20 Joomla-Sicherheitstipps für grundsolide Sicherheit gegen Hacker – Ein vollständiger Leitfaden
Veröffentlicht: 2021-09-25Suchen Sie nach einigen Joomla-Sicherheitstipps? Wenn ja, ist dieser Artikel für Sie. Wir werden 20 verschiedene Möglichkeiten behandeln, die Ihnen helfen, Ihre Joomla-Site vor Hackern zu schützen. Dies sind bewährte Methoden, die sich über die Jahre bewährt haben. Daher ist es wichtig, diese Schritte zu unternehmen, wenn Sie um jeden Preis vermeiden möchten, dass Sie gehackt werden!
20 Joomla-Sicherheitstipps
1) Machen Sie regelmäßige Backups
Backups sind ein sehr wichtiger Schritt, den jeder Joomla-Benutzer unternehmen sollte. Ohne Backups wissen Sie nicht, was mit Ihrer Site passiert ist, wenn sie gehackt wird oder nach einem Update Schäden auftreten.
Es ist auch der beste Weg, sich nach einem Hack zu erholen, da Sie einfach zu einer früheren Version zurückkehren und es erneut versuchen können, ohne wertvolle Inhalte zu verlieren.
2) Joomla-Datenbanktabellen-Präfix
Es wird dringend empfohlen, immer das Standardpräfix der Joomla-Datenbanktabelle zu ändern. Indem Sie dies ändern, können Sie verhindern, dass Hacker Ihre Site-Tabellen leicht identifizieren können und somit unmöglich machen, in Ihre Datenbank einzudringen.
Um dies zu tun, gehen Sie in cPanel zum Abschnitt MySQL-Datenbanken> Registerkarte MyISAM> klicken Sie auf Alle anzeigen, ändern Sie dann das Präfix (Sie können ein beliebiges beliebiges einstellen) und klicken Sie auf Speichern.
Es wird auch empfohlen, diese Änderungen auch in Ihrem PHPMyAdmin-Bereich vorzunehmen, wenn Sie ihn zur Verwaltung Ihrer Joomla-Datenbanken verwenden.
Sie sollten immer überprüfen, ob alles richtig funktioniert, nachdem Sie diese Art von Änderungen vorgenommen haben, indem Sie eine MySQL-Abfrage ausführen.
Verwandte: 25 Tipps zur Verbesserung Ihrer cPanel/WHM-Sicherheit.
3) Halten Sie Ihre Joomla-Website auf dem neuesten Stand
Indem Sie Ihre Joomla-Site auf dem neuesten Stand halten, minimieren Sie die Wahrscheinlichkeit, dass Sie gehackt werden, da mit jedem Update neue Sicherheitslücken geschlossen werden. Sie sollten immer sicherstellen, dass alles auf dem neuesten Stand ist, indem Sie regelmäßig über Erweiterungen > Erweiterungsmanager nach Updates suchen.
Wenn Updates verfügbar sind, installieren Sie sie sofort, und wenn Sie Dateien oder Datenbankänderungen überschreiben müssen, stellen Sie sicher, dass Sie diese durchführen.
Es ist auch wichtig, beim Herunterladen von Erweiterungen nur vertrauenswürdige Quellen zu verwenden. Wenn nicht, gefährden Sie Ihre gesamte Website, indem Sie unbekannte oder nicht vertrauenswürdige kommerzielle Komponenten/Vorlagen installieren.
4) Verstecke deine Joomla-Version
Es ist immer eine gute Idee, Ihre Joomla-Versionsnummer zu verbergen, damit Hacker nicht herausfinden können, welche Schwachstellen behoben wurden. Wenn Sie beispielsweise die Joomla-Version xyz ausführen und die neueste Version ABC ist, verhindert das Verbergen dieser Informationen, dass potenzielle Angreifer wissen, welche Exploits gegen Ihre Site verwendet werden können.
5) Verwenden Sie .htaccess, um grundlegende Konfigurationseinstellungen bereitzustellen
Sie können einige Ihrer Joomla-Konfigurationseinstellungen mithilfe der .htaccess-Datei bereitstellen. Dies ist eine einfache Textdatei, die auf der Root-Ebene Ihrer Website platziert wird und es Ihnen ermöglicht, Apache-Serveroptionen für die gesamte Site oder sogar bestimmte Verzeichnisse zu konfigurieren.
Einige nützliche Beispiele sind:
- Verzeichnisauflistung verhindern (die alle Dateien und Ordner auf der Website anzeigt
- Blockieren des direkten Zugriffs auf verschiedene Dateitypen wie php, xml etc.
- Passwortschutz von Verzeichnissen über .htpasswd (dies ist eine gute Möglichkeit, den Zugriff auf sensible Bereiche einzuschränken)
6) Verwenden Sie das Joomla-Zwei-Faktor-Authentifizierungs-Plugin
Es gibt viele Joomla-Zwei-Faktor-Authentifizierungs-Plugins, die Sie schnell installieren und von dieser zusätzlichen Sicherheitsstufe profitieren können. Wenn es einem Hacker gelingt, an Ihren Benutzernamen/Ihr Passwort zu gelangen, kann er dennoch nicht auf die Website zugreifen, es sei denn, er hat auch Ihr sekundäres Gerät oder Ihren Code, z. B. ein von Google Authenticator generiertes OTP (Einmalpasswort).
Diese Plugins machen Ihre Site sicherer, weshalb es dringend empfohlen wird, nach Möglichkeit die Zwei-Faktor-Authentifizierung hinzuzufügen!
Dasselbe gilt für Ihr Hosting-Konto. Stellen Sie sicher, dass Sie nach Möglichkeit die Zwei-Faktor-Authentifizierung über SSH (oder eine andere von Ihnen bevorzugte Methode) verwenden, um den vollständigen Zugriff zu schützen und die Wahrscheinlichkeit von Hackern zu begrenzen.
7) Beschränken Sie den Zugriff auf den Joomla-Adminbereich
Es ist eine gute Idee, den Zugriff auf Ihren Joomla-Adminbereich einzuschränken, indem Sie nur vertrauenswürdige IP-Adressen zulassen. Dies geschieht über die .htaccess-Datei und Sie können mehrere Einträge hinzufügen, wie folgt:
Bestellung ablehnen, zulassen
Abgelehnt von allen
Ab xx.xx.xx.xx zulassen
Die erste Zeile weist den Server an, den Zugriff zu erlauben, und die nachfolgenden Zeilen definieren, welche IPs oder Subnetze erlaubt sind (beginnend mit „allow“).
8) Beschränken Sie die Anmeldeversuche in Joomla
Sie sollten die Anzahl der fehlgeschlagenen Anmeldeversuche begrenzen, da dies Brute-Force-Angriffe verhindern kann. Sie können dies tun, indem Sie einen bestimmten Konfigurationsparameter auf Ihrer Joomla-Site festlegen (dh maximale Anzahl fehlgeschlagener Anmeldungen vor dem Blockieren einer IP-Adresse).
Dies erfolgt über System > Globale Konfiguration > Sicherheit und dann die Auswahl, wie oft Benutzer bei der Anmeldung fehlschlagen dürfen, bevor sie gesperrt werden.
9) Verwenden Sie starke Passwörter
Wie bei jeder Website, die sensible Informationen wie Anmeldedaten und Zahlungskartendaten enthält, ist es von entscheidender Bedeutung, sichere Passwörter zu verwenden.
Starke Passwörter sollten aus mindestens 12 Zeichen bestehen und eine Mischung aus Groß-/Kleinbuchstaben, Zahlen und Sonderzeichen enthalten (zB !”£$%^&*). Vermeiden Sie auch, dasselbe Passwort für verschiedene Dienste zu verwenden, da dies alle unsicher macht, wenn ein Konto gehackt wird.
Es ist auch wichtig, dass Sie nicht dasselbe Passwort für Ihre Joomla-Site und E-Mail verwenden, da Hacker dafür bekannt sind, gängige Kombinationen von Benutzernamen und Passwörtern auszuprobieren, was in einigen Fällen zu einer vollständigen Kontoübernahme führen kann. Es wird empfohlen, dass jeder Dienst/jede Site ein eigenes, eindeutiges Passwort hat.
Es gibt viele Möglichkeiten, Passwörter zu verwalten und sich daran zu erinnern. Es ist auch wichtig, dass Sie Ihre Passwörter nirgendwo aufschreiben, auf die andere möglicherweise zugreifen könnten (einschließlich auf Haftnotizen, die am Monitor oder unter Tastaturen angebracht sind).
Wenn Sie möchten, gibt es viele Möglichkeiten, Passwörter sicher zu speichern, einschließlich der Verwendung eines Passwort-Managers, wie dem bekannten LastPass. Dies ist für den persönlichen Gebrauch kostenlos, aber es gibt auch einen Premium-Service, wenn Sie zusätzliche Funktionen benötigen.
10) Legen Sie die empfohlenen Berechtigungen für Joomla-Dateien fest
Wenn Sie Joomla installieren, wird empfohlen, die Dateiberechtigungen für Ihre Website-Verzeichnisse und -Dateien richtig einzustellen. Andernfalls können Hacker möglicherweise vollständigen Zugriff erhalten und verheerende Schäden anrichten, z.
Wenn die Berechtigungen jedoch zu restriktiv sind, können beim Hochladen, Bearbeiten oder Löschen von Dateien/Ordnern Probleme auftreten.
11) Aktualisieren Sie die PHP-Version Ihrer Joomla-Website
Joomla kann auf mehreren PHP-Versionen laufen, einschließlich der neuesten Version von PHP (dh Version v.52), die als Zend Guard Loader bekannt ist. Es bietet Leistungssteigerungen, zusätzliche Sicherheitsfunktionen und Fehlerbehebungen gegenüber älteren Versionen, wie z. B. v.44.
Es ist auch möglich, Joomla auf früheren Legacy-Versionen auszuführen, obwohl dies nicht empfohlen wird, da sie bekannte Sicherheitsschwachstellen und Fehler enthalten, die zu einer vollständigen Kompromittierung führen können.
Darüber hinaus ist es auch erwähnenswert, dass PHP v.52 die einzige Version ist, die von der neuesten Joomla-Version (dh Version v.57) unterstützt wird. Alle anderen Versionen gelten aufgrund potenzieller Sicherheitsrisiken bei deren Verwendung als nicht unterstützt.
Wenn Sie Ihre Joomla-Website auf einem Linux-Server hosten, stellen Sie sicher, dass ein aktueller LEMP-Stack ausgeführt wird, der Nginx, MariaDB und PHP enthält.
12) Verwenden Sie sicheres Hosting
Verwenden Sie sicheres Hosting, das ein kostenloses SSL-Zertifikat sowie erweiterte Sicherheit auf Serverebene bietet, z. B. automatischer Firewall-Schutz, tägliche Offsite-Backups und vieles mehr.
Wählen Sie einfach den Plan, der für Sie am besten geeignet ist, und installieren Sie Joomla oder WordPress anhand unserer einfachen Installationsanleitungen, um sofort loszulegen!
13) Deaktivieren Sie gefährliche PHP-Funktionen
PHP verfügt über eine Vielzahl eingebauter Funktionen wie eval(), mit denen Sie beliebigen PHP-Code ausführen können. Dies wird häufig von Hackern verwendet, um bösartige Skripte auszuführen oder Zugriff auf die Dateien/Datenbanken Ihrer Website zu erhalten.
Daher wird empfohlen, gefährliche PHP-Funktionen zu deaktivieren (sofern dies noch nicht geschehen ist), um zu verhindern, dass Angreifer Zugriff erhalten und möglicherweise Ihre Website/Server usw. kompromittieren.
14) Skriptinjektionen deaktivieren
Skript-Injektionen ermöglichen es Hackern, schädlichen Code in Ihre Website einzuschleusen, was dazu führen kann, dass sie das Erscheinungsbild von Webseiten manipulieren, Besucher an andere Orte umleiten, sensible Informationen stehlen usw.
Viele Script-Injection-Angriffe können durch das Setzen serverseitiger PHP-Variablen (zB über eine .htaccess-Datei) verhindert werden, die die direkte Ausführung von Dateien im Document-Root des Servers verhindern.
15) Achten Sie auf verdächtige Dateien/Aktivitäten
Sie sollten Ihre Website regelmäßig auf verdächtige Aktivitäten überprüfen (zB Anlegen neuer Dateien, ungewöhnliche Zugriffsanfragen etc.). Auf diese Weise können Sie Sicherheitsverletzungen frühzeitig erkennen, bevor ein Schaden angerichtet werden kann, und Sie haben außerdem die Möglichkeit, Hacker so schnell wie möglich aus dem System zu entfernen.
16) Spam-Kommentare in Joomla . filtern
Es ist erwähnenswert, dass schlechte Bots ziemlich nervig sein können und Spam-Kommentare auf Ihrer Website hinterlassen.
Dies liegt daran, dass viele von ihnen das Web für SEO-Zwecke durchsuchen und Kommentare/Inhalte veröffentlichen, um wertvolle Backlinks zu erhalten, die dazu beitragen, ihre Suchmaschinen-Rankings (SEO) zu verbessern.
Daher wird empfohlen, ein Plugin wie bb-botmanager zu installieren, um Spam-Kommentare zu filtern und zu verhindern, dass sie auf Ihrer Site erscheinen.
17) Verwenden Sie SSL, um die Sicherheit von Joomla zu erhöhen
SSL wird heutzutage für jede Website empfohlen und sollte als Grundvoraussetzung betrachtet werden.
SSL-Zertifikate bieten eine verschlüsselte Verbindung zwischen Ihrem Server und dem Endbenutzer, die verhindert, dass Hacker sensible Informationen wie Anmeldeinformationen usw. abfangen.
18) Joomla-Sicherheitsaudit
Es ist auch erwähnenswert, dass Sie ein Joomla-Sicherheitsaudit durchführen können, um potenzielle Probleme/Fehler zu identifizieren, die von Hackern ausgenutzt werden könnten.
Auf diese Weise können Sie alle Fehler beheben, bevor sie für Ihre Website verwendet werden, und Ihre Website vor zukünftigen Angriffen schützen.
Wenn Sie Ihr eigenes Sicherheitsaudit durchführen möchten, lesen Sie unseren Blogartikel Durchführen eines Sicherheitsaudits für Ihren Code: Die Grundlagen.
19) Verwenden Sie eine Firewall
Eines der wichtigsten Dinge, die Sie tun können, um Ihre Joomla-Website zu schützen, ist die Verwendung einer Firewall.
Eine Firewall blockiert grundsätzlich jeglichen nicht autorisierten Datenverkehr und verhindert, dass Hacker Zugriff auf Ihren Server erhalten (zB über bösartige Skripte etc.).
Es gibt viele Firewalls wie ModSecurity, Naxsi, Suhosin etc.
20) Entfernen Sie unnötige Plugins/Themes
Es wird auch empfohlen, alle unnötigen Plugins und Themes von Joomla zu entfernen, da diese von Hackern für böswillige Zwecke verwendet werden könnten, um unbefugten Zugriff zu erlangen, Skripte in Webseiten einzuschleusen usw.
FAQ
Warum ist SSL wichtig, wenn es um die Sicherung einer Joomla-Site geht?
SSL-Zertifikate stellen eine verschlüsselte Verbindung zwischen Ihrem Server und dem Endbenutzer her, wodurch Hacker daran gehindert werden, sensible Informationen wie Anmeldeinformationen usw. abzufangen.
Wie oft sollte ich meine Website(s) auf verdächtige Aktivitäten überwachen?
Es wird empfohlen, Ihre Sites/Systeme regelmäßig zu überwachen, damit eventuelle Verstöße oder Schwachstellen frühzeitig erkannt werden, bevor ein Schaden angerichtet werden kann, zB durch Spam-Kommentare, Injection-Attacken, Zugriffs-Exploits usw. So können Sie eher schnell Schritte zur Problembehebung einleiten als darauf zu warten, dass Hacker sie ausnutzen und Zugang erhalten usw.
Was ist eine Firewall und warum sollte ich sie verwenden?
Eine Firewall blockiert grundsätzlich jeglichen nicht autorisierten Datenverkehr und verhindert, dass Hacker Zugriff auf Ihren Server erhalten (zB über bösartige Skripte etc.). Es gibt viele Firewalls wie ModSecurity, Naxsi, Suhosin usw.
Wie können Sie unnötige Plugins/Themes in Joomla entfernen?
Es wird empfohlen, alle unnötigen Plugins und Themes von Ihren Websites zu entfernen, da diese von Hackern für böswillige Zwecke verwendet werden könnten, um sich unbefugten Zugriff zu verschaffen und Skripte in Webseiten einzuschleusen.
Ist die Verwendung von Joomla sicher?
Joomla ist ein großartiges Content-Management-System, das in Bezug auf Benutzerfreundlichkeit und Flexibilität das Beste aus beiden Welten bietet. Wie jedes andere CMS auf dem Markt ist es jedoch nie 100% sicher, daher sollten Sie immer Maßnahmen ergreifen, um Ihre Website gegen potenzielle Sicherheitslücken durch Hacker usw. zu schützen.
Was ist RSFirewall?
RSFirewall ist ein leistungsstarkes Joomla-Plugin, das Ihnen die Möglichkeit bietet, den Zugriff auf Ihre Site über eine benutzerfreundliche Oberfläche vollständig zu steuern und zu überwachen. Sie können damit IP-Adressen blockieren, den Zugriff nach Tageszeit einschränken usw.
Was ist ModSecurity?
ModSecurity ist eine Open-Source-Webanwendungs-Firewall (WAF), die Ihnen die Möglichkeit bietet, den Datenverkehr zu kontrollieren und zu überwachen, der auf Ihren Servern eintritt bzw. diesen verlässt. Es ist ein leistungsstarkes Tool, um zu verhindern, dass Hacker Zugriff auf Ihre Website erhalten.
Was ist ein Sicherheitsaudit und warum sollte ich in Erwägung ziehen, eines auf meiner/n Site(s) durchzuführen?
Ein Sicherheitsaudit identifiziert grundsätzlich Schwachstellen/Probleme, die von Hackern ausgenutzt werden könnten. Es ermöglicht Ihnen, alle Fehler zu beheben, bevor sie für Ihre Website verwendet werden, und trägt dazu bei, Ihre Website vor zukünftigen Angriffen zu schützen.
Fazit
Zusammenfassend lässt sich sagen, dass Joomla ein sehr beliebtes CMS ist, das viele Sicherheitslücken enthält. Daher ist es wichtig, die praktischen Schritte in diesem Artikel zu befolgen, um die Sicherheit Ihrer Website zu gewährleisten.
Obwohl es Joomla schon seit einiger Zeit gibt, gibt es immer noch Benutzer/Entwickler, die Sicherheit nicht ernst genug nehmen. Dadurch haben Hacker vollen Zugriff auf ihre Server, ohne dass die Besitzer Widerstand leisten müssen
Stellen Sie also sicher, dass Sie alles tun, was Sie tun müssen, wenn es um die Sicherheit von Joomla geht!