Mittwoch, 10.06.2020

12 Punkte Plan für ein sichereres Joomla!

Artikel bewerten
(1 Stimme)

Joomla! ist das am zweit meisten verwendete CMS (Content-Management-System) und dem entsprechend ist Sicherheit sehr wichtig, denn ein so weit verbreitetes CSM wird oft Ziel von Cyber-Angriffen.

Hacker versuchen immer Lücken in Ihrer Webseite zu finden und sollten solche Lücken auf Ihrer gefunden und ausgenutzt werden, so wird die Angelegenheit sehr schnell, sehr teuer.

Im Rückschluss heißt das, es ist verdammt wichtig, dafür zu sorgen, dass die eigene Webseite sicher ist.

Wir zeigen Ihnen hier Ihnen einige Einsteiger Tipps, wie Sie Ihre Joomla! Webseite ganz einfach sicher machen können!

1. Halten Sie Ihre Joomla! Version auf dem aktuellen Stand

Einer der wohl einfachsten Wege es für Hacker zu erschweren Ihre Seite zu hacken ist es immer die aktuellste Version von Joomla! zu verwenden.

Veraltete Versionen von Joomla! oder etwaigen Plug-Ins und Erweiterungen (Extensions) öffnet Tür und Tor für Hacker.

Jede neue Joomla! Version kommt mit Sicherheitspatchs, welche bekannte Sicherheitslücken beheben und so den Schutz der Webseite verbessern. Um Ihr Joomla! upzudaten gehen Sie in den Administratoren Bereich und klicken auf die Option "Updates".

Sollten Sie Joomla Erweiterungen benutzen empfehlen wir Ihnen dringendst, diese up-to-date zu halten. Denken Sie bitte daran vorher ein Backup zu erstellen wie weiter unten beschrieben.

Image
Image

2. Augen auf bei der Passwortwahl

Sehr häufige Sicherheitslücken sind schwache Passwörter und Log-in Informationen. Diese zu knacken wird als "Brute Forcing" bezeichnet.

Wir empfehlen Ihnen daher Ihre E-Mail Adresse als Account Namen zu verwenden. Was die Passwortlänge angeht empfehlen wir Ihnen eines zu wählen mit mindestens 8 Zeichen, hierbei gilt die Faustregel, je länger desto besser. Längere Passwörter bieten mehr Sicherheit.

Sie sollten hierbei auch Groß- und Kleinbuchstaben verwenden sowie Zahlen und Sonderzeichen um Ihr Passwort sicherer zu machen. Ein sicherer Admin Log-in macht Ihre Seite im Allgemeinen sicherer und weniger anfällig für "Brute Force" Attacken.

Beispiele für sichere Joomla! Passwörter:

  • K%2l3$1l2k
  • J00mla!UpGrad3SerV1C$

 

Es ist auch empfehlenswert Ihre User dazu aufzufordern, oder gar zu zwingen sichere Passwörter zu verwenden.

3. Machen Sie regelmäßige Back-Ups

Sollte doch mal etwas schief gehen, retten Ihre Back-Ups Ihrer Webseite das Leben!

Deshalb sollten Sie immer regelmäßig Back-Ups Ihrer Dateien, Archive und der Webseite machen, sodass Sie diese zur Verfügung haben, sollten Sie sie benötigen.

Wir empfehlen Ihnen daher auch, bei der Auswahl von Hosting-Diensten einen auszuwählen, welcher einen Back-Up Service anbietet.

Alternativ können Sie auch Back-Up Erweiterungen benutzen wie zum Beispiel Akeeba Backup, oder Easy Joomla Backup. Diese Erweiterungen bieten Ihnen unter anderem die Möglichkeit automatisch Back-Ups zu machen.

Image

4. Schützen Sie Ihre Joomla! Administrator URL

Indem Sie den Zugang zu dem Administrator Bereich Ihrer Webseite beschränken und absicher können Sie die Sicherheit Ihrer Joomla! Webseite signifikant verbessern.
Die zwei einfachsten Methoden hierfür sind die URL zu der Log-in Seite zu verändern oder das Admin Panel mit einem Passwort zu versehen. Die Log-in URL zu verändern ist ganz einfach mit Erweiterungen wie Admin Tools, oder RSfirewall.

Das Log-In Panel ist ganz einfach, von der cpanel Startseite (main page) aus, mit einem Passwort zu versehen. Hier fügen Sie dann ein Passwort als Sicherheit zu Ihrer Admin Seite hinzu.
Anschließend müssen Sie jedes mal dieses Passwort eingeben, wenn Sie auf Ihr Admin Panel zugreifen wollen.

Zusätzlich können Sie Zugang zum Administrator Bereich beschränken indem Sie die IP Adressen, welche darauf zugreifen dürfen beschränken. Um dies zu tun, ändern Sie x.x.x.x zu Ihrer IP Adresse im .htaccess File (sollte Ihr ".htaccess" noch "htaccess.txt" sein, benennen Sie dieses um in ".htaccess", um exploits zu vermeiden)  und speichern Sie dieses ab. So können nur User von erlaubten IP Adressen auf Ihre Administrator Seite Zugriff nehmen.

Dies sollte dann so ausehen:

`Deny from ALL`

`Allow from x.x.x.x` 

 

Achtung: Sollte Ihr Internet Provider eine dynamische IP (so wie in Deutschland üblich) anbieten, ist dies eventuell nicht machbar für Sie, da Sie jedes mal, wenn Ihre IP Adresse sich ändert das .htaccess File ändern müssten.)

Image

5. Benutzen Sie Joomla! Sicherheitserweiterungen

Sollten Sie um die Sicherheit Ihrer Webseite sorgen und wollen diese verstärken, empfehlen wir Ihnen Sicherheitserweiterungen für Joomla! zu verwenden!

Diese erlauben es Ihnen Hacker Angriffe zu unterbinden und Sicherheitslücken in Ihrer Joomla! Seite zu schließen. Sie finden sehr schnell sehr viele dieser Erweiterungen, aber bevor Sie welche installieren sollten Sie aufmerksam Features, Reviews, Preis und Support prüfen.

Hier einige unserer Empfehlungen:

6. Richten Sie eine Zwei-Faktor Authentifizierung ein

Ihre Joomla Webseiten Sicherheit wird noch besser mit einem Zwei-Faktor Authentifizierungs Code.

Sollte es doch jemand schaffen Ihr Passwort zu erfahren, so würde er immer noch den Zwei-Faktor Authentifizierungs Code benötigen um sich einzuloggen.

Ohne diesen ist der Log-in unmöglich. 

Der Zwei-Faktor Authentifizierungs Code wird auch als OTP (One-time password) bezeichnet. Dabei gibt es unterschiedliche Möglichkeiten. 

  • Versand einer E-Mail mit einmal Code
  • Google Authenticator
  • SMS
Image
Image

7. File und Directory Absicherung

Die Verwaltung von Berechtigungen ist sehr wichtig für Ihre Joomla! Webseite. Geben nie volle Berechtigungen 777. Der falsche CHMOD könnte Hackern Zugang zu Ihrer Webseite ermöglichen. Für Ordner benutzen Sie 755, für Files 644 und für configuration.php benutzen Sie 444.

Standardmäßig sind die richtigen Datei- und Verzeichnisrechte richtig gesetzt. Mit den Admin Tools wie in dem Beitrag darüber können Sie die Rechte auch automatisch neu setzen lassen. In aktuellen Joomla Versionen wird die configuration.php automatisch auf 444 gesetzt.

8. Augen auf bei der Hosting Wahl

Gutes Hosting kostet zwar Geld, bietet Ihnen aber zusätzliche Sicherheit, welche meist nicht vorhanden ist bei billigeren Alternativen. 

Manchmal kommt es vor, dass die Sicherheit Ihrer Seite gefährdet ist, aufgrund von der Konfiguration Ihres Hosting Dienstes.

Image
Image

9. Installieren Sie SSL/HTTPS

SSL Zertifikate bieten eine zusätzliche Sicherheit für User, die Ihre Seite benutzen. Jedes mal, wenn ein User sich einloggt werden Username und Passwort direkt zum Server geschickt. Oder bei Kontaktformularen werden personenbezogene Daten übertragen. Mithilfe einen SSL Zertifikats werden diese Informationen verschlüsselt, bevor diese über das Internet gesendet werden.

Sollte also jemand dies Informationen abfangen, sind diese nutzlos ohne Entschlüsselung. Viele Hosting Anbieter stellen mittlerweile kostenlose Zertifikate z.B. durch Let's Encrypt zur Verfügung.

10. Aktivieren Sie SEO freundliche URL

Die Joomla! URL zeigt viele Informationen über Ihre Webseite und welche Komponenten benutzt werden.

Mithilfe dieser Informationen können Hacker Ihre Seite angreifen. Aktivieren Sie daher Search Engine Friendly, um Ihre URL von den Besuchern auf Ihrer Seite zu verschleiern.

 

Die SEF Komponente mache es schwieriger für Hacker Schwachstellen zu finden:

SEF URL deaktiviert: https://www.joomla-upgrade-service.de/index.php

SEF URL aktiviert: https://www.joomla-upgrade-service.de

Image

11. Entfernen Sie unnötige/unbenutzte Erweiterungen

Als Administrator testen Sie sicherlich immer mal wieder neue Erweiterungen für neue Funktionen aus. 

Allerdings ist es nicht empfehlenswert dies unbedacht zu tun, da Erweiterungen auch Grund für Anfälligkeiten für Ihre Joomla! Sicherheit sein können.

Mithilfe solcher Anfälligkeiten kann Ihre Seite leicht von einem Hacker z.B. über SQL injiziert werden.

Es ist daher wichtig unnötige Erweiterungen zu entfernen, um so zudem dafür zu sorgen, dass Ihre Seite schneller lädt.

Image

12. Updaten Sie regelmäßig Ihre PHP Version

Veraltete Versionen sind im Allgemeinen ein Sicherheitsrisiko und ein Datenschutzproblem für jede Webseite.

Es ist also wichtig auch Ihre PHP Version zu überprüfen und sicher zu gehen, dass diese eine aktuelle Version ist.

Dies können Sie im System Menu unter "System Information" in Ihrem Joomla überprüfen. Idealerweise sollte Ihr PHP aktueller als 7.2.0 sein, da der Support für alles älter als diese Version offiziell eingestellt wurde.

Sollten Sie feststellen, dass Ihr PHP veraltet ist, empfehlen wir Ihnen sich an Ihren Hosting Provider zu wenden und eine sichere, aktuelle PHP Version zu beantragen. Bei vielen kann man dies auch selbst umstellen. Dies geht allerdings erst ab Joomla 3.

Zusammenfassung

Indem Sie diese einfachen Schritte befolgen, können Sie das Risiko gehackt zu werden deutlich verringern.

Es kann zwar einige Zeit dauern diese anzuwenden, aber es ist die Zeit Wert und wenn Sie auf den Joomla! Foren suchen, finden Sie zahlreiche Geschichten von Leuten, welche Tage damit verbracht haben, mit einer gehackten Webseite zu kämpfen.

Gerne stehen wir auch mit Rat und Tat Ihnen zur Seite.

Letzte Änderung am Mittwoch, 10.06.2020