Sichere Joomla!-Einstellungen

Für Anfänger geeignet
 

Voraussetzungen

Dauer

ca. 15 Min.

Den Server abzusichern, auf dem Joomla! läuft, ist die Basis jedes Sicherheitkonzepts. Setzen Sie dann noch die Empfehlungen für gute und starke Passwörter in die Tat um, kann man von einer weit höheren Sicherheit, als bei dem Durchschnitt der Webprojekte im Netz, ausgehen.
In diesem Artikel zeigen wir Ihnen, welche Einstellungen Sie während der Installation und Betrieb von Joomla! vornehmen sollten und wie Sie am besten mit Joomla! umgehen um einen erweiterten Sicherheitsstandard halten zu können.

Während der Installation

Archiv Beachten des Tabellenpräfix unter Joomla! 1.5

Vermeiden Sie einen für Joomla! üblichen Tabellenpräfix, wie z.B. „jos_“. (siehe Artikel „Tabellenpräfix“)

Allgemeine Empfehlungen / Empfohlener Umgang mit Joomla!

Schützen Sie die Joomla!-Administration mit einem Htaccess-Passwortschutz (siehe Artikel „Htaccess-Schutz“)

Archiv Der erste Administrator

Löschen oder deaktivieren Sie den ersten Administrator, der bei der Installation automatisch angelegt wurde (siehe Artikel „Der erste Administrator“)

Erstellen Sie zuvor aber einen weiteren Super Administrator, damit Sie sich nicht selber aussperren!

Wählen Sie keine üblichen Benutzernamen für Administratoren, wie z.B. „admin“, „administrator“, „master“, „root“, etc.
Geben Sie keine Zugangsdaten in Joomla! ein, wenn Joomla! sie nicht benötigt, wie z.B. bei der FTP-Funktion und der Mailfunktion (SMTP-Daten)

Bedenken Sie, dass solche Zugangsdaten in der Regel unverschlüsselt gespeichert werden und daher ein potenzielles Risiko darstellen. Denkbar wäre, dass durch schlecht programmierte Erweiterungen, diese Daten im Klartext aus der „configuration.php“ ausgelesen werden und durch eine Sicherheitslücke so jedem Gast sichtbar gemacht werden.
Sollte Joomla! diese Daten benötigen, erstellen Sie extra für Joomla! ein eigenes Mail- bzw. FTP-Konto!

Deaktivieren Sie die Benutzerregistrierung, wenn sich keine neuen Benutzer im Frontend anmelden sollen -> In der Administration:

Joomla 3.3: „Benutzer“ ⇒ „Option“ ⇒ Reiter „Komponente“ ⇒ „Benutzerregistrierung erlauben“ deaktivieren

Sollen sich neue Benutzer selbst registrieren können, sollte der Administrator manuell freischalten

Joomla 3.x „Benutzer“ ⇒ „Option“ ⇒ Reiter „Komponente“ ⇒ „Kontenaktivierung durch : Admin“

Verlegen Sie den Pfad des „tmp“- und „logs“-Verzeichnis ausserhalb des „Document Roots“

Beispiel: Joomla! ist in „/webs/joomla“ installiert, dann könnte Ihr „tmp“-Verzeichnis in „/webs/tmp“ liegen, sofern „/webs“ nicht über eine URL aufrufbar ist!

Schalten Sie die Funktion „System debuggen“ nicht auf einer frei zugänglichen Website ein, da hier sensible Informationen über Ihre Joomla!-Installation angezeigt werden.

Wenn Sie in Ihrer Liveseite trotzdem auf Fehlersuche gehen wollen, so beschränken Sie den Zugang zu den Informationen im Plugin „System - Debug“ auf die Super Administratoren und melden sich als solcher an.

Löschen Sie installierte Erweiterungen, die sich nicht mehr benötigen!

Es gilt der Grundsatz: „So wenig Erweiterungen wie möglich, so viel wie nötig!“

Deaktivieren Sie nicht benötigte Core-Erweiterungen. Folgende könnten in der Regel ohne Probleme deaktiviert werden:
„Banner“, „Kontakte“, „Newsfeeds“

Diese Erweiterungen zu löschen könnte zu unerwarteten Fehlern führen!

Aktualisieren Sie Erweiterungen regelmäßig!
Deaktivieren Sie Plugins, die Sie nicht benötigen!

Beispiel: Wenn Sie das Plugin „Authentifizierung - LDAP“ nicht benötigen, deaktivieren Sie es!
Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Weitere Informationen Ok