Hilfe - Joomla!

• Zeitnahe Updates!
  Halten Sie das Joomla und alle Erweiterungen immer auf dem jeweils aktuellen Versionsstand und verfolgen Sie Sicherheitswarnungen und die Foren:
  z.B.: forum.joomla.de, Joomlaportal
  Wir empfehlen den Versionscheck aller Scripte mindestens zweimal monatlich. Sofern Sie dies nicht selbst realisieren können, buchen Sie Wartungsverträge hinzu.
  Hier finden Sie unsere Partner, die auch Wartungsverträge anbieten: Partnerliste
  
  
• Setzen Sie einen .htaccess-Passwortschutz für das Verzeichnis "administrator".
  Oft ist das mit den Hilfsmitteln des Providers möglich.
  So einfach geht das bei uns: hier
  Sonstige Scripte/Hilfen dafür: hier, hier.
  Dieser Schutz ist sehr effektiv und schützt vor einer Vielzahl von typischen Szenarien!
  Jedes Joomla sollte einen solchen Backend-Passwortschutz haben!
  
  
• Stellen Sie die von uns empfohlenen Spamschutz-Einstellungen ein.
  
  
• Nutzen Sie ausschließlich sichere Passwörter:
  * Benutzen Sie leicht merkbare Phrasen (z.B. die Anfangsbuchstaben eines Satzes)
  * Die Länge des Passworts ist wichtiger als ein Gemisch an Sonderzeichen
  * Passwörter nur einmalig verwenden
  
  
• Setzen Sie einen globalen Passwortschutz vor jeder Test- oder Entwicklungsinstallation.
  
  
• Benutzen Sie abhörsichere FTP-Authentifizierung ( hier bei uns).
  Alternative: Bei uns können Sie den Dateimanager benutzen.
  
  
• Beschränken Sie die Anzahl der Super-Administratoren und FTP-User auf tatsächlich vertrauenswürdige Personen.
  
  
• Ändern die den Superadmin-Usernamen "admin" in einen anderen Namen.
  
• Aktivieren Sie SSL im Joomla - jedoch erst wenn ein SSL-Zertifikat installiert wurde.
  - Zertifikat buchen, sofern keines im Paket inklusive ist
  - Nach der Installation des Zertifikats Joomla! auf SSL umstellen:
   
  
  
• Deinstallieren Sie ungenutzte Drittanbieter-Erweiterungen!
  Auch ungenutzte oder deaktivierte Erweiterungen lassen sich durch Angreifer ausnutzen. Deshalb immer tatsächlich deinstallieren und nicht nur deaktivieren.
  
  
• Verzichten Sie auf Beta- und RC-Software und jegliche Software ohne regelmäßige Updates oder nicht vertrauenswürdigen Quellen und Herstellern. Reduzieren Sie die Zusatzscripte auf das tatsächlich notwendige Minimum - eine Seite muss nicht jedes Gimick haben.
  
  
• Überprüfen Sie regelmäßig die Userliste auf Fake-User oder andere Auffälligkeiten.
  
  
• Aktivieren Sie die .htaccess-Datei des Joomla. Dort gibt es auch einen minimalen Exploid-Schutz.
  
  
• Erlauben Sie keine Uploades von Daten (z.B. über den Editor). Uploads optimalerweise nur über Backendfunktion und vertrauensvollen Usern. Dazu zählt auch der Upload von Avataren und Anhängen in Foren und Gästebüchern.
  
  
• Beobachten Sie die Logfile-Auswertung regelmäßig! Dort erkennen Sie sehr schnell typische Auffälligkeiten (steigender Traffic, Dateien mit hohen Zugriffszahlen, Massenzugriffe etc.).
  
  
• Und ganz wichtig: Machen Sie regelmäßige Langzeitbackups. und lagen Sie diese lokal. Falls trotzdem mal ein Angreifer "durchkommt", haben Sie die Möglichkeit die Seite ohne viel Datenverlust wieder herzustellen und die bislang unentdeckte Lücke zu schließen.
  Backupfunktionen bei uns: hier
  

• Sie benötigen 100%-joomlatauglichen Webspace, auf dem PHP als CGI betrieben wird und es kein "wwwrun-Problem" gibt. Hinweise zu Dateirechte.
  
  
• Jeder Kundenaccount muss über wirksame Mechanismen gegenüber anderen Kundenaccounts "abgeschottet" sein, damit ein eventueller Hack eines Nachbarkunden sich nicht ausbreiten kann.
  
  
• PHP selbst sollte per Default strenge Sicherheitseinstellungen haben (z.B. allow_url_include sollten per Default auf "off" stehen, Binary- und Shellaufrufe müssen beschränkt sein). Abweichungen davon sollten die Ausnahme sein.
  
  
• Der Webserver des Providers sollte eine Application-Firewall einsetzten, um typische Angriffszenarien zu blockieren und auch die vom Joomla Security Strike Team verteilten Security-Regeln einsetzen.
  
  
• Regelmäßige Updates der Serversoftware.
  
  
• Regelmäßige autom. Backups sämtlicher Kundendaten

Kunden bei uns müssen sich hier keine Gedanken machen. Wir erfüllen alle diese Kriterien und sind im Verteiler des Joomla Security Strike Team, so das wir zeitnah über CORE-Sicherheitslücken und mögliche Gegenmaßnahmen via Web-Applikation-Firewall-Filter informiert werden.