LinkBack URL
About LinkBacksAls ob man das pauschalisieren könnte...Zitat von Joe Sixpack
Als ob man das pauschalisieren könnte...
So what?Ein Hinweis oder gewisse Tipps dürften wohl nicht verkehrt sein.
Mancher Anfänger wurde schon gehackt, weil er seine Ordner & Dateien nach der Installation auf 777 (=offenes Scheunentor) belassen hat.
Als ob man das pauschalisieren könnte...-Vermeidung schlecht designter Tools, wie Plesk
Cheers
Du suche Template? Klick me hard.
Von Vögeln und röhrenden Hirschen.
Bei php als cgi oder suphp nützt Dir das gar nix, solange vorn eine 6 oder 7 steht, da dann die erste Ziffer relevant ist. Da kannste 600 machen und bist dennoch angreifbar.So what?
Mancher Anfänger wurde schon gehackt, weil er seine Ordner & Dateien nach der Installation auf 777 (=offenes Scheunentor) belassen hat.
Als ob man das pauschalisieren könnte...
Cheers
Ordner- und Dateirechte
Hallo alle zusammen,
kurze Notiz von der Front:
@ Joe Sixpack: Danke. Ich nehme es so auf, dass man mit seinem FTP-Programm nach der Installation mal nach den Rechten schauen soll. Ich finde verkehrt ist das nicht. Ich habe gerade beobachtet, dass das auch Hosterabhängig sein kann, welche Rechte standardmäßig vergeben werden.
@ a.h.: Bitte nicht zanken, diskutieren! Danke!
Gruß
Markus
PS: Ich werde die ID-Änderung des SuperAdmins korrigieren. Es geht wirklich nicht über die Datenbank. Danke an keraM!
Aktuelle Datei des Sicherheitsleitfadens hier im ersten Post des Threads: [HIER]
Wenn man Anderen hilft, kann man selbst eine Menge lernen.
Datei Aktualisierung
Hallo alle zusammen,
ich habe die Datei aktualisiert!
Grüße
Worti
Geändert von Worti (02.12.2009 um 10:18 Uhr) Grund: Aktuelle Datei ist im ersten Post des Threads
Aktuelle Datei des Sicherheitsleitfadens hier im ersten Post des Threads: [HIER]
Wenn man Anderen hilft, kann man selbst eine Menge lernen.
Wenn ich nun aber eine Sicherheitslücke explizit suche, finde ich sofort das CMS heraus.
index.php?option=com_idoblog
und tada... Joomla. Das einfache Aufrufen der Templatepositions (?tp=1) reicht schon aus, um zu entdecken, dass es sich um Joomla handelt.
Stattdessen aber Wordpress oder etwas ähnliches reinzuschreiben, ist ebenso blöde. Wieso lässt du stattdessen nicht einfach den Generatortag per Templateoverride weg? Viel einfacher.
Die SEO bzw. eine Extrakomponente müsste m.M.n. auch dann dringend eingesetzt werden, sodass man nicht sofort an den Links erkennt, dass es sich um Joomla handelt.
Um es auf den Punkt zu bringen: Auch aus meiner Sicht ist das Entfernen bzw. Manipulieren des Tags Unsinn.
Gruß, Dennis
Hallo !
hoffe ich als Laie darf mich hier mal kurz einklinken...
mein Unterschied zu einer Standardlösung ist dass ich den Webspace auf einem in meinem Netzwerk befindlichen NAS habe. Der arbeitet mit Apache auf Linux basis. Wie da die Sicherheit bestückt ist ... naja da weis ich auch noch nicht alles...
wenn ich deine Beschreibung richtig interpretiere:
- Unterverzeichnis/ darin die Joomla Installation -> richtig?
ich habe noch andere Verzeichnisse, wie kann ich die root,Unterverzeichnisse schützen (Zugriffbeschränkung per htaccess?) aber die HP unter Joomla freigeben?
bei der Joomla Installatiion ist ein htaccess.txt dabei, sollte ich damit was anfangen ?
mfg und Vielen Dank!
Joömla V1.5.15 auf priv.NAS (Intranet) Synology DS109+, per AON Router mit dyn. IP ins Web, Zugriff per domain-name umgeleitet auf dyndns.hostname
erst in Unterordner packen dann mit htaccess sichern
Hallo alle zusammen,
@ViperRT10
wie ich in Punkt 4 beschrieben habe packst Du die Installation in einen Unterordner Deines Root-Verzeichnisses. Danach musst Du den Administrator-Bereich Deiner Installation mit einer htaccess sichern. Das Kennwort speicherst Du nicht in einen Unterordner Deiner Installation, sondern in einem weiteren Unterordner des Root-Verzeichnisses.
@DennisBahns
Du hast recht! Da kann man sich glaube ich auch vor schützen. Ich gucke mal. Ich meine, dass ich davon schon mal gehört habe. Näheres später hier. Danke Dennis.
Gruß
Markus
PS: @DennisBahns
Viele Komponenten und besonders ungenutzte und nicht aktualisierte bieten viele Sicherheitslücken und diese können natürlich durch eine direkte Eingabe entdeckt werden. Das ?tp=1 Problem lässt sich durch ein paar wenige Zeilen in der htaccess unterdrücken. Wird bald hier beschrieben. Es ist spät und ich möchte jetzt lieber ins Bett.
Geändert von Worti (24.11.2009 um 00:04 Uhr) Grund: Lösung für ?tp=1
Aktuelle Datei des Sicherheitsleitfadens hier im ersten Post des Threads: [HIER]
Wenn man Anderen hilft, kann man selbst eine Menge lernen.
So ein Leitfaden kann naturgemäß niemals komplett sein, aber die Idee find ich grundsätzlich gut.
Mir fehlen Hinweise darauf, wie man sich aktuelle Informationen beschafft. Z.B. bieten viele Extension-Entwickler Newsletter an, die man abonnieren sollte, wenn man ihre Extensions einsetzt. Das gilt auch für die Joomla Security Feeds auf joomla.org, etc etc.
Joomla kaputt? Gehackt? Migration mißlungen? Datensalat?
www.joomla-notdienst.de - Soforthilfe & Webentwicklung
Einsteiger- FAQ - bitte lesen!
@worti
Super Sache mit dem Leitfaden - danke.
Eine Bitte oder Tip:
Kannst du die jeweils aktualisierte Version in den ersten Post des Threads schieben, oder in deine Signatur, mit dem Vermerk "aktualisierte Version" oder ähnlich?
Denke, dass der Thread relativ lange und unübersichtlich wird, aber so dein Leitfaden immer ersichtlich ist.
...nur so eine idee.
Gruss,
flockey
seid nett zueinander - alles kommt zurück im leben ;-)
Berechtigungen
Zitieren
Lesezeichen