Die 10 größten Joomla-Sicherheitsprobleme (und wie man sie behebt) – [gelöscht]

Top Ten der Joomla-Sicherheitsprobleme ... und wie man sie vermeidet

Joomla Sicherheitsprobleme sind immer ein heißes Thema :) Leider gibt es einige Fehler, die immer wieder wiederholt werden und Sicherheitsprobleme verursachen, die leicht vermieden werden können. Hier sind die Probleme - die Joomla-Sicherheitsprobleme und was Sie tun sollten, um sie zu vermeiden. 

Die zehn wichtigsten Joomla-Sicherheitsprobleme und deren Behebung

 

Inhalte[Anzeigen]

10 Joomla-Sicherheitsprobleme

10. Günstige Hosting-Anbieter

Entscheiden Sie sich niemals für den günstigsten Hosting-Anbieter, den Sie finden können.

Normalerweise verwenden billige Hosting-Anbieter gemeinsam genutzte Server, auf denen Hunderte anderer Websites gehostet werden. Einige davon sind Spam-Websites von geringer Qualität, die leicht gehackt werden können. Da sie sich normalerweise auf derselben IP-Adresse befinden, ist Ihre Website langsam, befindet sich in einer "schlechten Nachbarschaft" mit geringer Reputation und kann kompromittiert werden, wenn andere Websites gehackt werden.

Überprüfen Sie die Liste der von dieser Website empfohlenen und von Joomla zugelassenen Hosting-Anbieter für CollectiveRay hier.

9. Keine Backups

Stellen Sie sicher, dass Sie regelmäßig haben Joomla-Backups. Falls Ihre Site gehackt wird oder etwas passiert, können Sie von Grund auf neu erstellen. Wir empfehlen, eine Kombination aus Hosting-basierten Backups wie den von InMotion angebotenen (dem Host, den wir verwenden und dem wir vertrauen - Link im vorherigen Absatz) und anschließend eine Drittanbieter-Erweiterung wie z AkeebaBackup.

8. Überspringen des Härtens (Optimieren der Einstellungen für die Sicherheit) von PHP und Sichern von Joomla! die Einstellungen

Vergessen oder Überspringen der Anpassung von PHP und Joomla! Einstellungen für mehr Sicherheit sind ein großes Nein-Nein.

Es gibt viele kleine Einstellungen und Optimierungen, die Sie vornehmen können, um Ihren PHP-Server und Joomla! sicherer und verhindern, dass die meisten Joomla-Sicherheitsprobleme überhaupt auftreten, und vermeiden alle Arten von Sicherheitsproblemen.

Wir haben eine Liste der Dinge, die Sie tun sollten, um Ihre Installation weiter unten in diesem Artikel zu "härten".

7. Verwenden schwacher Passwörter oder Wiederverwenden von Passwörtern

Joomla! Verwendet denselben Benutzernamen und dasselbe Passwort für Ihr Online-Bankkonto. Administratorkonto, Amazon-Konto, Yahoo-Konto, Google Mail-Konto und überall sonst ist ein weiterer Fehler, den Sie vermeiden sollten, wie die Pest.

Verwenden Sie immer sichere Kennwörter, die sich von denen für Ihre anderen Konten unterscheiden.

Denken Sie auch daran, den Namen des Administratorkontos immer in einen anderen Namen als "admin" zu ändern. Es ist auch sehr ratsam, ein Plugin wie zu installieren Adminexil Dies schützt Ihr Administrator-Backend vor Hacking-Versuchen.

6. Installieren und vergessen

Überprüfen Sie nach der Installation Ihrer brandneuen, wunderschönen Joomla! -Basierten Website regelmäßig, ob nichts schief gelaufen ist.

Viele Dinge können schief gehen und Sie können alle möglichen Joomla-Probleme bekommen, wenn Sie nicht alle Komponenten Ihrer Joomla-Installationen warten.

Wir helfen Ihnen dabei, Ihr Joomla besser zu verwalten

Joomla

Kostenlose Joomla Tipps E-Book-Button

5. Kein Entwicklungsserver

Alle Upgrades und Erweiterungsinstallationen sollten zuerst auf einem Entwicklungsserver versucht werden, bevor sie auf der Live-Site durchgeführt werden.

Wenn auf dem Entwicklungsserver ein Fehler auftritt, können Sie vermeiden, dass auf dem Server dasselbe Problem auftritt, und Sie stellen sicher, dass Ihre Live-Site sauber bleibt. Sie können einfache Server verwenden, die lokal installiert werden können, z XAMPP oder MAMP.

4. Vertrauen in alle Erweiterungen von Drittanbietern

Wenn Sie eine optimale Joomla-Sicherheit erzielen möchten, sollten Sie nur die geringsten erforderlichen Erweiterungen installieren.

Wenn Sie die Installation eines Drittanbieter-Moduls vermeiden können, vermeiden Sie es. Nicht alle Erweiterungen von Drittanbietern sind störungsfrei, und einige sind einfach schrecklich, fehlerhaft und enthalten Schwachstellen.

Jede Erweiterung eines Drittanbieters ist eine weitere Komponente, die Sie möglicherweise Schwachstellen aussetzt und auf dem neuesten Stand gehalten werden muss. Seien Sie vorsichtig bei den Erweiterungen von Drittanbietern, die Sie installieren, und entscheiden Sie sich vorzugsweise für die professionellen Komponenten seriöser Unternehmen. 

Wir installieren normalerweise nur Erweiterungen von größeren Anbietern wie RegularLabs, Tassos Marinos, Akeeba usw.

3. Vergessen Sie, Ihre Joomla zu behalten! Website aktualisiert

Halten Sie sich nach der Installation Ihrer brandneuen, wunderschönen Joomla! -Basierten Site über alle stabilen Versionen auf dem Laufenden und aktualisieren Sie sie mit jeder stabilen Version.

Die meisten stabilen Versionen beheben Probleme und Schwachstellen.

Wenn Sie das Upgrade vergessen, ist Ihre Website allen möglichen Joomla-Problemen ausgesetzt. Dies gilt auch für Dritte Joomla Erweiterungen du installierst.

Joomla-Sicherheitsprobleme - Stellen Sie sicher, dass Joomla auf dem neuesten Stand ist2. Mangel an Informationen, wenn Sie um Hilfe bitten

Wenn Ihre Website gehackt / geknackt wird, gehen Sie in die Joomla-Foren und stellen Sie vor dem Posten wie verrückt sicher, dass alle relevanten Informationen verfügbar sind, z. B. die von Ihnen installierte Joomla-Version und die Version der Erweiterungen von Drittanbietern Eingerichtet.

Mithilfe dieser Informationen können Sie ermitteln, was Ihren Hack verursacht haben könnte und wie Sie ihn beheben und vermeiden können, dass er erneut auftritt.

1. Korrigieren Sie alle geknackten Dateien und vergessen Sie sie

Sobald Ihre Site geknackt wurde, reicht es nicht mehr aus, die unleserliche Datei zu reparieren.

Überprüfen Sie die Protokolle Ihrer Site, ändern Sie Ihre alten Passwörter, entfernen Sie das gesamte Verzeichnis und erstellen Sie es aus sauberen Sicherungen neu. Ergreifen Sie alle Vorsichtsmaßnahmen!

Ernsthafte Joomla-Sicherheitsprobleme können erneut auftreten, wenn Sie nicht von einem sauberen Backup wiederherstellen, da in Ihrer Installation Hintertüren vorhanden sein können, die reactvon Hackern iviert, sobald Sie die Ihrer Meinung nach einzige infizierte Datei entfernen.

Dies ist eine überarbeitete Version des Top Ten dümmsten Administrator Tricks, ohne Sarkasmus und mit Empfehlungen, wie man stattdessen die zehn häufigsten Joomla-Sicherheitsprobleme behebt :)

Alles, was Sie tun müssen, um Ihre Joomla-Website zu sichern 

Obwohl standardmäßig die Joomla! Das Kernentwicklungsteam ergreift große Maßnahmen, um sicherzustellen, dass der Code nur wenige oder gar keine Sicherheitslücken enthält. Es gibt eine Reihe von Einstellungen, die Ihre Website anfällig für Angriffe machen können, wenn sie nicht angemessen berücksichtigt werden.

Dieser Artikel enthält eine Liste von Maßnahmen, die zu ergreifen sind, um ein sichereres Joomla! Installation. Dies sind alles Tipps, die wir in unserem eigenen Webdesign-Blog verwenden, CollectiveRay, also wissen wir, dass diese gut funktionieren!

1. Benennen Sie die Joomla! Administratorkonto

Dieser einfache Schritt härtet Ihre Website erheblich aus. Auch hier sollten Sie, wenn Sie paranoid sind, zufällige Zeichen sowohl für den Benutzernamen als auch für das Passwort für den Administrator verwenden

2. Stellen Sie sicher, dass Ihre Datei configuration.php nicht beschreibbar ist!

Dieser Schritt ist kritisch und eine weltweit beschreibbare Datei configuration.php ist eine Einladung zum Hacken.

Sie können dies in Joomla nicht beschreibbar machen. Dies wird von neuen Versionen von Joomla automatisch ausgeführt. Sie können jedoch überprüfen, ob Probleme mit Dateiberechtigungen vorliegen, indem Sie System> Systeminformationen> Ordnerberechtigungen aufrufen. Die configuration.php sollte als nicht beschreibbar markiert sein.

3. Versuchen Sie immer, Ihre Joomla-Installation auf die neueste Version zu aktualisieren

Jedes Joomla-Update oder jede neue Version erhöht normalerweise die Sicherheit, indem Sicherheitslücken und Exploits oder andere entdeckte Schwachstellen geschlossen werden. Wenn Sie ein Update überspringen, lassen Sie dieses "Loch" in der Sicherheit Ihrer Site offen und riskieren, gehackt zu werden.

Sicherheitsorientierte Updates sollten NIEMALS übersprungen werden. Jedes Update wird als "Wartung" bezeichnet und behebt Fehler oder kleine Probleme sowie "Sicherheit", die normalerweise Sicherheitslücken behebt. Sicherheitsupdates sollten sofort installiert werden, da dies bedeutet, dass die Sicherheitsanfälligkeit Hackern jetzt bekannt ist und sie diese sofort ausnutzen.

4. Aktualisieren Sie auf die neueste PHP-Version

Wenn Ihr Host dies zulässt, wechseln Sie zu den neuesten sicheren Versionen von PHP.

Jede nachfolgende Version von PHP bietet zusätzliche Sicherheit (neben der Verbesserung der Leistung). Leider werden ältere Versionen von PHP normalerweise nicht aktualisiert, selbst wenn Sicherheitsprobleme festgestellt werden.

Dies bedeutet, dass festgestellte Sicherheitsprobleme KEINE Lösung haben und Ihre Site solchen Exploits ausgesetzt ist.

5. Stellen Sie sicher, dass die Datei- und Ordnerberechtigungen korrekt sind

Sobald Sie eine stabile Site haben, sollten Sie alle Dateiberechtigungen mithilfe von CHMOD in schreibgeschützt ändern (644 für Dateien, 755 für Verzeichnisse).

Jede gute FTP-Software sollte es Ihnen ermöglichen, dies zu tun, ohne Skripte verwenden zu müssen, oder Sie können dies über CPanel oder den Datei-Explorer tun.

Sie können auch die globale Konfiguration verwenden, um die Standardberechtigungen auf alle Dateien und Ordner anzuwenden.

Ältere Versionen von Joomla ermöglichen das Ändern direkt vom Administrator gemäß den folgenden Anweisungen. Die neueren Versionen von Joomla tun dies jedoch automatisch. Stellen Sie jedoch sicher, dass Sie sie nicht selbst ändern, um ein anderes Problem zu beheben.

Gehen Sie zu Site> Globale Konfiguration> Registerkarte Server. Scrollen Sie nach unten, bis Sie die Dateierstellung finden. Klicken Sie auf CHMOD new files to 0644 und CHMOD new verzeichnisse auf 0755 und aktivieren Sie das Kontrollkästchen Auf vorhandene Dateien anwenden, um diese Einstellung für alle Ihre aktuellen Dateien auszuführen. Stellen Sie anschließend sicher, dass die Datei configuration.php noch nicht beschreibbar ist. Wenn es beschreibbar ist, klicken Sie nach dem Speichern auf Nicht beschreibbar machen, um es nicht beschreibbar zu machen

Anwenden von Berechtigungen mit dem FTP-Client

Sie können eine Erweiterung wie eXtplorer verwenden, mit der Berechtigungen auf einfache Weise bearbeitet werden können. Sie können dies rekursiv tun, ohne jedes Verzeichnis durchsuchen zu müssen. Sie können auch Komponenten wie Admin Tools für Joomla! von Akeeba, die solche Probleme automatisch überprüfen und beheben kann. 

Admin Tools führt auch eine Reihe anderer Leistungs- und Sicherheitskorrekturen durch. Schau es dir hier an.

6. Überprüfen Sie Ihre Site auf Schwachstellen

Es gibt eine Reihe von Tools, die Ihr Joomla auf beschädigte Dateien und anfällige Dateien testen. Dies sind normalerweise Penetrationstester, die auf häufig auftretende Probleme testen.

Sie können auch die Liste der gefährdeten Joomla-Erweiterungen verwenden. Dies ist eine Live-Liste aller Erweiterungen, die eine Sicherheitsanfälligkeit aufweisen. Von Zeit zu Zeit (etwa jeden Monat) sollten Sie die neueste Liste überprüfen, um sicherzustellen, dass keine Ihrer aktuellen Joomla-Erweiterungen in der Liste enthalten ist.

Wenn sich eine Ihrer Erweiterungen in dieser Liste befindet, stellen Sie sicher, dass Sie sie auf die neueste (gepatchte) sichere Version aktualisieren.

7. Lassen Sie niemals zusätzliche Dateien herumlaufen

Stellen Sie sicher, dass sich keine unnötigen Dateien auf Ihrem Webserver befinden.

Löschen Sie alle verbleibenden Dateien aus der Installation. Löschen Sie Ihre Installation Ordner und alle komprimierten Dateien, die Sie möglicherweise auf Ihren Webserver hochgeladen haben, um Joomla! Ader. Entfernen Sie alle Komponenten / Module / Vorlagen, die Sie nicht verwenden.

Halten Sie Ihre Website immer so schlank wie möglich. Alle zusätzlichen Dateien können zur Haftung werden. 

8. Schützen Sie Ihre Konfigurationsdateien und vertraulichen Verzeichnisse

  • Alle Konfigurationsdateien sollten nicht im öffentlichen HTML-Verzeichnis abgelegt werden. Einige Webhosts (zB GoDaddy - check out) So greifen Sie auf die E-Mail-Anmeldung von GoDaddy zu) lässt dies möglicherweise nicht zu, daher ist das nächstbeste, ein passwortgeschütztes Verzeichnis mithilfe einer .htaccess-Datei zu erstellen. Wenn Sie sich über die Funktion der htaccess-Datei nicht sicher sind, sollten Sie sie lesen, bevor Sie fortfahren. Erstellen Sie ein Verzeichnis, es ist eine gute Idee, es einen zufälligen Namen zu geben, z ehxum3jq anstatt in Ihrem Joomla! Verzeichnis.
  • Erstellen Sie eine .htaccess-Datei, um das Verzeichnis zu schützen. Verwenden Sie einen .htaccess-Generator, um die Datei zu generieren. Basierend auf dem obigen Beispiel sollten Sie eine .htaccess-Datei ähnlich wie haben fehlen uns die Worte.. Denken Sie daran, dass das Verzeichnis, das Sie schützen möchten, das Ausgangsverzeichnis ist (wenn Sie nicht sicher sind, ob Sie es im absoluten Pfad Ihrer ursprünglichen Datei configuration.php finden), und fügen Sie den Verzeichnisnamen hinzu, in dem Sie Ihre geschützten Dateien ablegen, z. B. / home / content / a / b / c / abccompany / html / ehxum3jq /
  • Hinweis: Dies bietet nur eine Basisauthentifizierung, die keine strenge Sicherheit bietet. In den Worten von Apache.org:

Die grundlegende Authentifizierung sollte für eine besonders strenge Definition von sicher nicht als sicher angesehen werden.

Obwohl das Kennwort in einem verschlüsselten Format auf dem Server gespeichert ist, wird es im Klartext über das Netzwerk vom Client an den Server übergeben. Jeder, der mit einer Vielzahl von Paket-Sniffern zuhört, kann den Benutzernamen und das Passwort im Klartext lesen.

Parameter zum Erstellen der .htaccess-Datei

Generierte .htaccess-Datei und .htpasswd

Um wirklich Sicherheit zu bieten, müssen Sie das Passwort über SSL senden (wo es unterwegs verschlüsselt wird).

  • Verwenden Sie sichere Passwörter oder Passphrasen oder zufällige Zeichen für die .htpasswd-Datei, die ungefähr so ​​aussehen sollte fehlen uns die Worte.. Sie können Ihr Verzeichnis noch weiter schützen, indem Sie IP-Adressen in der .htaccess-Datei verwenden, wie in angegeben diese FAQ
  • Testen Sie, um sicherzustellen, dass das Verzeichnis geschützt ist. Legen Sie eine Datei hinein und versuchen Sie, auf z. B. https://www.yourcompany.com/ehxum3jq/myfile.txt zuzugreifen. Sie sollten aufgefordert werden, ein Passwort einzugeben. Wenn Sie den während der Generierung angegebenen Benutzernamen und das Kennwort angeben, erhalten Sie Zugriff auf die Datei. Andernfalls wird ein 401-Fehler angezeigt (Zugriff verweigert).

Grundlegendes Authentifizierungsfenster

  • Verwenden Sie Folgendes Joomla-Forum-FAQ um Ihnen zu helfen, Konfigurationsdateien aus dem öffentlichen HTML-Code in das von Ihnen erstellte kennwortgeschützte Verzeichnis zu verschieben. Seien Sie jedoch besonders vorsichtig, wenn Sie die globale Konfigurationsdatei aktualisieren, da dadurch die von Ihnen erstellte Datei überschrieben wird. Schreiben Sie die Datei configuration.php schreibgeschützt, und alle erforderlichen Änderungen werden manuell mithilfe eines FTP-Clients vorgenommen. Und fügen Sie die folgende Zeile hinzu, damit jeder, der versucht, auf die PHP-Datei zuzugreifen, den Fehler "Eingeschränkter Zugriff" erhält. In der Regel sollten alle PHP-Dateien auf Ihrer Website diese Zeile enthalten. Jede PHP-Datei, die diese Zeile nicht enthält, ist ein Sicherheitsrisiko.

 

definiert ('_ JEXEC') oder sterben;

definiert ('_VALID_MOS') oder sterben ('Eingeschränkter Zugriff'); // für ältere Versionen von Joomla

 

9. Halten Sie Erweiterungen von Drittanbietern auf dem neuesten Stand

Erweiterungen von Drittanbietern sind eines der besten Dinge an Joomla!

Es gibt so viele verschiedene Erweiterungen, dass Sie wahrscheinlich etwas finden, das bereits für Sie geschrieben wurde. 3D-Party-Erweiterungen gibt es jedoch in allen Formen und Größen und werden nicht vom Kernteam überwacht.

Dies bedeutet, dass eine Sicherheitsanfälligkeit vorliegt, die Ihre Installation gefährden kann. Sie müssen äußerst vorsichtig sein, wenn Sie Erweiterungen installieren. Überwachen Sie die Liste der gefährdeten Erweiterungen von Drittanbietern / Nicht-Joomla. Wenn Sie Erweiterungen installieren, stellen Sie sicher, dass Sie deren Versionen überwachen und deren Sicherheitsempfehlungen befolgen.

Weitere Informationen finden Sie im Joomla! Sicherheits-FAQ.

10. Sicherung! Backup! Backup!

Selbst wenn Sie ALLE Schritte unternommen haben, um sicherzustellen, dass Ihre Website 100% sicher ist, lauern möglicherweise immer noch Sicherheitslücken, die darauf warten, gefunden und ausgenutzt zu werden. Wenn Ihre Website gehackt wird, MÜSSEN Sie sicherstellen, dass sie so schnell wie möglich wieder online geht und so wenig Inhalt wie möglich verloren geht. Dazu müssen Sie sicherstellen, dass Sie über gut funktionierende Backups verfügen (täglich oder bei Bedarf häufiger).

AkeebaBackup ist eine Open-Source-Komponente für Joomla! CMS, das vollständige Site-Backups (Dateien und Datenbanken) ermöglicht. Es ermöglicht Ihnen das Erstellen vollständiger Backups und verfügt über alle Funktionen zum Wiederherstellen Ihrer Website, wenn Probleme auftreten.

Weitere Sicherheitstipps für Joomla?

Das ist für jetzt. Wenn Sie weitere Sicherheitsvorschläge für Joomla haben, würden wir diese gerne in den Kommentaren unten hören.

Über den Autor
David Attard
Autor: David AttardWebsite: https://www.linkedin.com/in/dattard/Email: David@collectiveray.com €XNUMX
David ist seit 21 Jahren in der Online- und Digitalbranche tätig. Er verfügt über umfangreiche Erfahrung in der Software- und Webdesignbranche mit WordPress, Joomla und den damit verbundenen Nischen. Er hat mit Softwareentwicklungsagenturen, internationalen Softwareunternehmen und lokalen Marketingagenturen zusammengearbeitet und ist jetzt Head of Marketing Operations bei Aphex Media – einer SEO-Agentur. Als digitaler Berater liegt sein Fokus darauf, Unternehmen dabei zu helfen, sich durch die Kombination ihrer Website und der heute verfügbaren digitalen Plattformen einen Wettbewerbsvorteil zu verschaffen. Seine Mischung aus Technologieexpertise gepaart mit ausgeprägtem Geschäftssinn verschafft seinen Schriften einen Wettbewerbsvorteil.

Eine Sache noch... Wussten Sie, dass Leute, die nützliche Dinge wie diesen Beitrag teilen, auch FANTASTISCH aussehen? ;-);
Bitte kontaktieren Sie uns, wenn Sie Probleme im Zusammenhang mit dieser Website haben oder lass a nützlich Kommentieren Sie mit Ihren Gedanken und teilen Sie dies dann Ihren Facebook-Gruppen mit, die dies nützlich finden würden, und lassen Sie uns gemeinsam die Vorteile nutzen. Vielen Dank für das Teilen und nett zu sein!

Disclosure: Diese Seite enthält möglicherweise Links zu externen Websites für Produkte, die wir lieben und von ganzem Herzen empfehlen. Wenn Sie Produkte kaufen, die wir vorschlagen, können wir eine Empfehlungsgebühr verdienen. Solche Gebühren haben keinen Einfluss auf unsere Empfehlungen und wir akzeptieren keine Zahlungen für positive Bewertungen.

 

Wer sind wir?

CollectiveRay wird von David Attard geleitet - arbeitet seit mehr als 12 Jahren in und um die Webdesign-Nische und bietet umsetzbare Tipps für Leute, die mit und an Websites arbeiten. Wir betreiben auch DronesBuy.net - eine Website für Drohnen-Hobbyisten.

David Attard

 

 

Autor (en) Empfohlen am:  Inc Magazin Logo   Sitepoint-Logo   CSS Tricks Logo    Webdesignerdepot-Logo   WPMU DEV Logo   und viele mehr ...