Joomla sollte aber mit gutem Beispiel vorangehen und noch den Administrator-Bereich absichern.
https://cassiopeia.joomla.com/
Ja, htaccess wurde doch von Joomla Security immer als MUSS erklärt.
Oder ist dies auch nicht mehr gültig ?
früher wurde auch immer ein starker "Benutzername" als Sicherheit propagiert, und heute weiss man dass alles nur in Kleinschreibung angenommen wird.
Hol doch erstmal tief Luft und entspanne dich. Du vermischst hier viele Dinge, die nichts miteinander zu tun haben.
joomla.com ist nicht "Joomla" (das ist joomla.org). joomla.com wird von einem Dienstleister betrieben, der kostenlos Joomla!-Instanzen bereitstellt.
Wer ist "Joomla Security" die htaccess als "MUSS" erklärt haben?
Ein starker Benutzername wurde noch nie als Sicherheit propagiert, Benutzernamen sind per se kein Teil der Sicherheit. Was du mit "alles nur in Kleinschreibung" meinst, erschließt sich mir auch nicht. Der Benutzername kann Groß-/Kleinschreibung und auch Zahlen und Sonderzeichen enthalten, muss aber nicht. Ein starkes Passwort ist eine ganz andere Geschichte und zwingend empfohlen. Zusätzlich, um mit dem Wandel der Technologie mitzuhalten empfiehlt sich mittlerweile auch eine sogenannte Two-Factor-Authentication (z.B. ein Yubi-Key) um den Login nochmals sicherer zu machen.
Was sich für mich noch nicht genau erschlossen hat ist, woraus du hinaus willst. Für eine Sicherheitsratgeber musst du dich selbst in die Materie einarbeiten, da vieles abhängig von der Umgebung in der du dich befindest ist.
Hier ein paar unsortierte Buzz-Wörter:
- Mindespasswortlänge erhöhen
- mit Joomla! 4 (und sauber programmierten Templates + Erweiterungen) kann man für alle Ordner außer media/images/administrator den Zugriff mittels htaccess komplett blockieren, ohne dass Joomla! davon beeinträchtigt wird.
- außer die "index.php" im root und im administrator-Ordner muss eigentlich keine PHP-Datei ausführbar sein (angenommen die API/CLI wird nicht genutzt, sonst die dort auch). Deshalb kann man auch per htaccess PHP-Dateien aufrufen für alles andere unterbinden (eventuell sogar im image/media Ordner PHP komplett deaktivieren).
- statt PW-Schutz kann auch eine IP-Sperre fürs Backend sinnvoll sein (je nach Anwendungsfall).
- Mit dem header-Plugin von Joomla! 4 kann man gut XSS-Attacken unterbinden (wenn man weiß was man tut, ansonsten sperrt man sich auch gerne mal aus dem Backend aus).
- Nutzung von sauberen Zugriffsregeln
- Deaktivierung aller Erweiterungen die man nicht nutzt (insbesonders Plugins)
- Keine 3rd-Party-Erweiterungen nutzen
- Kein Code-Gefrickel in Overrides mit Sachen die man sich irgendwo herkopiert hat
- ..... nun wirds detailiert, gibt tausende Sachen die man machen kann, man muss sich halt einarbeiten....das wichtigste: Joomla! aktuell halten und regelmäßig Backups machen die aber nicht auf dem selben Server gespeichert werden.
Gibt viele Resourcen- und Infoseiten, ganz interessant ist u.a. auch: https://owasp.org/www-project-top-10-ci-cd-security-risks/