Top tien Joomla-beveiligingsproblemen ... en hoe ze te vermijden
Joomla Beveiligingsproblemen zijn altijd een hot issue :) Helaas zijn er enkele fouten die steeds weer worden herhaald, waardoor beveiligingsproblemen ontstaan die gemakkelijk kunnen worden vermeden. Dit zijn de problemen - de Joomla-beveiligingsproblemen en wat u moet doen om ze te vermijden.
10 Joomla-beveiligingsproblemen
10. Goedkope hostingproviders
Ga nooit voor de goedkoopste hostingprovider die je kunt vinden.
Meestal gebruiken goedkope hostingproviders gedeelde servers die honderden andere sites hosten, waarvan sommige spam-sites van lage kwaliteit zijn die gemakkelijk kunnen worden gehackt. Omdat ze zich doorgaans op hetzelfde IP-adres bevinden, is uw site traag, bevindt deze zich in een "slechte buurt" met een lage reputatie en kan deze worden gehackt als andere sites worden gehackt.
Bekijk de lijst met aanbevolen en door Joomla goedgekeurde hostingproviders van deze website voor CollectiveRay hier.
9. Geen back-ups
Zorg dat je regelmatig Joomla-back-ups. Als uw site wordt gehackt of als er iets gebeurt, kunt u deze helemaal opnieuw opbouwen. We raden aan te kiezen voor een combinatie van op hosting gebaseerde back-ups zoals die worden aangeboden door InMotion (de host die we gebruiken en vertrouwen - link in vorige paragraaf) en vervolgens een extensie van derden te gebruiken, zoals AkeebaBack-up.
8. Hardening overslaan (instellingen aanpassen voor beveiliging) van PHP en Joomla! instellingen
Het vergeten of overslaan van het aanpassen van PHP en Joomla! instellingen voor meer veiligheid is een enorme no-no.
Er zijn veel kleine instellingen en tweaks die u kunt doen om uw PHP-server en Joomla! veiliger zijn en voorkomen dat de meeste Joomla-beveiligingsproblemen zich voordoen en alle soorten beveiligingsproblemen vermijden.
We hebben verderop in dit artikel een lijst met dingen die u moet doen om uw installatie te "harden".
7. Zwakke wachtwoorden gebruiken of wachtwoorden opnieuw gebruiken
Met dezelfde gebruikersnaam en hetzelfde wachtwoord voor uw online bankrekening, Joomla! beheerdersaccount, Amazon-account, Yahoo-account, Gmail-account en overal elders is een andere fout die u als de pest moet vermijden.
Gebruik altijd sterke wachtwoorden die anders zijn dan die voor uw andere accounts.
Denk er ook aan om altijd de naam van het beheerdersaccount te wijzigen in iets anders dan "admin". Het is ook ten zeerste aan te raden om een plug-in te installeren zoals: Beheerder die uw beheerdersbackend beschermt tegen hackpogingen.
6. Installeren en vergeten
Controleer na het installeren van uw gloednieuwe mooie Joomla!-aangedreven site deze regelmatig om er zeker van te zijn dat er niets mis is gegaan.
Er kunnen veel dingen fout gaan en u kunt allerlei Joomla-problemen krijgen als u niet alle componenten van uw Joomla-installaties onderhoudt.
5. Geen ontwikkelserver hebben
Alle upgrades en extensie-installaties moeten eerst worden uitgeprobeerd op een ontwikkelingsserver, voordat ze op de live-site worden uitgevoerd.
Als er iets misgaat op de ontwikkelserver, kunt u voorkomen dat u hetzelfde probleem op de server creëert en zorgt u ervoor dat uw live site schoon blijft. U kunt eenvoudige servers gebruiken die lokaal kunnen worden geïnstalleerd, zoals: XAMPP of MAMP.
4. Alle extensies van derden vertrouwen
Als u optimale Joomla-beveiliging wilt, moet u alleen de minimale extensies installeren die u nodig heeft.
Als u de installatie van een module van een derde partij kunt vermijden, vermijd deze dan. Niet alle extensies van derden zijn vrij van problemen, en sommige zijn gewoon verschrikkelijk, bevatten fouten en bevatten kwetsbaarheden.
Elke extensie van derden is een ander onderdeel dat u kan blootstellen aan kwetsbaarheden en moet up-to-date worden gehouden. Wees op uw hoede voor de extensies van derden die u installeert, ga bij voorkeur voor de professionele componenten van gerenommeerde bedrijven.
We installeren meestal alleen extensies van de grotere leveranciers zoals RegularLabs, Tassos Marinos, Akeeba etc.
3. Vergeten uw Joomla! site bijgewerkt
Na het installeren van je gloednieuwe mooie Joomla!-aangedreven site, blijf jezelf op de hoogte van alle stabiele releases en update met elke stabiele release.
De meeste stabiele releases lossen problemen en kwetsbaarheden op.
Als u vergeet te upgraden, wordt uw site blootgesteld aan allerlei Joomla-problemen. Dit geldt ook voor elke derde partij Joomla extensies jij installeert.
2. Gebrek aan informatie bij het vragen om hulp
Als je site wordt gehackt/gekraakt, ga dan naar de Joomla-forums, en voordat je als een gek begint te posten, moet je ervoor zorgen dat je alle relevante informatie bij de hand hebt, zoals de versie van Joomla die je hebt geïnstalleerd, welke versie van extensies van derden je hebt geïnstalleerd.
Deze informatie zal helpen om te identificeren wat uw hack zou kunnen hebben veroorzaakt, en hoe u dit kunt oplossen en voorkomen dat het opnieuw gebeurt.
1. Repareer elk gebarsten bestand en vergeet het
Als uw site eenmaal is gekraakt, is het niet meer voldoende om het beschadigde bestand te herstellen.
Controleer de logboeken van uw site, wijzig uw oude wachtwoorden, verwijder de hele map en bouw deze opnieuw op vanaf schone back-ups, en neem alle voorzorgsmaatregelen!
Als u niet herstelt vanaf een schone back-up, kunnen er opnieuw ernstige beveiligingsproblemen met Joomla ontstaan. Er kunnen namelijk backdoors in uw installatie aanwezig zijn, die door hackers opnieuw geactiveerd kunnen worden zodra u het bestand verwijdert waarvan u denkt dat het het enige geïnfecteerde bestand is.
Dit is een herziene versie van de Top tien domste beheerder Trucs, zonder het sarcasme en met aanbevelingen om in plaats daarvan de top tien Joomla-beveiligingsproblemen op te lossen :)
Alle dingen die u moet doen om uw Joomla-website te beveiligen
Hoewel standaard de Joomla! core development team neemt grote maatregelen om ervoor te zorgen dat er weinig of geen kwetsbaarheden in de code zijn, er zijn een aantal instellingen die, als ze niet de nodige aandacht krijgen, uw website kwetsbaar kunnen maken voor aanvallen.
Dit artikel geeft een lijst met maatregelen die moeten worden genomen om een veiliger Joomla! installatie. Dit zijn allemaal tips die we gebruiken op onze eigen webdesign blog, CollectiveRay, dus we weten dat deze goed werken!
1. Hernoem de Joomla! admin account
Deze eenvoudige stap verhardt uw website aanzienlijk. nogmaals, als je paranoïde bent, moet je willekeurige tekens gebruiken voor zowel de gebruikersnaam als het wachtwoord voor de beheerder
2. Zorg ervoor dat uw configuratie.php-bestand niet beschrijfbaar is!
Deze stap is van cruciaal belang en een wereldwijd beschrijfbaar configuratie.php-bestand is een uitnodiging voor hacking.
U kunt dit niet-schrijfbaar maken vanuit Joomla. Dit is iets dat nieuwe versies van Joomla automatisch doen, maar u kunt controleren of er problemen zijn met bestandsrechten door naar Systeem > Systeeminformatie > Maprechten te gaan. De configuration.php moet worden gemarkeerd als onschrijfbaar.
3. Probeer altijd uw Joomla-installatie geüpgraded te houden naar de nieuwste versie
Elke Joomla-update of nieuwe versie voegt doorgaans beveiliging toe door gaten en exploits in de beveiliging of andere ontdekte kwetsbaarheden te dichten. Als u een update overslaat, laat u dat "gat" open in de beveiliging van uw site en loopt u het risico gehackt te worden.
Elke beveiligingsgerichte update mag NOOIT worden overgeslagen. Elke update krijgt de naam "Onderhoud" en verhelpt bugs of kleine problemen en "Beveiliging", die doorgaans beveiligingsproblemen aanpakt. Beveiligingsupdates moeten onmiddellijk worden geïnstalleerd, omdat het betekent dat de kwetsbaarheid nu bekend is bij hackers en ze er onmiddellijk misbruik van zullen maken.
4. Upgrade naar de nieuwste PHP-versie
Als je host dit toestaat, schakel dan over naar de nieuwste beveiligde versies van PHP.
Elke volgende release van PHP introduceert extra beveiliging (naast het verbeteren van de prestaties). Helaas worden oudere versies van PHP meestal niet bijgewerkt, zelfs niet als er beveiligingsproblemen worden gevonden.
Dit betekent dat eventuele beveiligingsproblemen die worden ontdekt GEEN oplossing hebben en dat uw site wordt blootgesteld aan dergelijke exploits.
5. Zorg voor de juiste bestands- en mapmachtigingen
Als je eenmaal een stabiele site hebt, moet je alle bestandsrechten wijzigen in schrijfbeveiligd met CHMOD (644 voor bestanden, 755 voor mappen).
Elke goede FTP-software zou je in staat moeten stellen om dit te doen zonder dat je scripts hoeft te gebruiken, of je zou dit kunnen doen via CPanel of File Explorer.
U kunt de algemene configuratie ook gebruiken om de standaardmachtigingen toe te passen op alle bestanden en mappen.
Oudere versies van Joomla gebruiken om het wijzigen rechtstreeks vanuit de beheerder mogelijk te maken volgens de onderstaande instructies, maar de nieuwere versies van Joomla doen dit automatisch. Zorg er echter voor dat u ze niet zelf wijzigt om een ander probleem op te lossen.
Ga naar Site > Algemene configuratie > tabblad Server. Scroll naar beneden tot je File Creation vindt. Klik op CHMOD nieuwe bestanden op 0644 en CHMOD op nieuwe mappen op 0755 en klik op het selectievakje Toepassen op bestaande bestanden om deze instelling op al uw huidige bestanden uit te voeren. Zodra dit is gebeurd, moet u ervoor zorgen dat het bestand configuration.php nog steeds onschrijfbaar is. Als het beschrijfbaar is, klikt u op Onbeschrijfbaar maken na het opslaan om het niet beschrijfbaar te maken
U kunt een extensie gebruiken zoals eXtplorer die een gemakkelijke manier heeft om machtigingen te bewerken. Hiermee kunt u dit recursief doen, zodat u niet door elke map hoeft te gaan. U kunt ook componenten gebruiken zoals Admin Tools voor Joomla! door Akeeba die dergelijke problemen automatisch kan controleren en oplossen.
Admin Tools voert ook een aantal andere prestatie- en beveiligingsoplossingen uit. Check het hier.
6. Controleer uw site op kwetsbaarheden
Er zijn een aantal tools die uw Joomla testen op corrupte bestanden en kwetsbare bestanden. Dit zijn doorgaans penetratietesters die op veelvoorkomende problemen testen.
U kunt ook de Joomla Vulnerable Extensions-lijst gebruiken. Dit is een live lijst van alle extensies die een kwetsbaarheid hebben. Om de zoveel tijd (elke maand of zo), moet u de laatste lijst controleren om er zeker van te zijn dat geen van uw huidige Joomla-extensies op de lijst staat.
Als een van uw extensies op deze lijst staat, zorg er dan voor dat u deze bijwerkt naar de nieuwste (gepatchte) beveiligde versie.
7. Laat nooit extra bestanden rondlopen
Zorg ervoor dat er geen onnodige bestanden op uw webserver staan.
Verwijder alle bestanden die overblijven van de installatie. Verwijder je installatie map en eventuele gecomprimeerde bestanden die u mogelijk naar uw webserver heeft geüpload om de Joomla! kern. Verwijder alle componenten / modules / sjablonen die u niet gebruikt.
Houd uw site altijd zo slank mogelijk. Eventuele extra bestanden kunnen een verplichting worden.
8. Bescherm uw configuratiebestanden en gevoelige mappen
- Alle configuratiebestanden mogen niet in de openbare HTML-directory worden geplaatst. Sommige webhosts (bijv. GoDaddy - check out hoe toegang te krijgen tot GoDaddy e-mail login) staat u dit mogelijk niet toe, dus het beste is om een met een wachtwoord beveiligde map te maken met behulp van een .htaccess-bestand. Als je niet zeker bent over de functie van het htaccess-bestand, is het een goed idee om erover te lezen voordat je verder gaat. Maak een map, het is een goed idee om het iets willekeurigs te noemen, bijv ehxum3jq in plaats van te configureren in uw Joomla! map.
- Maak een .htaccess-bestand om de map te beveiligen. Gebruik een .htaccess-generator om u te helpen het bestand te genereren. Op basis van het bovenstaande voorbeeld zou u een .htaccess-bestand moeten hebben dat lijkt op: dit. Onthoud dat de map die u wilt beschermen de thuismap is (als u niet zeker weet of u deze kunt vinden in het absolute pad van uw oorspronkelijke configuratie.php-bestand) en door de mapnaam toe te voegen, plaatst u uw beveiligde bestanden in bijv. /home /content/a/b/c/abccompany/html/ehxum3jq/
- NB: Dit geeft alleen basisverificatie die geen strenge beveiliging biedt. In de woorden van Apache.org:
Basisauthenticatie mag niet als veilig worden beschouwd voor een bijzonder strikte definitie van veilig.
Hoewel het wachtwoord in een gecodeerde indeling op de server wordt opgeslagen, wordt het in platte tekst via het netwerk van de client naar de server doorgegeven. Iedereen die luistert met allerlei soorten packet sniffers, kan de gebruikersnaam en het wachtwoord duidelijk lezen terwijl ze overgaan.
Om echt veiligheid te bieden, moet u het wachtwoord via SSL verzenden (waar het onderweg versleuteld zou worden).
- Gebruik sterke wachtwoorden of wachtwoordzinnen of willekeurige tekens voor het .htpasswd-bestand, dat er ongeveer zo uit zou moeten zien: dit. U kunt uw directory nog verder beschermen door IP's te gebruiken in het .htaccess-bestand zoals vermeld in deze veelgestelde vragen
- Test om ervoor te zorgen dat de map is beveiligd. Zet er een bestand in en probeer toegang te krijgen tot bijvoorbeeld https://www.uwbedrijf.com/ehxum3jq/mijnbestand.txt. U moet om een wachtwoord worden gevraagd. Als u de gebruikersnaam en het wachtwoord invoert die tijdens het genereren zijn opgegeven, zou u toegang tot het bestand moeten krijgen, anders zou u een 401-foutmelding (Toegang geweigerd) moeten krijgen.
- Gebruik het volgende Veelgestelde vragen over het Joomla-forum om u te helpen bij het verplaatsen van configuratiebestanden van de openbare HTML naar de met een wachtwoord beveiligde map die u hebt gemaakt. Wees echter extra voorzichtig wanneer u het algemene configuratiebestand bijwerkt, omdat dit het bestand dat u hebt gemaakt overschrijft. Beveilig het bestand configuration.php tegen schrijven en eventuele wijzigingen die u nodig hebt, doe ze handmatig met behulp van een FTP-client. En voeg de volgende regel toe zodat iedereen die toegang probeert te krijgen tot het php-bestand de foutmelding "Beperkte toegang" krijgt. Als algemene regel geldt dat alle PHP-bestanden op uw website deze regel moeten bevatten. Elk PHP-bestand dat deze regel niet bevat, vormt een veiligheidsrisico.
gedefinieerd('_JEXEC') of sterven;
gedefinieerd( '_VALID_MOS' ) of die( 'Beperkte toegang'); //voor oudere versies van Joomla
9. Houd extensies van derden up-to-date
Extensies van derden zijn een van de beste dingen van Joomla!
Er is zo'n grote verscheidenheid aan extensies, dat u waarschijnlijk iets kunt vinden dat al voor u is geschreven. Extensies van 3D-partijen zijn er echter in alle soorten en maten en worden niet gecontroleerd door het kernteam.
Dit betekent dat er een kwetsbaarheid bestaat die uw installatie in gevaar kan brengen. U moet uiterst voorzichtig zijn met het installeren van extensies. Controleer de lijst met kwetsbare externe / niet-Joomla-extensies. Als u extensies installeert, zorg er dan voor dat u hun releases in de gaten houdt en dat u hun beveiligingsaanbevelingen opvolgt.
Ga voor meer informatie naar de Joomla! Veelgestelde vragen over beveiliging.
10. Back-up! Back-up! Back-up!
Zelfs als u ALLE stappen heeft ondernomen om ervoor te zorgen dat uw website 100% veilig is, kunnen er nog steeds kwetsbaarheden op de loer liggen, wachtend om gevonden en uitgebuit te worden. Als uw site toch wordt gehackt, MOET u ervoor zorgen dat deze zo snel mogelijk weer online komt met zo min mogelijk verlies van inhoud. Hiervoor moet u zorgen voor goed werkende (dagelijkse of vaker naar behoefte) back-ups.
AkeebaBackup is een open-source component voor de Joomla! CMS dat volledige siteback-ups mogelijk maakt (bestanden en database). Hiermee kunt u volledige back-ups maken en heeft het volledige functionaliteit om uw site te herstellen als het misgaat.
Nog andere Joomla-beveiligingstips?
Dat is voor nu. Als u nog andere Joomla-beveiligingssuggesties heeft, horen we deze graag in de onderstaande opmerkingen.
Alstublieft laat een nuttig geef commentaar met je mening, deel dit dan op je Facebook-groep (en) die dit nuttig zouden vinden en laten we samen de vruchten plukken. Bedankt voor het delen en aardig zijn!
Disclosure: Deze pagina kan links bevatten naar externe sites voor producten die we geweldig vinden en die we van harte aanbevelen. Als u producten koopt die we aanbevelen, kunnen we een verwijzingsvergoeding verdienen. Dergelijke vergoedingen hebben geen invloed op onze aanbevelingen en we accepteren geen betalingen voor positieve beoordelingen.