von David  (Joomla!-Security-Strike-Team) auch präsentiert wurde.

Also dort wo auch die configuration.php liegt:

Apache Configuration

# Allow access to specific files
RewriteCond %{REQUEST_URI} !^/index\.php$
RewriteCond %{REQUEST_URI} !^/administrator/index\.php$
RewriteCond %{REQUEST_URI} !^/administrator\/components\/com_joomlaupdate\/restore\.php$
RewriteCond %{REQUEST_URI} !^/administrator\/components\/com_joomlaupdate\/extract\.php$
RewriteCond %{REQUEST_URI} !^/api\/index\.php$
RewriteCond %{REQUEST_URI} !^/kickstart\.php$
# Block acess to all other existing .php files
RewriteCond %{REQUEST_URI} \.php$
RewriteCond %{REQUEST_FILENAME} -f
RewriteRule .* - [F]

Alles anzeigen

Am Anfang der folgenden Stelle der .htaccess einfügen:

github.com/joomla/joomla-cms/blob/5.3.4/htaccess.txt#L82-L88

ACHTUNG WICHTIG !

Aber beachte das du auch noch weitere entsprechende Eintragungen machen mußt wenn außer Joomla! noch andere PHP-Anwendungen/PHP-Scripte in diesem Dateiorder oder in einem seiner Dateiunterordner liegen und weiterhin aufrufbar sein sollen...

Oder auch wenn du z.B. die kickstart.php umbennant hast.

Denn diese aufrufe werden sonst auch geblockt!!!

Die Zeile:

Code

RewriteCond %{REQUEST_URI} !^/api\/index\.php$

kannst du weglassen solange du keine API-Aufrufe benötigst bzw. erlauben möchtest

Alles anzeigen

Danke Sieger66, für deine Rückmeldung und deinen Tipp! Leider habe ich keine Ahnung von der
Programmierung in Joomla, und möchte auch keine Fenster öffnen um evtl. doch einen Zugang zu ermöglichen. Gibt es denn noch andere Lösungen, wie Ihr Joomla Seiten sichert, oder braucht man es eigentlich nicht? Ich habe ja laut Webspaceanbieter eine WAF??? VG Jan

Zitat von Stef

Mache alle Updates zeitnah und alles ist in Ordnung.

Danke Stef, dann lege ich mich wieder hin, und warte auf das nächte Update.