Zeige Artikel getaggt mit CMS

Veröffentlicht von am in CS Tech
Joomla und Sicherheit

Eine Webseite zu betreiben ist mit einigen sicherheitskritischen Gefahren verbunden. In dieser Hinsicht ist die Arbeit nach der Inbetriebnahme einer Website längst nicht abgeschlossen. Es gibt nicht den einen optimalen Weg sich vor Angriffen zu schützen und man kann keinen Status erreichen der eine perfekte Sicherheit gewährleistet. Stattdessen ist es eine fortwährende Aufgabe, Webseiten sicher zu halten und auf aktuelle Gefahren zu reagieren.

Die Bedrohungen für eine Webseite sind sehr real und tatsächliche Angriffe sind keine Seltenheit. Aufgrund unserer Erfahrungen können wir folgende allgemeine Punkte für das Einrichten und Instandhalten von Webseiten empfehlen, welche das CMS Joomla verwendet:

Kein Ballast

Grundsätzlich ist es ratsam, die Joomla Installation schlank zu halten, indem unnötige Features nicht aktiviert bzw. deaktiviert werden. Neue Funktionen sollten nur bei Bedarf  hinzugefügt oder eingeschaltet werden. Hierdurch wird die Angriffsfläche für potentielle Attacken reduziert und nebenbei ergeben sich Vorteile in Bezug auf Instandhaltung und Performance. Zusatzmodule sollten möglichst sparsam verwendet werden: Diese werden von den Entwicklern oft nicht aktualisiert und können ein Update der Joomla Installation stark erschweren.

Verschlüsselung

Benutzer-Anmeldungen sowie sensible Daten sollten durch eine verschlüsselte Verbindung geschützt werden, damit der entsprechende Datenverkehr nicht mitgelesen werden kann. Die Verschlüsselung sollte mindestens für das Backend erzwungen werden und ebenfalls für das Frontend, falls hier kritische Daten übermittelt werden (z.B. Kontakt-Formulare oder Benutzer-Login).
Am besten kann bereits die Installation per HTTPS durchgeführt werden, aber spätestens sollten die Einstellungen nach der Installation erfolgen. Benutzer-Daten, welche bereits unverschlüsselt übermittelt wurden, sollten hierbei nochmals geändert werden.

joomla-ssl.png

Während der Installation

Während der Installation ist ein sicherer Username und eine sicheres Passwort zu wählen. Die Verwendung von „admin“ als Username oder Passwort ist keine sichere Variante.

Einstellungen nach der Installation

  • Falls während der Installation kein sicherer Username und sicheres Passwort ausgewählt werden konnte, sollte dies anschliessend nachgeholt werden.
  • Alle Joomla Erweiterungen (Komponenten, Module, Plugins) deaktivieren, welche nicht benötigt werden. Falls möglich Zwei-Faktor-Authentifizierung verwenden (bei Joomla! 2.5 anhand von Admin Tools möglich).
  • Explizit die Benutzerregistrierung deaktivieren, falls diese nicht erforderlich ist.

benutzerregistrierung.png

Erweiterungen nach der Installation

Weiterhin kann man das Hinzufügen von Joomla Erweiterungen in Betracht ziehen, welche speziell zur Erhöhung der Sicherheit ausgelegt sind. Wir haben bisher sehr positive Erfahrungen mit der Komponente Admin Tools Professional gemacht, welche eine Vielzahl von professionellen und effizienten Methoden zum Schutz einer Joomla Webseite bietet. Dieses mächtige Tool enthält eine ausgezeichnete Dokumentation (inklusive eines sehr hilfreichen Schnelleinstiegs).

Backups

Funktionierende Backups sind generell unverzichtbar. Zwar ergibt sich daraus keine direkte Verbesserung der Sicherheit, für einen nicht auszuschliessenden Notfall kann ein Backup aber der einzige und sinnvollste Weg sein, eine Webseite von einem erfolgreichen Angriff schnell und wirksam zu bereinigen.
So sollte immer ein möglichst aktuelles Backup vorhanden sein, welches eine saubere Installation aufweist. Dieses Backup sollte an einem anderen Speicherort als der Joomla Installation zugänglich sein. Um Sicherzustellen, dass das Backup tatsächlich funktioniert, sollte ausserdem die Wiederherstellung getestet werden.
Wir haben gute Erfahrungen mit der Joomla Komponente Akeeba Backup gemacht, welche sich hierfür hervorragend eignet.

Instandhaltung

Für die Instandhaltung einer sicheren Joomla Webseite ist es entscheidend, dass die Installation aktuell gehalten und auf bekannte Sicherheitsprobleme reagiert wird. Hierbei sind zwei Bereiche zu unterscheiden: Es geht sowohl um die Instandhaltung der Joomla Core Installation, als auch um die Instandhaltung der zusätzlich installierten Erweiterungen. Vor diesem Hintergrund ist es wichtig über die Aktualität und Sicherheitsprobleme dieser beiden Bereiche im Bilde zu bleiben.

Joomla Core

Joomla unterstützt jeweils eine aktuelle Langzeit- (LTS) und Kurzzeit- (STS) Version, welche beide eingesetzt werden können.joomla-dev-status.png

Es gibt unterschiedliche Wege hierüber informiert zu werden: So enthält die oben genannte Komponente Admin Tools ein Plugin, welches per Email informiert falls neue Updates zu Verfügung stehen.
Auf der offiziellen Joomla Webseite werden aktuelle Informationen zu Sicherheitsupdates veröffentlicht.

Joomla Erweiterungen

Oftmals sind Sicherheitslücken auf die Joomla Erweiterungen zurückzuführen. Wie Eingangs erwähnt, sollten deswegen keine unnötigen Erweiterungen aktiv sein. Um das Sicherheitsrisiko niedrig zu halten, sind ausserdem keine Erweiterungen zu empfehlen, welche nicht regelmässige Updates erhalten und keine hohe Qualität aufweisen.
Um über derartige Probleme Bescheid zu wissen, ist ebenfalls die offizielle Joomla Webseite eine gute Anlaufstelle, welche aktuelle Informationen zu gefährdeten Erweiterungen bereitstellt.


Weiterführende Informationen: Joomla! Security

Show page in

Was Kunden
über uns sagen

cloud solutions hat im Auftrag des SDBB | CSFO im Rahmen der Realisierung einer Online-Test-Plattform bestehende Testverfahren für die webbasierte Verwendung verfügbar gemacht. Dabei hat sich cloud solutions als äusserst verlässlich, mitdenkend und innovativ erwiesen und war somit dem SDBB | CSFO ein Dienstleister und Sparringpartner auf Augenhöhe.

Jean-Paul Jacquod

Direktor SDBB | CSFO

 
 
 
The future of the PHP PaaS is here: Our journey to Platform.sh
CS Tech
In our team we’re very confident in our ability to produce high quality software. For the past decad...