Eine Joomla!-Webseite ist Dank der intuitiven Installation sowie einer Vielzahl von Templates und Erweiterungen schnell erstellt und online geschaltet. Doch wie sorgt man als Webseitenbetreiber dafür, dass die Webseite auch sicher betrieben werden kann und nicht in den Fokus von Angreifern gerät? Wir haben für Sie eine kleine Checkliste zusammengestellt. Sie können schon mit einigen wenigen Maßnahmen dafür sorgen, dass Ihre Webseite sicher ist.
Passwörter
Dieser Hinweis gilt nicht nur für Joomla! sondern ist allgemeingültig. Nutzen Sie sichere Kennwörter und benutzen Sie pro Dienst bzw. Konto ein eigenes Kennwort. Ein sicheres Kennwort besteht aus einer zufällig gewählten Zeichenfolge aus Zahlen, Buchstaben (Groß- und Kleinschreibung) sowie Sonderzeichen und sollte mind. 8 Zeichen lang sein. Wir empfehlen den Einsatz eines Passwort-Safes (z.B. KeePass). Hier kann man nicht nur seine Kennwörter und Zugänge verwalten, sondern sich auch Passwörter generieren lassen.
Nutzerkonzept - nicht mit Superadmin arbeiten
Nachdem Joomla! erfolgreich installiert wurde, gibt es immer einen Superadmin Nutzer. Dieser ist mit allen Rechten ausgestattet um im Backend Konfigurationsarbeiten durchzuführen. In der Regel wird dieser Zugang für die tägliche Arbeit (Verfassen von Content) nicht benötigt. Aus diesem Grund sollten Sie sich als Betreiber eines CMS Systems ein Nutzerkonzept überlegen und nur die Rechte an Nutzer vergeben, die für die tägliche Arbeit benötig werden.
Absicherung Backend .htaccess
Jeder Nutzer weiß, dass das Joomla!-Backend über die URL /administrator erreichbar ist. Dadurch ist das Backend leicht angreifbar. Ruft man diese URL auf, steht man direkt vor der Anmeldung am Backend und kann Nutzer / Passwort Kombinationen ausprobieren. Um diesen sensiblen Bereich zusätzlich zu schützen, empfiehlt es sich, per .htaccess eine weitere Authentifizierungsebene einzuführen.
2 Faktor Authentifizierung
Standardmäßig meldet man sich als registrierter Benutzer mit einer Kombination aus Nutzernamen und Passwort an. Mit Hilfe der 2-Faktor-Authentifizierung kann man eine zusätzliche Sicherheitsebene mitteln generierten Token umsetzen.
Backups
Backups sind wichtig und notwendig! Deshalb sollten Backups regelmäßig durchgeführt werden. Die Häufigkeit hängt davon ab, wie die Änderungsrate auf der Webseite ist. Manche Webseiten müssen mehrmals täglich gesichert werden, andere nur wöchentlich. Wichtig ist, dass das Backup unabhängig von der Webseite aufbewahrt werden sollte. Das Backup sollte die Datenbank und die PHP-Anwendungen umfassen und verschlüsselt erzeugt werden. Zudem muss regelmäßig geprüft werden, ob das Backup auch zur Wiederherstellung der Webseite taugt.
Weniger ist Mehr
Für Joomla! gibt es eine Vielzahl von Erweiterungen. Aber Vorsicht: Jede Erweiterung brint eigenen Code auf die Webseite. Dieser Code kann unsicher sein. Zudem sollten die Erweiterungen regelmäßig aktualisiert werden. In Punkto Erweiterungen (Komponenten, Module, Plugins, Templates) ist weniger mehr. Neue Erweiterungen sollten auf einem Testsystem ausprobiert werden. Auf dem Produktivsystem sollten nur Erweiterungen installiert werden, die in der Tat auch benötigt werden. Es ist zu prüfen, ob nicht ggf. neue Joomla!-Versionen genau das Feature der installierten Erweiterung mitbringen.
Joomla!-Updates
Nahezu jede neue Joomla!-Version schließt Sicherheitslücken. Es ist dringend empfohlen, die Webseite aktuell zu halten. Das betrifft nicht nur das Core-Systeme, sondern auch alle installierten Erweiterungen. Kritische Security Fixe sollten zeitnah nach deren Veröffentlichung eingespielt werden.
Nachinstallationshinweise
Nachdem man als Administrator ein Joomla!-Update durchgeführt hat, sollte man noch die Installationshinweise beachten und abarbeiten. Diese enthalten wichtige Hinweise zu neuen Optionen.
Webhoster
Die Auswahl des Hosters spielt auch beim Thema Security eine entscheidende Rolle. Es ist wichtig, dass der Webserver stehts aktuell gehalten wird. Das gleiche trifft auf die eingesetzten PHP-Versionen zu. Mit jeder Version werden bekannte Sicherheitslöscher geschlossen und damit bekannten Angriffsszenarien ein Riegel vorgeschoben.
SSL Verschlüsselung
Eine SSL-Verschlüsselung seiner Webseite sollte mittlerweile Standard sein. Dank Anbieter wie Lets Encrypt ist es möglich kostenlose Zertifikate einzusetzen. Der Einsatz von Zertifikaten erhöht nicht nur die Sicherheit bei der Kommunikation zwischen Webserver und Browser, sondern wirkt sich auch positiv auf das Ranking der Webseite aus.
Fail2Ban
Hat man das Backend nicht mit .htaccess abgesichert oder nutzt man auf der Frontend-Seite einen Mitgliederbereich mitteln Login, so können Angreifer auf diesem Wege versuchen, die Passwörter zu erraten. Hier wirkt das Tool fail2ban entgegen. Das muss auf dem Webserver installiert werden bzw. wird vom jeweiligen Hoster bereitgestellt. Mittelns Joomla!-Erweiterung können diese Art der Angriffe im error.log der Webseite protokolliert werden worauf fail2ban reagieren kann und die IP-Adresse des Angreifers für eine gewisse Zeit sperrt.
Monitoring
Wichtig ist auch seine Webseiten zu überwachen. Wurden Inhalte geändert oder heimlich neue Nutzeraccounts angelegt. Oder wurden evtl. Dateien auf dem Webserver manipuliert. All das sollte man überwachen um mögliche Angriffe zu entdecken.