Sicherheitsextensions und andere vorbeugende Maßnahmen

  • Hallo Forum,


    für meine Joomla! Seite möchte ich ein hohes Maß an Sicherheit sicher stellen.


    Daher meine erste Frage, gibt es eventuell ein Tutorial/Anleitung nebst ToDo-Liste was man im Einzelnen beachten muss und installieren sollte?


    Desweiteren habe ich mir natürlich selbst Gedanken gemacht, was mögliche Schwachstellen sind und würde diese gerne beheben;
    folgendes habe ich bereits getan:
    https ist eingerichtet


    Folgendes müsste noch getan werden

    • - alle Hinweiseauf Joomla! verstecken - hier habe ich bereits im Quelltext konsequent das Wort "joomla" verbannt (ist das erlaubt?), aber strukturell reicht die Eingabe des Ordnernamens "administrator" aus und schon ist klar, dass es sich um Joomla! handelt. Kann man dieses Verzeichnis z.B. durch umbenennen schützen? Wenn das nicht geht, gibt es einen backend Verzeichnisschutz? Wenn es auch das nicht gibt muss es wohl per .htaccess und .htpasswd geschützt werden.
    • Es gibt auf der Seite ein Kontaktformular - hier (aber auch für das backend-login) würde ich ein captcha einsetzen wollen. Was ist da zu empfehlen? Von google gibt es ja das "NoCaptcha reCaptcha", ist das gut? Wie sind eure Erfahrungen? Wie schützt ihr euer Kontaktformular, dass es nicht für Spam oder als Einfallstor zum Hacken missbraucht wird?
    • Wird von Joomla! sichergestellt, dass über die url, sowie über sämtliche Eingabefelder des Logins, des Kontaktformulars und der Suche kein Schadcode weitergetragen wird oder muss ich selbst auf die Maskierung der Eingaben achten um xss oder sql-injections zu verhindern? Wie geht ihr hier vor?


    Und drittens und letztens:
    Was gibt es für weitere Sicherheitsaspekte, an die ich bisher nicht gedacht habe und wie sind da eure Empfehlungen?


    vielen Dank schon mal im voraus
    buja

  • Folgende Sicherheit habe ich bei mir eingebaut:


    - Joomla und Extensions immer auf dem neuesten Stand
    - /administrator-Verzeichnis mit .htaccess geschützt
    - ReCaptcha hiermit realisiert: ECC+
    - in Kontaktformularen 'Kopie an Absender' deaktiviert


    ICH bin dadurch bis jetzt noch nie gehackt worden.


    Wäre jetzt so meine Empfehlung.

  • Wie Elwood schreibt. Mehr habe ich auch noch nie gemacht. Und seit 2004 bin ich noch nie gehackt worden.
    Regelmäßige Updates sind das A und O der Sicherheit! Nicht nur Joomlas, sondern auch der Erweiterungen. Mehr brauchts nicht.
    Einen Capcha brauchst nur, wenn es entsprechende Eingaben durch Benutzer gibt, sonst brauchst das nicht. Ein Login mit einem Capcha zu schützen, wird zum einen nicht gehen und ist zum anderen überflüssig. Nicht jedoch der Verzeichnisschutz. Wahlweise per htaccess-Schutz - den du in deiner Domainverwaltung einstellen kannst - oder per token. Glaube ECC+ hat sowas in seinen Einstellungen. Bei einem Kunden habe ich das eingesetzt und wenn du dort den Adminpfad eingibst, landest du automatisch bei Google.


    Gegen den Capcha spricht auch, dass die Site für Behinderte nur noch bedingt zu benutzen ist und das alle Capchas früher oder später geknackt werden.



    Axel

  • Hallo an alle,


    erstmal herzlichen Dank für die umfangreichen Antworten!
    Dass Captchas nicht barrierefrei sind, hab ich noch nicht bedacht, danke insbesondere dafür.


    Ansonsten muss ich den Input erstmal verarbeiten und sehen wie alles zusammen passt (und an anderen Baustellen arbeiten). Aber ich melde mich auf jeden Fall diesbzgl. wieder.


    viele Grüße
    buja

  • Das ist wohl wahr und das werde ich letztlich so auch machen. Allerdings hätte ich es bevorzugt, wenn das administrator-Verzeichnis umbenannt werden könnte, irgendwas wie cf7hm,lxe3rn8 sprich das Verzeichnis selbst ist schon mal nur Eingeweihten zugänglich (klingt ein bisschen paranoid, ich weiss)

  • Das ist wohl wahr und das werde ich letztlich so auch machen. Allerdings hätte ich es bevorzugt, wenn das administrator-Verzeichnis umbenannt werden könnte, irgendwas wie cf7hm,lxe3rn8 sprich das Verzeichnis selbst ist schon mal nur Eingeweihten zugänglich (klingt ein bisschen paranoid, ich weiss)


    Ja, bei anderen Skripten ist das oft so, dass man den Pfad zum Backend selbst wählen kann oder er generiert wird.
    Aber auch bei solchen Skripten ist ein Schutz mittels .htaccess immer sinnvoll - von daher macht das keinen großen Unterschied.


    Wenn ich Seiten alleine verwalte schalte ich den Frontend-Login komplett ab, da ich eh nur im Backend arbeite.
    Joomla Frontend-Login abschalten!