elkuku

aus dem Joomla! Developer Blog
Original: http://dev.joomla.org/component/opti...emid,33/p,230/ - Top Ten Stupidest Joomla! Administrator Tricks - November 28th, 2006 by Brad

Vor kurzem fand ich den folgenden Post im Forum. Viele Punkte sind traurig, aber wahr.
Die zehn dümmsten Joomla! Administrator Tricks

10. Beauftragen Sie den billigsten Hosting Anbieter den Sie finden können, möglichst einen Shared Server mit hunderten anderer Sites, von denen einige ****o Sites mit hohem Traffic sein sollten.

9. Verschwenden Sie keine Zeit mit regelmässigen Backups. Vielleicht hilft Ihnen Ihr Hosting Anbieter.

8. Verschwenden Sie keine Zeit die PHP und Joomla! Einstellungen anzupassen um die Sicherheit zu erhöhen. Die Installation war doch wohl ein Lacher. Wie schlimm kann der Rest sein? Beschäftigen Sie Sich mit solchen Details erst, wenn es zu Problemen kommt.

7. Benutzen Sie den selben Benutzernamen und Passwort für Ihr Online Bankkonto, den Joomla! Administrator, Amazon, Yahoo etc. Wer hat schon die Zeit sich so viele Passworte zu merken? Da Sie die Passworte sowieso nie ändern ist es auch viel einfacher das selbe Passwort immer und überall zu verwenden.

6. Installieren Sie Ihre brandneue wunderbare Joomla!-powered Site, feiern Sie die hervorragende Arbeit, und machen Sie Sich keine Sorgen mehr. Wenn Sie keine weiteren Veränderungen vornehmen - was kann schon passieren? (Tip: sehr viel)

5. Vollziehen sie alle Upgrades und das Installieren von Extensions direkt auf der Livesite. Wer braucht schon einen Entwicklungs- und Testserver? Falls eine Installation fehlschlägt, können Sie es einfach deinstallieren. Dies wird hoffentlich alle Schäden die durch die Installation verursacht wurden wieder beseitigen.

4. Vertrauen Sie allen Komponenten von Drittentwicklern und installieren Sie alle coolen Sachen die Sie finden. Jeder der klug genug ist eine Joomla! Extension zu schreiben liefert perfekten Code, der alle bekannten Exploitversuche abblockt - jetzt und für immer. Und überhaupt: fast alle Sachen wurden von wohlwollenden, gutherzigen Leuten beigesteuert - die wissen was sie tun.

3. Machen Sie Sich keine Gedanken über das Aktualisieren auf die neueste Version von Joomla! Bisher ist doch nichts passiert! Das gleiche gilt für die Komponenten der Drittentwickler. Ohnehin viel zu viel Arbeit.

2. Wurde Ihre Seite gecrackt, brechen Sie in Panik aus, stürmen Sie zum Joomla! Forum und eröffnen einen neuen Thread mit dem bekannten Titel: "Hilfe! Meine Seite wurde gehackt!" Seien Sie sicher keine relevanten Informationen zu posten, wie zum Beispiel Ihre veralteten Versionen von Joomla! und den Drittanbieter Komponenten die Sie insalliert haben.

1. Wenn Ihre Site gecrackt wurde, entfernen Sie die infizierte Datei, und nehmen Sie an das jetzt alles in Ordnung ist. Sie sollten nicht Ihre Logfiles untersuchen, Ihr Passwort ändern, das gesamte Verzeichnis entfernen und saubere Backups aufspielen, oder irgendeine andere dieser paranoid anmutenden Maßnahmen ergreifen. Kommen die Angreifer am nächsten Tag zurück, dann schreien Sie laut auf das Sie "schon wieder gehackt" wurden, und der Fehler bei Joomla! liegt. Ignorieren Sie die Tatsache, dass das entfernen einer infizierten Datei noch nicht einmal der erste Schritt in dem komplizierten Prozess eine gehackte Site wiederherzustellen ist.

Dank an Ron Liskey und Seinen Post hier: http://forum.joomla.org/index.php/topic,117767.0.html

Gibt es hier etwas ernsthaftes?
Ja! Das verwalten einer Joomla! Site ist einfach, aber erfordert *ein wenig* Arbeitsaufwand von Seiten des Administrators. Haben Sie die interessante Quelle für Administratoren/Sicherheit gesehen die es hier gibt (englisch): http://forum.joomla.org/index.php/topic,102558.0.html - Falls nicht, bitte lesen.

Joomla! will IHNEN helfen Ihre Website zu verwalten!

Bis bald, irgendwo in der Joomla!sphäre.

DIGG: http://digg.com/security/Top_Ten_Stu...t _this_entry

__________________
Gruß,
Nikolai Easy-Joomla.org Hilf mit Deutsche Joomla! Dokumentation Help testing EasyCreator

KaffDaddy

Moin Moin !

Recht amüsant, spiegelt aber in meinen Augen nur die Tatsache wieder, dass Software, die zu leicht zu installieren ist, von Anfängern einfach nicht weitergepflegt wird. Aus dem Grund, weil es zu einfach zu installieren ist.

Vielleicht sollte das Documentteam genau dieses Posting aufgreifen und (natürlich ernsthafter verpackt) in die Installationsroutine mit aufnehmen. Anfängern oder besser Lernresistenten kann man es vorher und hinterher immer wieder predigen, dass sie sich mit den Hintergründen beschäftigen sollen, die wenigsten beherzigen diesen Rat.

CU
Stephan

__________________
Insomniaonline

Gelöste Threads bitte markieren: Anleitung

DietmarH

Wozu? Halte ich für absolut sinnlosen Aufwand.
Eben. Wie sinnlos solche Hinweise sind, zeigen die ständigen Fragen von einigen, die versuchen, trotz der fetten roten Warnung mitten auf der Startseite mit der 1.5 Produktivseiten aufzuziehen. Noch deutlicher und offensichtlicher kann man nicht mitteilen, wie unsinnig das ist, und trotzdem wird es (wie auch sämtliche hier 1000 mal gepredigten Hinweise dazu) ganz einfach ignoriert.

Wenn man glaubt, man habe die absolut idiotensichere Umgebung geschaffen, gibt es sofort bessere und einfallsreichere Idioten.

__________________
Dietmar
http://www.joomla-supportchat.de | http://joompjirc.joomla-supportchat.de
http://wiki.joomla-nafu.de | http://www.joomla-geruechte.de

Helena

Hi

Jaja..die Profis meckern mal wieder als ob Ihr 2 Vorname Joomla wäre, und zwar von Geburt an. Ich kann mir dieses Gemecker nicht mehr ziehen, ehrlich gesagt..

Wenn es diese vielen " Dummen User " nicht gäbe, wäre Joomla nicht so verbreitet.

Auch mal daran gedacht ?

LG
-Helena-

KaffDaddy

Tjoah, dann vielleicht doch die Holzhammermethode? Wer keine Ahnung hat, kann nicht mehr Installieren, weil die Installation erschwert wird?

Man kann ja von anderen Systemen halten was man möchte, aber dort kann man genau das Gegenteil beobachten: dort setzt die Installation einiges Wissen voraus und Lernresistente scheitern schon am ersten Dialog der Installation bzw. beim Konfigurieren des Systems. Was jetzt nicht heißen soll, dass diese Systeme immer sicherer sind als Joomla.

Ich finde, die Zielgruppe von Joomla bekommt etwas vorgegaukelt, was sie denn da benutzen: nämlich kein sicheres System out-of-the-box. Die Installation ist einfach zu handeln, danach steht das System und man kann schon mit arbeiten. Auf der Website von joomla.org gibt es das Extensionverzeichnis, in dem man eine Menge Extension bekommen kann, die in keinster Weise geprüft sind. Wie in der Satire oben auch steht, macht sich sogar das Coreteam (diese haben das Posting im Originalthread als sehr witzig angesehen) über die "Entwickler"-Zunft lustig: Dieser Umstand wird aber auf der Extensionseite in keinster Weise dem Unbedarften aufgezeigt. Da es eine offizielle Seite ist wird auch angenommen, dass diese Extensions "funktionieren" werden und sicher sind.

Der beste Weg ist meiner Meinung nach der, dass man dem Unbedarften User erstmal (durch Schwierigkeiten) verdeutlicht auf was für Terrain er sich bewegt und dann an die Hand nimmt, um ihm das nötige Knowhow beizubringen.
Nur dadurch kann man das System Joomla sicherer machen und das Bild von Joomla nach außen hin verbessern.

CU
Stephan

__________________
Insomniaonline

Gelöste Threads bitte markieren: Anleitung

KaffDaddy

Wer meckert denn hier?

Ist jetzt halt die Frage, ob das von Vorteil ist bzw. was vom Joomlateam erwünscht ist: weite Verbreitung oder ein sicheres System?

CU
Stephan

__________________
Insomniaonline

Gelöste Threads bitte markieren: Anleitung

DietmarH

Es reicht völlig aus, des Lesens mächtig zu sein. Wer damit Probleme hat, sollte sich ernsthaft Gedanken darüber machen, ob ein Content Management System für ihn das Richtige ist.
... und es hätte nicht einen so schlechten Ruf, weil es so häufig gehackt wird.
Ja, schon öfter. Leider.

__________________
Dietmar
http://www.joomla-supportchat.de | http://joompjirc.joomla-supportchat.de
http://wiki.joomla-nafu.de | http://www.joomla-geruechte.de

Helena

Also wenn beides zusammen nicht möglich ist, sollte mann das Projekt Joomla begraben.

Oder verstehe ich grad etwas falsch ?

LG
-Helena-

KaffDaddy

Ja. Warum gibt es eigentlich hier immer nur hop oder top? Schwarz oder weiß?

Die oben gepostete Toptenliste könnte man doch schön als Aufhänger zur Diskussion des Themas "Sicherheit von Joomla" benutzen, oder? Du möchtest doch auch, dass das System Joomla immer sicherer wird, oder? Also. Nicht immer gleich anfangen loszuheulen, nur weil einem der Standpunkt eines anderen nicht zusagt. Nachdenken und argumentieren.
Es hat hier keiner behauptet, dass alle Nicht-so-viel-wissenden kein Joomla benutzen sollen. Es geht lediglich darum, auch mal über solche Sachen zu reden und sie nicht totzuschweigen.

CU
Stephan

__________________
Insomniaonline

Gelöste Threads bitte markieren: Anleitung

basic

also ich meine: Joomla ist weitverbreitet (5 mio Installs oder so? (irgendwo gelesen)) und sicher