Nachinstallationshinweise für Joomla! CMS

    "Willkommen bei Joomla", "Statistikerhebung", "Automatische Updates"..... sind so allgemeine Infos. Kann man aktivieren/deaktivieren, so wie man es halt möchte.
    Wenn eine Änderung an der .htaccess vorzunehmen ist, dann sollte man diese durchführen, sofern man überhaupt eine .htaccess verwendet (meist ist dies ja der Fall). Bei Joomla-Updates wird nämlich immer nur die htaccess.txt aktualisiert und nicht die .htaccess, weil diese nicht von Joomla selber angelegt wird, sondern manuell durch den User.
    Welche Hinweise hast du sonst noch?

    Viele Grüße!
    JoomlaWunder

    .htaccess Aktualisierung Brotli-Komprimierung

    Seit Version: 4.4.4

    Vor 5.1.0 unterstützte die Standard htaccess.txt keine Brotli-Komprimierung. Dies konnte zu doppelten Komprimierungsfehlern führen, wenn Joomla auf einem Server installiert ist, der Brotli-Komprimierung verwendet. Die notwendigen Änderungen sollten manuell an einer bestehenden .htaccess-Datei vorgenommen werden, da diese Datei nicht automatisch aktualisiert werden kann.

    Alter Code:

    Apache Configuration
    RewriteRule '\.css\.gz$' '-' [T=text/css,E=no-gzip:1]
RewriteRule '\.js\.gz$' '-' [T=text/javascript,E=no-gzip:1]

    Neuer Code:

    Apache Configuration
    RewriteRule '\.css\.gz$' '-' [T=text/css,E=no-gzip:1,E=no-brotli:1]
RewriteRule '\.js\.gz$' '-' [T=text/javascript,E=no-gzip:1,E=no-brotli:1]

    .htaccess Aktualisierung in Bezug auf die Einstellung des Content-Encoding-Headers

    Seit Version: 4.2.9

    Vor 4.2.9 enthielt die Standarddatei htaccess.txt einen fehlerhaften Code für das Anhängen des HTTP-Headers 'Content-Encoding'. Dies konnte zu doppelten Kodierungsfehlern führen, wenn Joomla in einem Unterverzeichnis installiert ist und sowohl dieses Verzeichnis als auch das übergeordnete Verzeichnis eine .htaccess-Datei mit diesem Code enthalten. Die notwendigen Änderungen sollten manuell an einer bestehenden .htaccess-Datei vorgenommen werden, da diese Datei nicht automatisch aktualisiert werden kann.

    Alter Code:

    Code
    Header append Content-Encoding gzip

    Neuer Code:

    Code
    Header set Content-Encoding gzip

    Verbesserte Multi-Faktor-Authentifizierung

    Seit Version: 4.2.0

    Joomla kommt mit einer bedeutend verbesserten Multi-Faktor-Authentifizierung, die es ermöglicht, die Logins der Benutzer abzusichern.

    Anders als bei der Zwei-Faktor-Authentifizierung in früheren Versionen von Joomla müssen die Benutzer nicht mehr einen Sicherheitscode zusammen mit ihrem Benutzernamen und Passwort eingeben. Die Multi-Faktor-Authentifizierung erfolgt in einem separaten Schritt nach der Anmeldung auf der Website. Solange die Validierung der Multi-Faktor-Authentifizierung noch nicht abgeschlossen ist, können die Benutzer nicht zu anderen Seiten wechseln oder die Website nutzen. Dadurch wird die Multi-Faktor-Authentifizierung gegen Phishing geschützt. Außerdem ermöglicht sie interaktive Validierungsmethoden wie Passkeys (einschließlich der Integration mit Windows Hello, Apple TouchID / FaceID und Android Biometric Screen Lock) oder den Versand von sechsstelligen Authentifizierungscodes per E-Mail. Beide dieser interaktiven, bequemen Methoden sind jetzt als Plugins verfügbar, die mit Joomla mitgeliefert werden.

    .htaccess Aktualisierung in Bezug auf Verzeichniseinträge

    Seit Version: 3.9.22

    Vor 3.9.22 enthielt die Standarddatei htaccess.txt fehlerhaften Code zum Deaktivieren von Verzeichnisauflistungen. Das Sicherheitsteam empfiehlt, die notwendigen Änderungen manuell auf jede bestehende .htaccess-Datei anzuwenden, da diese Datei nicht automatisch aktualisiert werden kann.

    Alter Code:

    Code
    <IfModule autoindex>
  IndexIgnore *
</IfModule>

    Neuer Code:

    Code
    <IfModule mod_autoindex.c>
  IndexIgnore *
</IfModule>

    Zusätzlicher XSS-Schutz für die Verwendung von SVG-Dateien

    Seit Version: 3.9.21

    Seit 3.9.21 wird Joomla mit einer zusätzlichen Sicherheitsregel in der Standard htaccess.txt ausgeliefert. Diese Regel schützt Benutzer von svg-Dateien vor potentiellen Cross-Site-Scripting (XSS)-Schwachstellen.
    Das Sicherheitsteam empfiehlt, die notwendigen Änderungen manuell auf die bestehende .htaccess-Datei anzuwenden, da diese Datei nicht automatisch aktualisiert werden kann.

    Änderungen für .htaccess

    Code
    <FilesMatch "\.svg$">
  <IfModule mod_headers.c>
    Header always set Content-Security-Policy "script-src 'none'"
  </IfModule>
</FilesMatch>

    Zurzeit ist uns keine Methode zur bedingten Konfiguration dieser Regel auf IIS-Webservern bekannt, bitte kontaktieren Sie Ihren Hosting-Provider für weitere Unterstützung.

    Aktualisierte Textfilter-Empfehlungen

    Seit Version: 3.9.19

    Im Rahmen der Überprüfung durch unser Sicherheitsteam wurden einige Änderungen an den Standardeinstellungen für die globalen Textfilter in einer neuen Joomla-Installation vorgenommen. Die Standardeinstellung für die Gruppen 'Public/Öffentlich', 'Guest/Gast' und 'Registered/Registriert' groups ist jetzt 'No HTML/Kein HTML'. Da diese Änderungen nur für Neuinstallationen gelten, wird dringend empfohlen, diese Änderungen in den Einstellungen zu überprüfen: System → Konfiguration → Textfilter

    .htaccess & web.config Sicherheitsupdate

    Seit Version: 3.9.3

    Seit Version 3.9.3 wird Joomla mit zusätzlichen Sicherheitsmaßnahmen in den Standarddateien htaccess.txt und web.config.txt ausgeliefert. Diese Maßnahmen deaktivieren die sogenannte MIME-Sniffing-Funktion in Webbrowsern. Das Sniffing führt zu speziellen Angriffsvektoren, mit denen Skripte in normalerweise harmlosen Dateiformaten (z. B. Bildern) ausgeführt werden, was zu Cross-Site-Scripting-Schwachstellen führt.

    Das Joomla! Sicherheitsteam (JSST) empfiehlt dringend, die notwendigen Änderungen manuell auf bestehende .htaccess oder web.config Dateien anzuwenden, da diese Dateien nicht automatisch aktualisiert werden können.

    Änderungen in der .htaccess
    Folgende Zeilen einfügen vor '## Mod_rewrite in use.':

    Code
    <IfModule mod_headers.c>
Header always set X-Content-Type-Options 'nosniff'
</IfModule>

    Änderungen in der web.config
    Folgende Zeilen einfügen direkt nach '</rewrite>':

    Code
    <httpProtocol>
  <customHeaders>
    <add name='X-Content-Type-Options' value='nosniff' />
  </customHeaders>
</httpProtocol>

    Erhöhte Verwaltung der Privatsphäre der Benutzer

    Seit Version: 3.9.0

    Mit der Einführung der DSGVO für EU-Bürger und vergleichbaren Vorschriften in anderen Teilen der Welt kann es erforderlich sein, dass der Betreiber einer Website vor der Speicherung von personenbezogenen Daten eine Einwilligung einholen muss.

    Joomla 3.9 bietet neue Funktionen, die bei der Umsetzung von Datenschutzrichtlinien und beim Einholen der Benutzerzustimmung unterstützen.

    Mit dem neu integrierten Workflow können Anfragen zu gespeicherten Daten bearbeitet werden, beispielsweise Anfragen zum Entfernen personenbezogener Daten.

    Weitere Informationen zu dieser neuen Funktion sind in der Dokumentation unter Datenschutz zu finden.

    Benutzeraktivitäten können jetzt protokolliert werden

    Seit Version: 3.9.0

    Mit der Veröffentlichung von Joomla 3.9.0 können nun alle administrativen Aktivitäten der Benutzer, in unterstützten Erweiterungen, protokolliert werden. Es ist jetzt leicht zu sehen, wer was wann getan hat.

    Die Protokolle können in Joomla überprüft oder zur externen Verwendung exportiert werden.

    Weitere Informationen zu diesem neuen Feature sind in der Dokumentation unter Benutzeraktivitäten zu finden.

    Statistikerhebung in Joomla

    Seit Version: 3.5.0

    Seit Joomla! 3.5 sendet ein Statistik-Plugin anonyme Daten zum Joomla! Projekt. Dabei werden nur die Joomla- und PHP-Version, der Datenbanktyp und -version und das Serverbetriebssystem gesendet.

    Diese Daten werden für zukünftige Joomla-Versionen erhoben, um sicherzustellen, dass diese von den neusten Datenbank- und PHP-Funktionen profitieren können, ohne das vorhandene Joomla-Benutzer Probleme bekommen. Die Notwendigkeit wurde klar, als als Minimum PHP 5.3.10 für Joomla! 3.3 notwendig wurde, da hier die sichere Passwortspeicherung mit Bcrypt eingeführt wurde.

    Im Interesse voller Transparenz und um Erweiterungsentwicklern zu helfen, sind die Daten öffentlich einsehbar. Eine API und Diagramme zeigen die verwendeten Joomla-Versionen, PHP-Versionen und Datenbanktypen.

    Wenn das Senden dieser Daten an das Joomla! Projekt unerwünscht ist, kann das Plugin „System – Joomla-Statistikerhebung“ deaktiviert werden.

    Möglicherweise gibt es Probleme mit den Mehrsprachigkeitseinstellungen

    Seit Version: 3.4.1

    Seit Joomla! 3.4.0 gibt es möglicherweise Probleme mit dem „System – Sprachfilter“-Plugin. Um diese Probleme zu beheben, bitte alle Inhaltssprachen (unter Sprachen) öffnen und erneut speichern, dabei muss sichergestellt sein das eine Zugriffsebene gesetzt ist (normalerweise „Öffentlich“ oder „Public“).

    Änderungen an der Standard robots.txt-Datei

    Seit Version: 3.3.0

    In Joomla! 3.3 wurde die Standard „robots.txt“ angepasst, sodass Google und andere Webcrawler, auf das Medienverzeichnis („/images/“) und das Templateverzeichnis („/templates/“) zugreifen können. Diese Änderungen wurden für bessere Suchmaschinenoptimierung (SEO) der Website implementiert.
    Diese Änderung wird nicht automatisch bei Updates angewendet. Anwendern wird aber empfohlen, die Änderungen in der „robots.txt.dist“-Datei zu überprüfen und diese Änderung in der eigenen „robots.txt“-Datei nachzuziehen.

    Die angegebenen Änderungen, die die .htaccess betrifft, solltest du auf jeden Fall vornehmen. Diese sind schon lange für Joomla vorgesehen.
    Wahrscheinlich hast du die genannten Änderungen oder zumindest eine Teil davon bereits vorgenommen. Einige Hinweise sind ja bereits zu Joomla3-Zeiten erschienen.
    Die web.config braucht dich nicht zu interessieren, da du bei deinem Hoster einen Apache-Server hast.
    Das andere sind alles Hinweise, die kein Handeln erforderlich machen.

    Viele Grüße!
    JoomlaWunder

    Du solltest Dich mindestens so weit mit den Begriffen aus den Nachinstallationshinweisen beschäftigen, dass Du einschätzen kannst, ob das Thema für Dich wichtig ist oder nicht. Was ich für wichtig halte: Die .htaccess

    Informationen darüber findest Du reichlich im Internet. Die wichtigsten Grundlagen zur .htacces liefert dieser Wikipedia-Artikel.

    Freundliche Grüße aus Wächtersbach, Rolf Dautrich

    Ich ergänze mal noch:

    In deiner .htaccess-Datei im Joomla-Root-Dateiordner dort:

    https://h-steinbrecher.de/.htaccess

    mußt du nachschauen ob die in den Nachinstallationshinweisen genannten Änderungen bereits dort vorhanden sind oder entsprechend von dir abgeändert werden müßten.

    Etwas Hintergrundinfo:

    Joomla liefert nur eine entsprechende Beispiel-htaccess als txt-Datei als Vorlage, die jedoch manchmal individuell je nach der Konfiguration des verwendeten Computersystems(Apache-Webserver) deines Webhosters ergänzt oder geändert werden muß um Fehlerfrei zu funktionieren. Insbesondere deshalb wird daher die .htaccess-Datei nicht vom Joomla! erstellt oder verändert.

    Diese Beispiel-htaccess-Datei ist die htaccess.txt im Joomla-Root Dateiorder, also dort:

    https://h-steinbrecher.de/htaccess.txt

    bzw. z.B. auch dort zu finden:

    github.com/joomla/joomla-cms/blob/5.4.5/htaccess.txt