Weitere Seiten
Ein sicheres Joomla. Aber wie?
Geschrieben von: Markus Rouenhoff Mittwoch, den 29. Juli 2009 um 09:23 Uhr
Da das Thema Sicherheit grade mal wieder ein Thema zu sein scheint, habe ich Ihnen auch mal ein paar gute Tipps und Links zusammen gesucht.
Der Super Administrator Account
Fangen wir bei der Installation von Joomla an. Sobald diese durch geführt wurde, sollten Sie im Backend einen paar neue Dummy User anlegen. Stellen Sie die Gruppen Berechtigung der Dummy User auf Registered. Danach legen Sie einen User an, mit dem Sie sich auf Ihrer Seite als Administrator anmelden. Vermeiden Sie unbedingt Usernamen wie Admin oder Administrator. Löschen Sie die zuvor angelegten Dummy User dann wieder. Dies hat den Effekt das die UserID des SuperAdmines nicht so einfach zu erraten ist. Sollten Sie auf Ihrer Seite beabsichtigen, aktiv am Betrieb teilzunehmen, in dem Sie beispielsweise Artikel verfassen oder vlt. auch im Installierten Forum schreiben: Legen Sie sich dafür extra einen User an und geben Ihn aber keine SuperAdmin Rechte, sondern stellen Sie diesen auf Registered oder Author. Je nachdem was Sie beabsichtigen mit diesem Account auf Ihrer Seite zu machen.
Nun setzen Sie den bei der Installation angelegten Super Admin auf Registered und löschen Ihn anschliessend. Man ist nun gegen den Missbrauch des SuperAdmins Accounts schon ein Schritt mehr gesichert.
Die oft angesprochene .htaccess Datei
Diese Datei liegt im Joomla Hauptverzeichniss. Um diese Datei überhaupt nutzen zu können benötigen Sie zwingend ein aktiviertes Apache Modul mit dem Namen mod_rewrite. Sollten Sie sich nicht Sicher sein ob Sie dies Modul aktiviert haben auf Ihrem Web Paket, schauen Sie in die FAQ Ihres Hosters. Sollte sich daraus nichts verwertbares ergeben fragen Sie, aber auch nur erst dann, Ihren Hoster.
htaccess Datei mit eingebautem "Filter"
Eine wirklich gute .htaccess bekommen Sie bei Schwarzkünstler.de . Laden Sie sich die Datei "Erweiterte htaccess für Joomla 1.5.13" für Joomla herrunter und legen Sie diese in dem Hauptverzeichniss von Joomla ab. Mit dieser erweiterten htacess Datei sperren Sie sogenannte Bots aus, die meist nichts gutes im Schilde führen.
htaccess Datei mit Passwort Schutz für den Administrationsbereich
Um den Adminbereich zu sichern gibt es verschiedene Möglichkeiten. Eine davon ist, das man den Adminbereich mit einer Vorgeschaltenen htaccess und Passwort Abfrage schützen kann.
Dazu gibt es einige Generatoren die Ihnen die meiste Arbeit abnehmen. Einen Generator finden Sie zum Beispiel HIER ! Einen kleinen Tipp noch zu dem Generator: Sie müssen im Generartor den absoluten Pfad zum Verzeichniss angeben. Diesem bekommen Sie mit folgender Datei raus. LADEN Sie sich die diese DATEI herrunter (entpacken nicht vergessen) und speichern Sie diese im Verzeichniss:
joomlaroot/administrator/ und rufen Sie die Datei dann wie folgt auf: www.ihreseite.de/administrator/info.php
Nun sehen Sie die PHP Informationen. Suchen Sie nun die Zeile: DOCUMENT_ROOT welche sie im Abschnitt Environment finden. Kopieren Sie nun den Pfad der hinter Document_root steht und fügen ihn im htaccess Generator unter INTERNER PFAD ein. Löschen Sie nun aus Sicherheitsgründen die Datei info.php wieder.
Folgen Sie nun den Schritten im Generator. Den Abschnitt Fehler Seiten ignorieren Sie einfach. Im Abschnitt Sonstiges können Sie noch bei Indexieren das Nein anwählen.
Adminbereich ohne htaccess schützen
Es gibt ein kleines aber feines Plugin für Joomla!1.0 und Joomla!1.5, mit dem man dem Adminbereich schützen kann. Es nennt sich jSecure Authentication.
Mit diesem Plugin schützen Sie Ihrem Admin Bereich dadurch, das der Aufruf des Backends über die URL verändert wird. Wer nicht den genauen Link kennt, wird (dies kann im Plugin eingestellt werden) z.b. auf die Startseite weiter geleitet. Ich möchte aber betonen das der beste Schutz immer noch mit einer htaccess gegeben ist!
Datei- und Verzeichnissrechte anpassen
Achten Sie darauf das Sie die Zugriffsrechte (chmod) der Dateien und Verzeichnisse Ihrer Joomla Installation richtig setzen. Dies können Sie mit Ihrem FTP Programm kontrolieren und ändern.
Dateien sollten immer auf 644 und Ordner immer auf 755 stehen. Wenn Sie Ihre Konfiguration innerhalb von Joomla soweit angepasst haben und nicht mehr ändern wollen, setzen Sie die Datei configuration.php im Joomla Hauptverzeichniss auf 444.
Setzen Sie Dateiein und Ordner nie auf 777!
Ungenutze Erweiterungen deinstallieren!
Unter Joomla!1.5 können nicht genutze Komponenten deaktiviert werden, so ist kein Aufruf vom Frontend auf diese Möglich! Das beste ist aber wenn man diese deinstalliert, sofern man nicht beabsichtigt diese (später) zu nutzen.
Abschliessende Worte
Halten Sie nicht nur Ihre Joomla Grundinstallation immer auf dem aktuellsten Stand, sondern achten Sie auch darauf das Ihre installierten Erweiterungen immer aktuell sind! Es bringt Ihnen nichts wenn Joomla auf dem neuesten Stand ist, aber die Erweiterungen nicht!
Bedenken Sie, das Sie, wenn Sie eine Webseite betreiben, auch Verantwortung gegen über dritten Tragen. Durch einen Hack über Ihre Seite können auch andere Webseiten bei ihrem Provider in Mitleidenschaft gezogen werden.
Quellen und Inspirationen zum Artikel:
| Die leidige Suche nach Deutschen-Sprachdateien << | >> LayDev im neuen Design und Special Offer |
|---|
Abonieren Sie doch unseren RSS-Feed.
Kommentare
Danke ;-)
Viele Grüße
Bernd
super
gruß
stephan
Muss und werde davon sofort einige umsetzen.
Alle Kommentare dieses Beitrages als RSS-Feed.