Mache alle Updates zeitnah und alles ist in Ordnung.
Danke Stef, dann lege ich mich wieder hin, und warte auf das nächte Update.
Beiträge von DerMueller
-
-
Alles anzeigen
Wenn du die Sicherheit deiner Website erhöhen möchtest könntest du nachfolgende zusätzliche Einträge in der .htaccess vom Joomla-Root-Dateiordner machen
so wie es am JoomlaDay DACH 2023 von David (Joomla!-Security-Strike-Team) auch präsentiert wurde.
Also dort wo auch die configuration.php liegt:
Apache Configuration
Alles anzeigen# Allow access to specific files RewriteCond %{REQUEST_URI} !^/index\.php$ RewriteCond %{REQUEST_URI} !^/administrator/index\.php$ RewriteCond %{REQUEST_URI} !^/administrator\/components\/com_joomlaupdate\/restore\.php$ RewriteCond %{REQUEST_URI} !^/administrator\/components\/com_joomlaupdate\/extract\.php$ RewriteCond %{REQUEST_URI} !^/api\/index\.php$ RewriteCond %{REQUEST_URI} !^/kickstart\.php$ # Block acess to all other existing .php files RewriteCond %{REQUEST_URI} \.php$ RewriteCond %{REQUEST_FILENAME} -f RewriteRule .* - [F]Am Anfang der folgenden Stelle der .htaccess einfügen:
github.com/joomla/joomla-cms/blob/5.3.4/htaccess.txt#L82-L88
ACHTUNG WICHTIG !
Aber beachte das du auch noch weitere entsprechende Eintragungen machen mußt wenn außer Joomla! noch andere PHP-Anwendungen/PHP-Scripte in diesem Dateiorder oder in einem seiner Dateiunterordner liegen und weiterhin aufrufbar sein sollen...
Oder auch wenn du z.B. die kickstart.php umbennant hast.
Denn diese aufrufe werden sonst auch geblockt!!!
Die Zeile:
CodeRewriteCond %{REQUEST_URI} !^/api\/index\.php$kannst du weglassen solange du keine API-Aufrufe benötigst bzw. erlauben möchtest
Danke Sieger66, für deine Rückmeldung und deinen Tipp! Leider habe ich keine Ahnung von der
Programmierung in Joomla, und möchte auch keine Fenster öffnen um evtl. doch einen Zugang zu ermöglichen. Gibt es denn noch andere Lösungen, wie Ihr Joomla Seiten sichert, oder braucht man es eigentlich nicht? Ich habe ja laut Webspaceanbieter eine WAF??? VG Jan -
Welche Seiten...
Hallo Stef, ich meinte den Standard Joomla setup Version 5.3.4.
-
Dank flotte für deine Antwort.
Meinst Du, dass wir mit unseren Seiten mit ausreichend Sicherheitsmerkmale in Joomla versorgt sind?
Oder was würdest Du noch zusätzlich tun?
VG Jan
-
Hallo zusammen, ich lese gerade die Anforderungen die uns unsere Homepage gestellt wird.
"Institutionen sollten eine Web Application Firewall (WAF) einsetzen. Die Konfiguration der eingesetzten WAF sollte auf die zu schützende Webanwendung oder den Webservice angepasst werden. Nach jedem Update der Webanwendung oder des Webservices sollte die Konfiguration der WAF geprüft werden.
Eine Web Application Firewall ist eine Spezialform einer Application Firewall für das HTTP-Protokoll, um die damit verbundeneren Angriffe zu minimieren.
Bei der Bereitstellung einer web-Anwendung sollten Sie entweder eine open source Lösungen (wie ModSecurity, Waf2Py oder OctopusWAF) oder eine spezielle kommerzielle Appliance verwenden. Zu dem Einsatz einer Web Application Firewall gehört auch die richtige Konfiguration der Firewall, ggf. die Härtung der zugrunde liegenden Hardware und des Betriebssystems und die regelmäßige Wartung und Updates"Ich habe bei checkdomain angefragt, ob eine WAF eingesetzt wird. Rückmeldung: "Ja, grundsätzlich kommt eine Web Application Firewall (WAF) zu Einsatz"
Ich kann mir die WAF im Kundenportal ansehen:
Nun meine Frage: Ist das nun ausreichend für die Anforderung oben?
"Nach jedem Update der Webanwendung oder des Webservices sollte die Konfiguration der WAF geprüft werden."
--> Wie prüft Ihr denn sowas?
VG Jan
-
Danke Sieger66
-
Danke agarbathi,
ich habe beim Provider angerufen. Angeblich war das ein Systemfehler, das Zertifikat hätte sich automatisch aktualisieren sollen. Nun läuft aber wieder alles.
Nochmal Dank!
Jan
-
Hallo zusammen,
ich habe gerade festgestellt, dass mein Browser meine Homepage als Sicherheitsrisko einschätzt.
Ich habe nun ein Zertifikat vom Provider runtergeladen, aber wo muss ich nun das Zertifikat ablegen, und welche Datei wird benötigt?
Vielleicht kann mir jemand einen Tipp geben?
Ich nutze ein Astroid Template, wird es dort eingebunden?
VG Jan
-
Das ist nicht doof, dass ist eine massive Sicherheitslücke! Sollte aber auch mit JCH, korrekt eingerichtet, nicht passieren. Kann das sein, dass du den Seitencache an hast? Plugin -> System - Seitencache
Wenn ja, ausschalten, das macht z.B. häufiger Probleme, gerade bei interaktiven Seiten.
Und unter Konfiguration - System auch noch mal schauen ob der Cache korrekt auf "AN - Normales Caching" steht. Kein erweitertes Caching.
Danke Andreas24, ich habe mich vom JCH verabschiedet und gelöscht. Danke für deinen Hinweis.
-
Nur zur Info:
Der Button löscht den Astroidcache UND den Joomlacache. Damit sollte es weg sein. Teste es.
Hallo Elwood,
ja, die Anzeige ist so wie Du es beschrieben hast.
Ich habe natürlich trotzdem Panik, dass diese massive Sicherheitslücke nochmal auftritt.
Ich bin ja auf nur Anfänger, und dachte dass der cache sich automatisch nach jeder Nutzung eines Formulars löscht. Reicht es denn, wenn ich einmalig den cache im Astroid lösche?
-
ich habe es noch nie erlebt, dass ein Formular Daten vom vorherigen Benutzer anzeigt ... Ist das Problem reproduzierbar? Und wie schon oben erwähnt DerMueller du solltest ein neues Thema aufmachen und alle nötigen Daten eintragen, damit wir sinnvoll helfen können.
Hallo drmenzelit, ich habe JCH nun von der Seite gelöscht. Da ich die Seite nur als Hobby nutze, möchte ich kein Risiko eingehen und habe es hofffentlich damit gelöst.
Ich kann nur schreiben, dass ich eine grüne Kontrollleuchte gesehen habe, und dabei dieses Problem aufgetauscht ist.
-
DerMueller Ich denke du hast mich falsch verstanden.
Diese Einträge sollen raus aus der .htaccess (falls noch vorhanden) nachdem JCH deinstalliert wurde und nicht rein!
Mach bitte deinen eigenen Thread dazu auf, dieser ist bereits erledigt.
Danke Dirk, dann brauche ich ja an der .htaccess nicht mehr machen.
Danke christine2 , ja das war der ursprüngliche Eintrag.
Ich habe trotzdem noch eine Frage zum Thema Cache, auch wenn es hier vielleicht nur zu 80% hingehört. Gibt es denn eine Möglichkeit den Cache zu testen, ob er nach dem versenden des Formulars in Visform den Cash wirklich gelöscht hat?
Ist einfache doof, wenn Daten vom nachfolgenden Benutzer die Daten vom vorherigen Benutzer ansehen kann. grrrr
Habt Ihr dafür einen Tipp? Oder kann ich mir sicher sein, dass es wirklich am JCH lag, und nun Astroid den Cache sofort löscht?
-
Danke Dirk, ich finde leider bei mir nichts in der htaccess.
Macht es Sinn, dass ich es so einfüge:
## BEGIN EXPIRES CACHING
<IfModule mod_expires.c>
ExpiresActive on
</IfModule>Oder macht es keinen Sinn?
Welche Auswirkungen würde denn das Einfügen haben?
-
und in der .htaccess die JCH Einträge ebenfalls entfernen
Hallo Dirk, ich habe mir nochmal meine .htaccess angesehen. Habe aber keinen "JCH" Eintrag gefunden, der gibt es noch einen zweite .htaccess in einem Unterordner?
-
Servus zusammen, ich habe JCH auch gelöscht. Kann ich denn irgendwie überprüfen, dass der Cache nun wieder automatisch gelöscht wird? Ich hatte das Problem, dass die Daten der genutzen Formulare vom vorherigen Benutzer eingesehen werden konnten, was super ärgerlich ist.
-
Danke Elwood,
ich habe noch eine anderen Provider, ich werde am Wochenende die Datensicherung mal testweise aufspielen.
-
Hallo Elwood, ich habe Dir den Schriftverkehr zu dem Problem unter Konvenversationen übermittelt. Ich habe aber auch das Problem, dass Änderungen der Formulare (visform) erst nach 13 Min. im Frontend zu sehen sind. Ich denke gerade, dass es an der Performence von Checkdomain liegt, da die Geschwindigkeit auch bei anderen tools gerade ein Problem darstellt. Früher hatte ich das Problen nie, mit der Performence. Oder kann es am Template liegen? Ich nutze joomlaplates, und bisher gab es damit auch nie Probleme.
-
Servus zusammen, ich nutze visform, ich kann die Formulare empfehlen und war immer zufrieden damit. Wo kann ich denn die URL eines Formulars mit Daten für Caching im backend deaktivieren? Oder sind das Einstellungen die der webspace Betreiber anpassen muss?
VG Jan
-
Danke @Rolf Dautrich, das mache ich.
-
Rolf Dautrich danke für Deine Rückmeldung!
Ja, mit einer Erweiterung EasyAppointment, by Ionut Lupu.
Ich kann auch Ionut fragen, meinst Du es "hängt" an der Erweiterung?
Oder doch an meinem Joomla?
