Durch die häufigen Diskussionen in den bekannten Joomla!-Foren über sogenannte Sicherheitserweiterungen für Joomla! möchten wir die Gelegenheit nutzen einige Denkanstöße zu geben.
Firewall:
Es gibt „Firewall“-Erweiterungen für Joomla!.
Grundsätzlich sollte eine Firewall vor dem System sitzen und nicht im System! Und wo vor soll diese Firewall schützen? Vor Cross Site Scripting oder SQL-Injections? Dieses kann man unter Umständen einfacher lösen.- Joomla! und Erweiterungen aktuell halten
- „Sichere“ Erweiterungen einsetzten
- Htaccess anpassen, um gewisse Übergaben in der URL zu blockieren
Hierdurch wird schon ein sehr großer Teil an Angriffen abgewehrt.
Aktualitätschecks:
Auch Erweiterungen, die „prüfen“ ob die anderen installierten Erweiterungen aktuell sind, gibt es und sind mit Vorsicht zu betrachten!
Hier sollte sich der Webmaster folgende Fragen stellen:
- Wie prüft die Erweiterung die Aktualität? - Meist anhand einer Datenbank beim Entwickler.
- Aber wie viele Datensätze umfasst die Datenbank, 2.500 Erweiterungen? - Aber es gibt weit mehr als 6.000 Erweiterungen für Joomla!.
- Wie werden die Datensätze aktuell gehalten?
- Werden die Datensätze signiert oder von offizieller Stelle bestätigt?
- Über was für einen Weg werden die Daten zum CMS übertragen? Verschlüsselt (HTTPS)? - Vielleicht wird sogar Schadcode nachgeladen ohne, dass der Webmaster es mitbekommt!
- Werden die Wege des Datentransportes offengelegt?
- Werden Sicherheitslücken von bekannten Erweiterungen berücksichtig?
- Wenn Erweiterungen als „aktuell“ deklariert werden, obwohl in der Erweiterung eine Sicherheitslücke bekannt ist, sollte man sich fragen wie wertvoll dieser Aktualitätscheck ist!
Prüfen von Einstellungen:
Unter anderem werden bei einigen Erweiterungen gewisse Einstellungen überprüft. Was grundsätzlich ein guter Gedanke ist. Aber hier wird doch nicht immer mit Verstand geprüft. Ein Beispiel: Es wird geprüft ob sich eine Htaccess im Root-Verzeichnis befindet. Aber was für ein Inhalt in der htaccess-Datei eigentlich enthalten ist wird nicht geprüft!
Dateiberechtigungen:
Benötigt man wirklich ein Werkzeug, dass mir sagt das die Ordner die Berechtigung 755, Dateien 644 und die configration.php 444 haben? - Nein! Dieses kann man auch ganz schnell selbst erledigen, mit vielen FTP-Programmen.
Blockieren von Benutzer oder IP-Adressen:
Auch ist es fraglich ob Erweiterungen, zum Blockieren von Zugriffen, immer die richtige Wahl sind. Vor allem wie wird geblockt? In der Datenbank oder in der Htaccess-Datei?
Hier gibt es einfache Mittel: Logdatei analysieren, Angriffe auswerten und Regeln in die Htaccess eintragen. Wer noch weiter gehen will, kann diese in den IP-Tables des Servers eintragen.
Backend:
Um das Backend zu schützen gibt es einige sehr einfache aber wirkungsvolle Methoden. Zum Beispiel: Zugriff auf bestimmte IP-Adressen zu beschränken, Verschlüsselung (HTTPS), sicher Benutzername und Passwort und Htaccess-Passwortschutz, um nur einige zu nennen.
Also sollte man sich fragen, ob solche Erweiterungen Sinn ergeben bzw. nicht sogar das System ausbremsen und anfälliger machen für Angriffe!
Fazit: Wir möchten niemandem vorschreiben wie er seine Site zu administrieren hat, aber man sollte gewisse Faktoren überdenken, bevor man solche Erweiterungen einsetzen möchte.