Start Knowledge Base Joomla Joomla absichern - Sicherheit

Joomla absichern - Sicherheit

Aus der Kategorie: Joomla
Dienstag, 17. Mai 2011 (Zuletzt aktualisiert am Freitag, 20. Mai 2011)

Da Joomla! ein freies Content-Management-System ist, sollte man als Webseitenbetreiber einige Maßnahmen ergreifen um möglichen Angreifern die Arbeit zu erschweren.

 

Inhalte:

Nach Oben

Joomla Servereinstellungen

Das Absichern einer Joomla Installation fängt schon beim eingesetzten Server an. Meist wird Joomla in einer PMA (PHP, MySQL, Apache2) Umgebung betrieben, daher sollten folgende Hinweise beachtet werden:

Joomla Fehlerdokumente anpassen

Die Standardeinstellungen des Apache lassen es zu, dass wichtige Informationen über Softwareversionen und installierten Modules preisgegeben werden, wenn eine Server-Fehlerseite ausgegeben wird.

[update]Seit einiger Zeit wird dieses Problem automatisch behoben, indem die Standard-Fehlerseiten keine weiteren Informationen enthalten.[/update]

Dieses Verhalten kann durch wenige Angaben in der .htaccess (sofern AllowOverride aktiv ist) Datei verändert werden:

ErrorDocument 404 /error_documents/404.html

Dieser Eintrag kann für die verschiedenen Fehlercodes wiederholt werden (Apache Fehlercodes)

Fehler Anzeigen

Grundsätzlich sollte das Anzeigen von PHP Fehler nur während der Fehlersuche genutzt werden. Um die Anzeige der Fehler zu deaktivieren, bedarf es nur folgender Zeile in der .htaccess Datei:

php_flag display_errors off

Nach Oben

Joomla Updates

Selbstverständlich sollte der Webseitenbetreiber stets die aktuellsten Sicherheitsupdates einspielen. Jeder Betreiber sollte sich daher in den Joomla Security Newsletter eintragen.

Nach Oben

Joomla Ordner- und Dateirechte

Damit Joomla einwandfrei funktioniert, müssen einige Ordner für das Benutzerkonto des Webserver lesbar und beschreibbar sein, daher wird oft das 0777 Recht (Alle dürfen Lesen, Schreiben und Ausführen) verwendet.

Trotzdem sollten einige Daten mit restriktiveren Rechten ausgestattet werden:

  • htaccess
  • configuration.php
  • index.php
  • index2.php
  • administrator/index.php
Nach Oben

Joomla Einstellungen

Joomla selbst kann sogar über die Systemeigenen Einstellungen etwas sicherer gemacht werden.

Benutzerkonfiguration

Über die Joomla-Konfiguration sollten folgende Einstellungen deaktiviert werden, wenn man Sie nicht unbedingt benötigt:

  • Benutzerregistrierung erlauben
  • Gruppe für neue Benutzer
  • Aktivierung neuer Konten
  • Einstellungen im Frontend

Server

In diesem Bereich sollte, sofern möglich, SSL für den Administratorbereich erzwungen werden.

Diese Einstellung kann allerdings ignoriert werden, wenn man eine entsprechende Einstellung über eine .htaccess Datei im /administrator Ordner vornimmt. Sollte man diesen mit einer .htaccess Passwortabfrage versehen haben, kommt es nämlich zu zwei Passwortabfragen, weil Joomla die SSL Weiterleitung erst nach der Authentifizierung am Webserver durchführt.

Nach Oben

Joomla Administratorbereich absichern

Das Backend sollte grundsätzlich mit einer Authentifizierung am Webserver abgesichert werden. Hierfür wird lediglich eine .htaccess und eine .htpasswd im /administrator Ordner benötigt:

/administrator/.htaccess

AuthUserFile /<absoluter_pfad_zu_Joomla>/administrator/.htpasswd
AuthName "Password Protected Area"
AuthType Basic

require valid-user

/administrator/.htpasswd

<Benutzername>:<kodiertes_passwort>

Es gibt genügen freie Onlinegeneratoren für das kodieren von Passwörtern für einen .htaccess Schutz.

< Zurück   Weiter >

Verwandte Beiträge