Hilfe - Joomla!

Spamschutz-Einstellungen für Joomla!

Spammer nutzen gerne folgende Funktionen, um über Joomla Spams zu versenden:

  • Kontaktformulare
  • Kommentarfunktionen
  • Registrierungs-Funktionen
  • Empfehlungsfunktionen

Folgende Einstellungen schützen zuverlässig:

  • Google ReCAPTCHA oder ECC+ einsetzen
  • Kontaktformular richtig einstellen
  • Registrierung deaktivieren
  • E-Mail- Empfehlung deaktivieren

Wichtig ist das alle Funktionen nach der Installation einer Schutzfunktion noch mal auf korrektes Funktionieren geprüft werden, damit eventuelle Inkompatibilitäten ausgeschlossen werden.

Entweder Google ReCAPTCHA oder ECC+ benutzen, nicht beides zusammen.

Google ReCAPTCHA

Das Google ReCAPTCHA ist datenschutzrechtlich umstritten, weil bei der Nutzung Kontakt zu Google-Servern aufgenommen wird. Daher ist der Einsatz unter Berücksichtigung der aktuell rechtlichen Situation zu beachten.

Die Pluginverwaltung aufrufen und nach "Captcha" suchen

Das Plugin aktivieren und die Einstellungen aufrufen (anklicken).

Bei Google die für die Domain des Joomla die Schlüssel generieren und im Plugin hinterlegen.

 

Die Systemkonfiguration aufrufen.

 

und dort das Google reCAPTCHA aktivieren:

Plugin ECC+

ECC+ kann für Joomla V4.x nur noch in einer PRO-Version genutzt werden. Es liegt ein Abo-Modell zugrunde, welches jedoch nicht automatisch verlängert wird und das Plugin in den Folgejahren auch ohne weitere Kosten genutzt werden kann. ECC+ ist datenschutzrechtlich unbedenklich, sofern nicht die integrierte ReCAPTCHA- oder hCaptcha-Funktion genutzt wird und der Schutzmechanismus auf rein lokale Funktionen (Rechenaufgabe, Zeitsperre, Sicherheitsfrage, verstecktes Feld) beschränkt wird.

ECC+ kann hier heruntergeladen oder bis zur Joomla Versionsserie 3 direkt im Joomla-Backup über Erweiterung -> verwalten --> installieren --> installiert werden.

Nach der Installation das Plugin aktivieren und einstellen:

Das Plugin aktivieren und die Einstellungen aufrufen (anklicken):

Unter dem Tab "Einstellungen":

Unter dem Tab "zusätzliche Angaben" -> "Core Erweiterungen" immer die gezeigten Einstellungen tätigen. Im Bereich "3rd Party Erweiterungen" nur dienigen Erweiterungen aktivieren, die installiert sind.

Weiter unten im Bereich "interne Checks" den Schutz vor "SQL Injection Und Local File Inclusion" aktivieren:

 

Speichern und schließen:

Kontaktformular richtig einstellen

Beim Standard-Kontaktformular muss unbedingt die Funktion "Kopie an Absender" deaktiviert werden.
Hinweis: Nach bekannt werden dieser Problematik ist bei neu installierten Joomla die Funktion per Default deaktiviert, sollte aber dennoch geprüft werden.

Gefahr: Bei aktivierter Funktion kann jeder Seitenbesucher über das Formular an jede beliebige Email-Adresse Emails senden. Das ist eine fatale Funktion und damit ein gefundenes Fressen eines jeden Spammers, der das Formular als "open Relay" nutzen kann.

Jeder Kontakteintrag hat per Default auch ein Kontaktformular, welches Spammer über einen bekannten Linkaufbau aufrufen können, auch wenn gar kein solches Formular auf der Website verlinkt ist. Daher die hier gezeigten Einstellungen bei allen Kontakten einstellen oder die Kontakte entfernen.

Zunächst die globale Voreinstellung:

Unter "Komponenten" auf "Kontakte" klicken.

dann die Optionen aufrufen:

im Reiter "Formular" die Funktion deaktivieren:

Bei den jedem eingerichteten Kontakt diese globale Voreinstellung aktivieren.
Hier am Beispiel des Kontakts "Webmaster":

Im Reiter "Formular" die Globale Einstellung verwenden:

Registrierung deaktivieren

Die allermeisten Websiten benötigen keine Registrierungsfunktion für User. So eine Funktion wird gerne von Angreifern ausgenutzt, um erweiterte Rechte zu bekommen. Registrierfunktionen lösen zudem Emails aus und sind damit eine Ursache für Spam.

Eine ungenutzte Registrierungsfunktion sollte deshalb immer deaktriviert werden.

Klick auf Benutzer -> Verwalten:

dann die Optionen aufrufen:

Im Reiter "Benutzeroptionen" die Benutzerregistrierung deaktivieren:

E-Mail- Empfehlung deaktivieren

Auch die E-Mail-Empfehlungsfunktion "Link per Mail an einen Freund senden" wird für Spam mißbraucht. Diese Funktion wird rechts oben über einem Beitrag angezeigt. Mittlerweile greift hier bei aktuellen Joomla das ReCAPTCHA und ebenso ECC+ (sofern aktuell), aber wir empfehlen diese Funktion global zu deaktivieren, um Angriffsflächen so gering wie möglich zu halten.

Deshalb diese Funktion unbedingt deaktivieren:

 

dann die Optionen aufrufen:

und die Funktion ausblenden:

Das ist die globale Einstellung! Bei jedem einzelnen Artikel kann jedoch eine individuelle abweichende Einstellung erfolgt sein. Dies muss dann in den Optionen bei dem Artikel abgeschaltet werden.

Trotz der Deaktivierung läßt sich die Mailfunktion weiterhin "blind" aufrufen, weil der Linkaufbau bekannt ist. Spammer nutzen das aus. Um die mailto-Funktion in Joomla V3 vollständig zu deaktivieren, kann der Code gepatcht werden (CORE-Patch).

Dazu in Datei components/com_mailto/mailto.php
diese Zeile suchen:

defined('_JEXEC') or die;

und ersetzen mit:

use Joomla\CMS\Access\Exception\NotAllowed;
use Joomla\CMS\Component\ComponentHelper;
use Joomla\CMS\Language\Text;

defined('_JEXEC') || die();

$paramsContent = ComponentHelper::getParams('com_content');

if ((int)$paramsContent->get('show_email_icon') !== 1) {
    throw new NotAllowed(Text::_('JERROR_ALERTNOAUTHOR'), 403);
}
                

Der Aufruf wird dann mit einem 403-Error verhindert.

Eine weitere Möglichkeit den Aufruf der Empfehlungsfunktion zu verhindern ist die Integration einer Sperr-Regel für die betreffende URL in der .htaccess-Datei. Dazu am besten ganz unten in der Datei folgendes einfügen:

RewriteCond %{QUERY_STRING} .*link=xxx.*
RewriteRule ^(.*)$ index.php [F,L]

wobei "xxx" dann mit dem Code des Links zu ersetzen ist. Diese Sperre hat gegenüber dem CORE-Patch den Vorteil, das sie ein Joomla-Update überlebt.

Links:

Gehackte Websites und die Folgen
Joomla absichern
Joomla wurde gehackt! Was tun?

Wenn Sie Fragen haben, können Sie gerne den Support via Telefon oder E-Mail kontaktieren.

© 2024 fc-hosting.de | +49-(0)5032-933-068-0 | info@fc-hosting.de

Quick-Links

Aufträge/Formulare

Tools

Tipps und Hilfen