Das CMS Joomla! sicher betreiben
Es wird viel diskutiert über die Sicherheit von Joomla! - und so mancher Online-Redakteur erzählt immer noch die Mär vom auch so unsicheren Joomla!.
Das ist so nicht richtig!
Um das CMS Joomla! sicher zu betreiben und vor Hackern geschützt zu sein, braucht es nicht viel:
1.) Es soll ja noch Joomla 1.5 Installation in freier Wildbahn geben. Davon ausgehend wohl auch noch veraltete Joomla 1.6, Joomla! 1.7, Joomla! 2.5 etc...... Das ist natürlich eine schriftliche Einladung an alle Hacker dieser Welt und absolut unnötig! -> Joomla! zeigt in der Administrationsoberfläche mit einem dicken, roten Hinweis die Notwendigkeit, auf die aktuellste Version upzudaten! Zusätzlich schickt Joomla! automatisch an den hinterlegten Administrator eine eMail mit dem Hinweis auf die aktuellste Version upzudaten! Besser geht es doch nicht!
Joomla! - Sicherheitsregel No 1: eine AKTUELLE Joomla-Installation - derzeit Version 3.9.0
2.) Und ebenso zeigt Joomla! in der Administrationsoberfläche einen dicken, roten Hinweis sofern technische Erweiterungen ein Update benötigen. Zugegeben: nicht alle Erweiterungen funktionieren mit diesem Automatismus - diese sollte man als verantwortungsbewusster Administrator erst gar nicht installieren! Für alle anderen gilt: updaten - und zwar sofort!
Joomla! - Sicherheitsregel No 2: AKTUELLE Erweiterungen - Komponenten Module, Plugins, Templates, Sprachfiles
Ich behaupte, damit sind 80% alle Problemfälle abgedeckt und Hacker suchen sich andere Websites als Spielwiese!
Wer auch die letzten 20% bearbeiten möchte:
3.) Auch für die PHP-Version gibt Joomla! einen Sicherheitshinweis bei veralteten Versionen aus. Eigentlich ist das ja Sache des Providers, aber aus verschiedensten Gründen werden die Server nicht immer auf dem neuesten Stand gehalten. Also Bitte: taucht der PHP-Hinweis auf, umgehend mit dem Provider in Verbindung setzen und updaten - derzeit mindestens PHP7.1.X
Joomla! - Sicherheitsregel No 3: eine AKTUELLE PHP-Version auf dem Server.
4.) Es geht so schnell und einfach: ein Problem ist zu lösen -> eine technische Erweiterung ist mit einem Klick installiert. Vielleicht auch mit einer zeitlich befristeten Lizenz gekauft und dann kümmefrt man sich nie wieder um die notwendigen Updates. Irgendwann verliert man den Überblick, will die Lizenzen nicht erneuern - das kostet schliesslich Geld - und denkt sich, das wird schon gehen. Geht aber nicht - siehe Regel No 3 - veraltete Technik ist ein NoGo!
Joomla! - Sicherheitsregel No 4: WENIGE Erweiterungen - nur die Guten! - Immer aktuell!
5.) Was keine Miete zahlt fliegt raus! Alles abschalten, was nicht wirklich benötigt wird: Braucht die Website wirklich ein Kontaktformular, ein Gästebuch,... Auch sehr gut: den User-Login im Administrationsbereich deaktivieren. Und generell gilt: Nicht nur deaktivieren - ALLES Deinstallieren(!), was nicht benötigt wird.
Joomla! - Sicherheitsregel No 5: Weniger ist mehr! Den Müll bitte raustragen!
Und abschliessend noch ein paar Tipps:
- der Administrator sollte nicht "admin" heißen und das Passwort sollte wirklich gut sein! Wer kann, sollte den Admin-Bereich mit einer zusätzlichen .htaccess schützen
- regelmäßige Backups der Website UND der Datenbank sollten selbstverständlich sein.
- ein sicherer FileTransfer ist anzuraten (FTP über TLS)
- der Standard-Hinweis auf Joomla! als Website-Generator sollte aus dem Quellcode entfernt werden. (Sorry Joomla!)