Sicherheitshinweise für Joomla-Websites

Joomla 1.5 ist weder ausgereift noch zu 100% sicher. Lies daher regelmäßig die News auf www.joomla.org, um dich über die neuesten Entwicklungen zu informieren. Und beherzige meine Tipps. Die wichtigsten stehen zuoberst.

zuletzt aktualisiert: 10.2.2009

Ändere den Benutzernamen für den Administrator-Account

Per Voreinstellung lautet der Benutzername für deinen Administratoraccout admin. Das ist eine Gefahr, denn Angreifer brauchen nur noch das Passwort zu erraten. Lege, wie im Buch empfohlen, einen individuellen Benutzernamen fest.

Mitgelieferte .htaccess-Datei aktivieren

Benenne die mitgelieferte Datei htaccess.txt aus dem Stammordner auf jeden Fall um in .htaccess. Auch wenn du nicht mit suchmaschinenfreundlichen URLs (Stichwort mod_rewrite) arbeiten willst. Dort stehen wichtige URL-Umschreibungs-Regeln, mit denen typische Hacking-Versuche schon von vornherein unterbunden werden können.

Dein Hoster kommt damit nicht zurecht? Im Zweifelsfalle kommentierst du die Zeilen aus, die etwas mit mod_rewrite zu tun haben. Das gelingt, indem du eine Raute # vor diese Zeilen setzt. Lasse auf jeden Fall nur den Bereich zwischen
########## Begin - Rewrite rules to block out some common exploits
und
########## End - Rewrite rules to block out some common exploits
so, wie er ist. Das ist der Bereich, der dich schützt!

Zugriff zum Backend per .htaccess schützen

Schütze den Zugriff zum Backend zusätzlich durch eine .htaccess-Datei. Das gelingt in aller Regel über das Kundenmenü des Dienstleisters. So habe ich es auf http://www.jchanke.de gemacht! Dort kommst du erst nach Eingabe von Benutzernamen und Passwort in den Bereich administrator. Hacker bekommen so erst gar keine Chance, dort einzudringen!

Fertige regelmäßig Datei-Backups und Datenbank-Backups an

Mache regelmäßig Backups der Dateien und der Datenbank. So wie im Anhang des Buchs beschrieben. Solltest du nur ein paar Bilder oder Mediendateien hochgeladen haben, genügt es auch, die Inhalte aus dem Pfad images/stories zu sichern.

Verwende nur sichere Erweiterungen

Eine große Gefahr stellen schlampig programmierte und damit ggf. unsichere Erweiterungen dar. Schon manche Joomla-Installation ist gehackt worden, weil die entsprechende Erweiterung unsicher war. Auch wenn die Erweiterung über http://extensions.joomla.org angeboten wurde bzw. wird!

Informiere dich also, ob die von dir gewünschte Komponente, das Modul oder das Plugin sicher sind. Kriterien für gute Erweiterungen können sein:

Bietet der Autor Support an, beispielsweise über ein Forum?
Ist das Skript evtl. schon einmal gehackt worden? Es gibt erfahrene Programmierer, die in der Szene bekannt sind und sehr hohe Maßstäbe an sich und ihre Skripte stellen und solche, die mit Sicherheitsfragen weniger vertraut sind.

Im Zweifelsfalle heißt es: Finger weg. Lieber eine Komponente weniger als ein unsicheres Skript!

Deinstalliere nicht benötigte Erweiterungen

Achte darauf, nicht benötigte externe Komponenten, Plugins und Module wieder zu deinstallieren. Das gelingt über Erweiterungen|Installieren/Deinstallieren. Über die Links Komponenten, Module und Plugins bekommst du einen Überblick über die installierten Erweiterungen. Hier kannst du diejenigen abhaken und deinstallieren, die du nur ausprobiert hattest und nicht verwendest. Auch deaktivierte Erweiterungen bleiben sonst im Dateisystem gespeichert. Da sie dort unbemerkt vor sich hin „veralten“ und auch nicht auf den neuesten Update-Stand gebracht werden, können sie ein erhebliches Sicherheitsrisiko darstellen.

Spiele regelmäßig Patches und Updates ein

Bleibe auf dem aktuellen Stand. Verfolge die Entwicklung von Joomla bzw. der installierten Erweiterungen. Führe zügig sicherheitsrelevante Updates durch.