Tipps zur Sicherheit von Joomla-Installationen

Joomla ist nach Wordpress das weltweit meist eingesetzte Content Management System. (CMS) Während Joomla früher den Ruf hatte unsicher zu sein, hat sich das mit der Version 2.5 geändert. Einfache Regeln helfen die Sicherheit weiter zu erhöhen.

Benutzerregistrierung abschalten

Nach der Installation ist Joomla so konfiguriert, dass Benutzer sich anmelden und selbstständig aktivieren können. Sie erhalten dann zwar nur den Status „registered“ haben damit bereits eine Sicherheitsstufe übersprungen. Erweiterungen die unsauber mit den Rechten umgehen sind darüber angreifbar.

Seiten die keine Online-Comunity haben sondern nur von Administratoren gewartet werden, sollten die Benutzerregistrierung daher abschalten. Klicken Sie hierfür in der Benutzerverwaltung auf Optionen und ändern die Einstellungen wie auf dem Bild zu sehen.

 joomla-benutzersteuerung

Joomla 3.2 bietet optional eine 2Faktor-Authentifizierung. Dabei bestätigt eine zweite Seite die Identität des Benutzers und vergibt ein sogenanntes Token das zeitlich begrenzt gültig ist. Damit soll verhindert werden, dass über gespeicherte Browser-Passwörter und XSS Unbefugte Zugriff zur Webseite erhalten. Es ist fraglich ob soviel Sicherheit für kleine Webseiten mit wenigen Administratoren und Autoren notwendig ist.

Vorsicht beim Installieren von Erweiterungen

Unsere Erfahrung ist, dass fasst alle Angriffe über fremde Erweiterungen erfolgen. Die Quelle für Erweiterungen ist extensions.joomla.org. Unglücklicherweise haben die Entwickler in 3.1 eine Komponente eingebaut mit der sich Erweiterungen mit einem Klick installieren lassen. Auch wenn es wirklich komfortabel ist, steigt mit jeder installierten Erweiterung die Möglichkeit für Schwachstellen. Wir deaktivieren diese Option daher grundsätzlich bei unseren Kunden.

 

Folgende Regeln helfen bei der Auswahl:

  • Erweiterungen sollte man vorab auf einem gesonderten System (Spiegel) der Webseite testen. Wenn möglich lokal.

  • Bei Erweiterungen die nicht auf extensions.joomla.org gelistet sind, ist besondere Vorsicht geboten.

  • Schauen Sie vorher auf die Bewertungen und das Datum des letzten Updates. Gibt es viele Beschwerden über Fehler? Welchen Eindruck macht die Webseite der Entwickler und die Dokumentation? Gibt es eine Demoseite?

Updates, Updates, Updates

Einer der Hauptgründe weshalb man Joomla 1.5 nicht mehr einsetzen sollte, sind die fehlenden Online-Updates. Man sollte Joomla regelmäßig auf Updates überprüfen. Erweiterungen die sich nicht online updaten lassen oder einfaches Update verhindern, sollte man meiden.

Fazit

Wir haben in den letzten 8 Jahren über 50 Projekte mit Joomla realisiert. Nur einmal ist es vorgekommen dass durch eine veraltete Erweiterung Webseiten manipuliert wurden. Die Kunden wollten sich die Kosten für eine regelmäßige Wartung sparen. Eine Webseite ist aber mit einem Auto zu vergleichen. Es wird mit der Zeit alt und fällt ohne regelmäßige Wartung irgendwann auseinander. Und noch eine Gemeinsamkeit gibt es. Mit ihrem Auto fahren Sie lieber zur Vertragswerkstatt und gehen nicht zum Schrauber um die Ecke.