Zusätzliche Sicherheitskomponenten
Hallo,
ich habe auf http://extensions.joomla.org/extensi...ite-protection noch zusätzliche Sicherheitskomponenten gefunden. Was haltet Ihr von solchen kostenpflichtige Komponenten wie RSFirewall! oder SecureLive Badges and Seals ? Hat jemand schonmal sowas ausprobiert?
Hier im Forum habe ich noch nichts gefunden, ...vielleicht weil solche Komponenten eher unnötig sind?
Bei größeren Internetseiten wäre es ja angebracht (neben den sonstigen Sicherheitsleitanleitungen).
Sicherheitskomponenten sind imho Blödsinn.
* Sie arbeiten auf Anwendungsebene, Sicherheit gehört auf Systemebene
* nur eine Komponente, die nicht installiert ist, kann ganz sicher nicht ausgenutzt werden.
* viele Komponenten setzten auf Security by Obscurity. Das dieses Konzept nicht funktioniert, sieht man bei Windows und anderen Closed Source Softwareprodukten.
Es gibt sicher noch mehr Gründe, die gegen den Einsatz solcher Erweiterungen sprechen.
Ich gebe keraM recht.
Die Angriffe müssen für dem CMS abgefangen werden und nicht vom CMS weil dann ist der Angreifer schon im System. Was auch durch sowas passieren KANN ist das dass CMS Performence einbuse erleidet.
Aber ich lass mich gerne eines besseren belehren.
Bin da anderer Meinung - gerade Joomla! ist ein gutes Beispiel dazu: Stark verbreitet und von vielen Laien benutzt, welche oft nicht wirklich wissen, was sie da tun. Solange es läuft sind sie zufrieden und nicht wenige CMS (nicht nur Joomla!) sind nicht wegen falscher Server- sondern falscher Joomla!-Konfiguration ein gefundenes Fressen für Hacker!
Hier setzt z.B. RSfirewall an - checkt die Installation und gibt einen ausführlichen Bericht über gefundene Sicherheitslücken und wie diese behoben werden.
Geprüft wird:
→ System Versionsprüfung
→ Datei Integritätsprüfung
→ Ordner Zugriffsprüfung
→ Datei Zugriffsprüfung
→ Malware Muster Prüfung
→ Datei und Ordner Zugriffsprüfung
→ PHP Prüfung
→ Benutzerprüfung
→ RSF_JUMI_CHECK
→ RSF_JOOMLA_CONFIGURATION_CHECK
Durch die Prüfung der Dateien kann auch ein Hack auffallen, der versteckt noch gar keinen Schaden angerichtet hat. Nach Neuinstallationen von Erweiterungen können falsche Ornder/Dateien Rechte schnell mal übersehen werden und verheerend sein.
All das kann man natürlich auch ohne ein Tool von Hand kontrollieren, wird aber aus Bequemlichkeit allzuoft vernachlässigt.
Der Schutz ist zudem nicht nur auf Joomla selber beschränkt sondern ist sinnvoll auf Servereinstellungen erweitert, so dass ein Gewinn an Sicherheit geschaffen wird.
Welche Installationen werden gehackt? .... OK, für diese Benutzergruppe ist sowas gedacht, statt hinterher zu jammern.
Es sind noch einige andere Tools empfehlenswert - teilweise mit neuen Versionen - die das Verwalten von Joomla! für Laien (und Profis mit vielen Installationen) erheblich vereinfachen.
100% Sicherheit gibt es nie - und jeder muss selber wissen, was in seinem Fall Aufwand und Nutzen gerecht wird.
Ausser man tut es ... conjom
Das Kareebu finde ich auch sehr empfehlenswert, die letzten XXS Sicherheitsmängel waren ja alle über aufgerufenen Backend. Das Kareebu verhindet, dass überhaupt der Backend aufgerufen wird.
statt: www.url.de/administrator wird es zu www.url.de/administrator?deinpasswort. Dritte können somit den Backend garnicht aufrufen und schädlichen XXS aufrufen.
Ein einfacher Passwortschutz per htaccess für den administrator-Ordner erfüllt denselben Zweck.
-------- Gruß, Myrtus --------
www.myrtus-communis.de
Kennt ihr die Komponente com_encrypt_configuration?
Wie beschrieben wird, werden die Zugangsdaten verschlüsselt übertragen, also sowas wie SSL.
Sehr sinnvoll denke ich mal...
So genannte "Sicherheitskomponenten" halte ich auch für Blödsinn, hatt ich ganz oben schon mal beschrieben. Darin stimmen wir also überein.
Wenn es ein Trivialpasswort ist, dann wird es sicher auch Treffer geben.Zitat von Rumburack
Hierzu brauchen die Bots aber einen unbekannten Benutzernamen und ein unbekanntes Paswort. Da wird der Aufwand im Verhältnis zur Trefferchance zu groß, es gibt genügend ungesicherte Seiten. Die "Hacker", welche mit Bots arbeiten, sind auf Masse und schnellen Erfolg aus. Da bremst so ein Verzeichnisschutz per .htaccess gewaltig.Sowas bringt meiner Meinung nach garnichts. Ebenso wie der htaccesschutz fürs Backend.
Ich dachte bisher, daß das System für die Sicherheit zuständig ist. Oder kann ich jetzt meinen zusammengefrickelten Server online stellen, Joomla kümmert sich um die Sicherheit.Die Sicherheit kommt einzig und alleine vom Joomla.
Wenn im Joomlacore eine Lücke gefunden und genutzt wird, ist Joomla unsicher. Veraltet ist es erst, wenn ein Update bereitgestellt ist, es aber von Admin nicht innerhalb von x Tagen eingespielt wird.Die bekannten Angriffe kamen ausschlieslich über veraltete Joomlaversionen...
Aktuell halten ist OK, wobei nach Murphys Law ein Patch genau dann bereitgestellt wird, wenn sich der Joomla Admin für 3 Wochen in den Urlaub verabschiedet hat.Alles aktuell halten und halbwegs sichere Passwörter sind ausreichend.
Sichere Passwörter? Ähmm, dann geben die Bots halt ein gedachtes Passwort ein, irgendeins wird irgendwo schon gehen.
Wenn Du mit entfernen das Ändern von "admin" in irgend einen anderen Nick meinst, dann stimme ich zu.Was ich persönlich für sinnvoll halte ist das entfernen des Adminnicks.
Auch wenn Joomla samt aller installierter Erweiterungen up to date ist, blockt so ein Schutz doch schon den Versuch eines erfolglosen Hacks. Und so ein Schutz kann dem Admin u.U. helfen, seine 3 Woche Urlaub mit einigermaßen ruhigen Gewissen zu geniessen. Allerdings kann es kein Ersatz für ein bewußt nicht eingespieltes Update sein.
Die Absicherung über SSL ist doch implemetiert, das Coreteam hat also reagiert.Wenn das Backend deiner Meinung nach so gefährdet ist, warum kommt dann nicht mehr Sicherheit vom Coreteam?
Wie ich hier grad schrieb, ist mich schon eine Erweiterung (weiß nicht mehr welche das war) untergekommen, die mit einer anderen Superadmin-ID als 62 nicht zurechtkam. Ist mglw. das schlechte Beispiel in der Programmierkunst, hab das dann aber nicht mehr weiter verfolgt. Mir reicht ein Ändern des Benutzernamens des 62er Admins und ein Verzeichnisschutz.
Oooch, mir kommen die Tränen. Wenn ich Zeit habe, bedaure ich Dich mal. Hab aber grad keine Zeit, muß meinen nächsten Urlaub planen.Urlaub ist mir nicht vergönnt sagt mein Cheffe daher ziehe ich sowas nicht in Betracht.
Ich habe den ganzen Tag mit unterschiedlichen Rechnern, Programmen und ihren lieben Nutzern zu tun, nach Feierabend dann noch etwas Hobby - Homepage fürn Verein und mein Bastel-Linuxserver (nur im Heimnetz) - da genieße ich jeden Urlaub in der Ferne völlig ohne Rechner. Ich hab dabei nicht mal Entzugserscheinungen.Nur stellt sich mir hier nach wie vor die Frage ob die 3 Wochen wenn es denn 3 sind nicht irgendwo ein PC zu finden ist. Ok vielleicht sind ja nicht alle so irre wie ich das sie auch im Urlaub ihr Joomla mal zärtlich berühren müßten.
Berechtigungen
LinkBack URL
About LinkBacks
Zitieren
Lesezeichen