Mein Sicherheitsleitfaden
Hallo alle zusammen,
ich habe in der Anlage mal eine PDF-Datei angehängt. Da beschreibe ich Möglichkeiten, wie man eine Joomla! Installation sicher machen kann.
Bitte schaut Euch meine Sicherheit zu Joomla an, und gebt mir bitte eine Rückmeldung, ob das verständlich geschrieben ist, und ob es inhaltlich richtig ist.
Sollte noch etwas fehlen, dann bitte ich Euch um eine Rückmeldung als PN.
Danke an alle, die bisher damit geholfen haben.
Gruß
Markus
Geändert von Worti (18.06.2010 um 12:16 Uhr) Grund: Datei aktualisiert am 18.06.2010
Aktuelle Datei des Sicherheitsleitfadens hier im ersten Post des Threads: [HIER]
Wenn man Anderen hilft, kann man selbst eine Menge lernen.
klingt schon mal nicht schlecht. als kleine anregung für all diejenigen, denen das händische erstellen einer .htaccess zu mühsam oder kompliziert ist. dieses kleine tool macht das automatisch und löscht sich auf wunsch (sehr empfohlen) auch gleich wieder vom webspace
http://www.sensiebels.de/download/xssen/index.php
Gruß Sascha
Viele kennen Google, aber nur wenige scheinen es zu nutzenProblem gelöst? | Joomla FAQ
FF Springen
Hallo Markus,
zunächst einmal Dank und Respekt für Dein Engagement. Jedoch einige Anmerkungen von mir:
zu 2. Soweit mir bekannt ist, braucht man zum Durchsuchen der Datenbanken nach dem Suffix jos_ die Zugangsdaten zur Datenbank (DB Host, DB Name, DB User, DB Userpasswort). Man kann also nicht "einfach mal so" nach Datenbanken suchen, in denen die Tabellennamen einen bestimmten Suffix haben.
zu 7. Joomlainstallationen werden sehr viel häufiger über unsichere Erweiterungen gehackt, als durch Lecks in Joomla selbst.
Diese Erweiterungen findet man wesentlich schneller duch Googlen mit Operatoren. Beispiel: inurl:com_jumi
Es ist also wenig sinnvoll den Generator-Tag zu entfernen oder gar zu fälschen.
Kennst Du das hier? https://www.fc-hosting.de/joomla/tip...sicherheit.php
Danke für die ersten Anregungen
Hallo keraM,
zunächst einmal sage ich Danke für die ersten Anregungen.
Zu meinem Punkt 2.:
folgt einmal dem Link von Brian Teeman: http://brian.teeman.net/joomla-gps/j...mladaysnl.html
Dort beschreibt er eine Möglichkeit, wie man sehr einfach etwas ausspionieren kann. Das Ändern des Tabellen Suffixes ist enorm wichtig!
Zu meinem Punkt 7.:
stimme ich Dir zu, was Du sagst. Mit der .htaccess-Sicherung des Administrations-Ordners wird aber vermieden, dass Versionsnummern von Komponenten ausspioniert werden können. Neben Joomla! müssen auch die Komponenten aktuell gehalten werden, bzw. bei Warnungen über schlechte Komponenten müssen diese sofort gelöscht werden. Das nicht benutzte Komponenten auch am besten gelöscht werden sollten nehme ich mit in Punkt 8 des Leitfadens auf. Ansonsten finde ich Punkt 7 aber auch wichtig. Umso weniger Joomla! auftaucht, desto besser ist das. Und eine direkte Einladung muss man ja nicht unbedingt abgeben.
Nochmal vielen Dank für die konstruktive Kritik.
Mehr davon!!!
Gruß
Markus
PS: Die Aktualisierung des Punkt 8 findet morgen am 4.11.2009 statt. Die Datei ist im Büro.
Aktuelle Datei des Sicherheitsleitfadens hier im ersten Post des Threads: [HIER]
Wenn man Anderen hilft, kann man selbst eine Menge lernen.
Kann ich denn auch nachträglich das DB-Präfix ändern? Meines Wissens steht es außer in der Datenbank noch in der configuration.php. Noch irgendwo?
-------- Gruß, Myrtus --------
www.myrtus-communis.de
Ich bin nicht der Meinung, daß man Joomla versteckten muß.Zitat von Worti
Wenn man die grundlegenden Sicherheitshinweise (Updaten, Admin-Ordner mit Passwortschutz, sichere Passwörter, sichere FTP-Verbindung, eigenen PC absichern, nur wirklich nötige Erweiterungen installieren, ungenutzte Erweiterungen komplett deinstallieren, Joomlas interne .htaccess aktivieren, Admin umbenennen, Datei- und Ordnerrechte beachten, Backups anlegen, guten Hoster wählen, ständig in den einschlägigen Sicherheitslisten mitlesen) beachtet, ist Joomla eigentlich so sicher, daß sich die Scriptkiddies ihre Milchzähne dran ausbeißen.
Jede PHP-Anwendung ist erstmal eine Einladung. Derzeit hat "man" es wohl auf Drupal abgesehen.Und eine direkte Einladung muss man ja nicht unbedingt abgeben.
Du bist doch ein scherzkekswenn jemand eine seite hacken will, dann interessiert nicht das schild auf der verpackung, sondern die wird aufgerissen
wenn du so denkst solltest du joomla vielleicht garnicht nutzen
gruss ronny
Projekte in Arbeit:www.christians-fahrschule-cux.de alle seiten mit JAT3 Framework erstellt
Projekte gerade fertig gestellt : www.vetrogel.de shop virtuemart www.lbimmobilien.com www.modern-fishing.de
Schade dass Joomla von hause aus kein Passwort-Sicherheits-System hat, welches die Faulheit verhindert und einfach dazu zwingt, komplizierte und lange Passwörter zu wählen und diese regelmässig zu wechseln. Außerdem müsste man sich über Passwortmanagement seine Gedanken machen.
Der andere Punkt ist, dass man Joomla noch so gut absichern kann wie man will, wenn man einen virtuellen Server nutzt und / oder den falschen Provider, wenn man nicht weiß, wie man den Server generell sicherer macht, kann auch ein für sich sicheres Joomla unangenehmen Besuch bekommen. Daher: Joomla-Sicherheit != Server-Sicherheit. Joomla kann immer nur ein Teil in der Gesamtsicherheit sein.
Mein "Kunde" möchte mit Joomla zum Mond fliegen.
Bin Anfänger... geht das irgendwie?
Danke für weitere Hinweise
Hallo alle zusammen,
@keraM: Ich danke Dir für weitere Hinweise, die ich einbauen werde. Wie sieht Deiner Meinung nach eine sichere FTP-Verbindung aus?
@ronny: Der Tipp mit dem Joomla! verstecken kommt von Brian Teeman, einem Entwickler des Cores! Und natürlich bekommt man CMS-Systeme nicht komplett dicht. Aber man kann versuchen, alles daran zu tun, um das zu erreichen.
@alle: Bitte mehr Hinweise, die ich ergänzen kann.
Gruß
Markus
Aktuelle Datei des Sicherheitsleitfadens hier im ersten Post des Threads: [HIER]
Wenn man Anderen hilft, kann man selbst eine Menge lernen.
Berechtigungen
LinkBack URL
About LinkBacks
Zitieren
Lesezeichen