Sichere Joomla!-Einstellungen


Für Anfänger geeignet

Voraussetzungen

Dauer
  • ca. 15 Min.
Den Server abzusichern, auf dem Joomla! läuft, ist die Basis jedes Sicherheitkonzepts. Setzen Sie dann noch die Empfehlungen für gute und starke Passwörter in die Tat um, kann man von einer weit höheren Sicherheit, als bei dem Durchschnitt der Webprojekte im Netz, ausgehen.
In diesem Artikel zeigen wir Ihnen, welche Einstellungen Sie während der Installation und Betrieb von Joomla! vornehmen sollten und wie Sie am besten mit Joomla! umgehen um einen erweiterten Sicherheitsstandard halten zu können.

Während der Installation

  • Vermeiden Sie einen für Joomla! üblichen Tabellenpräfix, wie z.B. „jos_“. (siehe Artikel „Tabellenpräfix“)

Allgemeine Empfehlungen / Empfohlener Umgang mit Joomla!

  • Schützen Sie die Joomla!-Administration mit einem Htaccess-Passwortschutz (siehe Artikel „Htaccess-Schutz“)
  • Löschen oder deaktivieren Sie den ersten Administrator, der bei der Installation automatisch angelegt wurde (siehe Artikel „Der erste Administrator“)
    Erstellen Sie zuvor aber einen weiteren Super Administrator, damit Sie sich nicht selber aussperren!
  • Wählen Sie keine üblichen Benutzernamen für Administratoren, wie z.B. „admin“, „administrator“, „master“, „root“, etc.
  • Geben Sie keine Zugangsdaten in Joomla! ein, wenn Joomla! sie nicht benötigt, wie z.B. bei der FTP-Funktion und der Mailfunktion (SMTP-Daten)
    Bedenken Sie, dass solche Zugangsdaten in der Regel unverschlüsselt gespeichert werden und daher ein potenzielles Risiko darstellen. Denkbar wäre, dass durch schlecht programmierte Erweiterungen, diese Daten im Klartext aus der „configuration.php“ ausgelesen werden und durch eine Sicherheitslücke so jedem Gast sichtbar gemacht werden.
    Sollte Joomla! diese Daten benötigen, erstellen Sie extra für Joomla! ein eigenes Mail- bzw. FTP-Konto!
  • Deaktivieren Sie die Benutzerregistrierung, wenn sich keine neuen Benutzer im Frontend anmelden sollen
    In der Administration:
    „Konfiguration“ ⇒ Reiter „System“ ⇒ Feld „Benutzer“ ⇒ „Benutzerregistrierung erlauben“
    „Benutzer“ ⇒ Reiter „Komponente“ ⇒ „Benutzerregistrierung erlauben“
  • Sollen sich neue Benutzer selbst registrieren können, sollte der Administrator manuell freischalten
    KEINE Aktivierung neuer Benutzer durch den Administrator ohne Erweiterung möglich!
    „Benutzer“ ⇒ Reiter „Komponente“ ⇒ „Aktivierung neuer Konten durch: Admin“
  • Verlegen Sie den Pfad des „tmp“- und „logs“-Verzeichnis ausserhalb des „Document Roots“
    Beispiel:
    Joomla! ist in „/webs/joomla“ installiert, dann könnte Ihr „tmp“-Verzeichnis in „/webs/tmp“ liegen, sofern „/webs“ nicht über eine URL aufrufbar ist!
  • Schalten Sie die Funktion „System debuggen“ nicht auf einer frei zugänglichen Website ein, da hier sensible Informationen über Ihre Joomla!-Installation angezeigt werden.
    Joomla! 1.7:
    Wenn Sie in Ihrer Liveseite trotzdem auf Fehlersuche gehen wollen, so beschränken Sie den Zugang zu den Informationen im Plugin „System - Debug“ auf die Super Administratoren und melden sich als solcher an.
  • Löschen Sie selbst installierte Erweiterungen, die sich nicht mehr benötigen!
    Es gilt der Grundsatz: „So wenig Erweiterungen wie möglich, so viel wie nötig!“
  • Deaktivieren Sie nicht benötigte Core-Erweiterungen. Folgende könnten in der Regel ohne Probleme deaktiviert werden:
    „Banner“, „Kontakte“, „Newsfeeds“ und „Weblinks“
    Bei Joomla! 1.5 noch zusätzlich: Umfragen
    Diese Erweiterungen zu löschen könnte zu unerwarteten Fehlern führen!
  • Aktualisieren Sie Erweiterungen regelmäßig!
  • Deaktivieren Sie Plugins, die Sie nicht benötigen!
    Beispiel:
    Wenn Sie das Plugin „Authentifizierung - LDAP“ nicht benötigen, deaktivieren Sie es!
Der Name Joomla!® ist ein eingetragenes Markenzeichen der Open Source Matters aus den USA und anderen Ländern. Joomla!-Security ist nicht Bestandteil der Open Source Matters oder des Joomla! Projekts.