Die Anleitung bezieht sich auf Joomla-Anwendungen, die auf einem Webhosting-Produkt von Host Europe betrieben werden. Bitte beachten Sie, dass die nachfolgenden Links auf externe Seiten führen. Host Europe übernimmt für die Richtigkeit und die Aktualität der Inhalte keine Verantwortung.

Leider hört man in den letzten Monaten immer öfter von gehackten Webseiten, die mit dem CMS (Content Management System) Joomla erstellt wurden. Aber was genau bedeutet es eigentlich für die Betreiber und Besucher, wenn die Webseite gehackt wurde? Fremde haben über verschiedene Wege Zugriff auf Ihre Webseite erlangt um diese in unterschiedlichen Weisen zu missbrauchen und anderen zu schaden. Dies kann damit beginnen, dass unter Ihrer Domain plötzlich Werbung für Potenzsteigernde Mittel gemacht wird bis hin zu tausenden Emails mit fragwürdigem Inhalt. Am Ende fällt dies auf Sie zurück, daher ist es wichtig, sich im Vorfeld auch über den Aspekt Sicherheit Gedanken zu machen.

Hier möchten wir Ihnen einige wenige, einfache aber sehr wirksame Wege nahelegen, wie Sie sich und auch Ihre Besucher schützen können.

1) Verwenden Sie sichere Passwörter & Benutzername!

Bitte verwenden Sie immer sichere Passwörter und nach Möglichkeiten auch sichere Benutzernamen. So ist es z.B. nicht ratsam als Benutzernamen „admin“ zu verwenden, auch wenn dies bei der Installation vorgeschlagen wird.

Warum? Ganz einfach, weil die meisten Administratoren „admin“ verwenden, so hat der Angreifer schon mal 50% der Daten die erbraucht um sich im Administratorbereich anzumelden. Nehmen Sie aber z.B. „HostEurope2013“ als Benutzername und dann idealerweise noch „my%pass&is!safe“ als Passwort, macht man es dem Angreifer schwerer an die Daten zukommen. Allgemein kann man sagen, verwenden Sie kein Wort als Passwort was in irgendeinem Wörterbuch der Welt vor kommt! Das gleiche gilt ebenfalls bei den FTP Zugängen oder auch bei den Datenbanken, wobei Sie hier bezüglich des Benutzernamens seitens Host Europe nicht zu 100% frei wählen können, da wir einen Teil bereits vorgeben. Umso wichtiger ist hier die Verwendung sicherer Passwörter. Bitte verwenden Sie nicht die oben angegebenen Daten, diese sollen lediglich verdeutlichen wie Sie eine sichere Konfiguration erstellen! Verwenden Sie bitte eigene Benutzernamen sowie Passwörter!

Einen guten Passwortgenerator finden Sie auf: www.gaijin.at/olspwgen.php

2) Halten Sie Ihre Webseite aktuell!

Dies gilt nicht nur für den redaktionellen Teil sondern mindestens genauso für den technischen. Die Entwickler veröffentlichen in unregelmäßigen Abständen Aktualisierungen für dieses CMS. Diese sollten zeitnah auf Ihrer Webseite eingespielt werden, da mit diesen Aktualisierungen Sicherheitslücken geschlossen werden, die im Laufe des Betriebs aufgefallen sind.

Es gibt inzwischen mehrere Hauptversionen des beliebten CMS Joomla:

1.0.x (keine Aktualisierung mehr)

1.5.26 (keine Aktualisierung mehr)

1.6.x (keine Aktualisierung mehr)

1.7.x (keine Aktualisierung mehr)

2.5.28 (keine Aktualisierungen mehr)

3.x (die aktuellste Version)

Joomla in den Versionen 1.0, 1.5, 1.6 und 1.7 sollten umgehend offline genommen werden oder auf 2.5.28 bzw 3.x (jeweils bitte die aktuellste Version verwenden) aktualisiert werden. Die Version 2.5.28 wird nicht mehr mit Updates versorgt, daher empfiehlt es sich die Version 3.x zu verwenden. Nun ist es leider so, dass sobald es eine Aktualisierung gibt, auch die potenziellen Angreifer von dieser Sicherheitslücke erfahren und diese suchen dann nach ggf. vorhandenen neuen Sicherheitslücken. Es ist hier also wirklich wichtig, dass man regelmäßig prüft, ob es Aktualisierungen gibt.

Bei den Versionen 1.0.x, 1.5.x, 1.6.x sowie 1.7.x werden die Aktualisierungen noch per FTP auf den Server geladen, ab der Version 2.5.x ist dies komfortabel über das Joomla Backend möglich und somit innerhalb weniger Minuten erledigt. Allein aus dieser Sicht ist es ratsam die Webseite mindestens auf die Joomla-Version 2.5.x umzustellen, da ab dieser Version die Pflege deutlich vereinfacht wurde.

Neben der Aktualisierung des Joomla-Kerns ist es auch wichtig die installierten und verwendeten Module, Plug-Ins sowie Komponenten auf einem aktuellen Stand zu halten. Auch dies ist ab der Version 2.5.x über das Backend möglich.

3. Datensicherung, Datensicherung und nochmals Datensicherung!

Host Europe erstellt jede Nacht eine Sicherung Ihrer Webseite. Dazu zählen die Daten die auf dem Server liegen und ebenso die dazugehörigen Datenbanken. Sie haben Zugriff auf die Sicherungen der letzten 14 Tage und können diese über Ihren KIS Zugang jederzeit wieder einspielen. Eine Beschreibung der Restore Funktion finden Sie im FAQ-Bereich. Ein Datenbank-Restore kann aufgrund manueller Aktionen nur innerhalb der Geschäftszeiten (Mo-Fr 9-17 Uhr) ausgeführt werden. Sie sollten jedoch immer ein eigenes Backup Ihrer Daten(Webspace, Datenbank) haben, damit Sie diese jederzeit selbst wiederherstellen können. Dies erspart Ihnen Zeit und Sie sind damit auf der sicheren Seite. Hierzu gibt es nützliche Komponenten, wie z.B. Akeeba Backup. Mit dieser Komponente können Sie zu definierten Zeiten Sicherungen erstellen lassen - und das vollautomatisch.

Sie können diese Komponente kostenfrei herunterladen – z.B. auf der deutschen Akeeba Webseite unter: akeeba-backup.de oder aus dem offiziellen Erweiterungs-Verzeichnis unter: extensions.joomla.org/extensions/access-a-security/site-security/backup/1606

4) Schützen Sie Ihren Administrationsbereich!

Jeder der sich mit Joomla einmal beschäftigt hat, weiß, wie man den Administratorbereich erreichen kann. Dieser ist immer erreichbar unter meinedomain.de/administrator. Dies ist auch den Angreifern bekannt. Eine einfache aber wirksame Methode sich zu schützen ist der Schutz dieses Bereiches mit einem Zugriffsschutz. Hier kann man entweder über eine .htaccess einen eigenen Zugriffsschutz erstellen oder als Host Europe Kunde einfach die Zugriffsverwaltung im KIS verwenden.

Wenn Sie im KIS über die folgenden Menüpunkte gehen

Produktverwaltung - Ihr Produktbereich - Konfigurieren - Domains - Domainzuordnungen editieren

können Sie einsehen, wo auf dem Server Ihre Joomla Webseite liegt.

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

In diesem Fall unter /www/joomla – das bedeutet der Zugriffsschutz muss für das folgende Verzeichnis anlegt werden: /www/joomla/administrator

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Weitere Informationen zum Thema Zugriffsschutz / Zugriffsverwaltung finden Sie in unseren FAQ. Es gibt viele weitere Optionen das Backend vor Zugriff zu schützen, von URL Erweiterung bis Joomla Firewall etc. Da dies aber alles über Plug-Ins generiert wird, und man nie sicher sagen kann, ob nicht am Ende genau diese Plug-In zu einem Sicherheitsproblem führen, konzentrieren wir uns hier auf die simplen Wege, die meistens dann noch die besten und effektivsten sind.

5) Sichern Sie Ihre Erweiterungen durch Captcha-Anfragen!

Wenn Sie Formulare, Gästebücher oder Foren unter Joomla betreiben, ist es wichtig, dass Sie diese entsprechend absichern. Hier stehen Ihnen unterschiedliche Captcha Plug-Ins zur Verfügung. Es empfiehlt sich im Vorfeld zu recherchieren, ob es für die eingesetzten Komponenten Empfehlungen gibt. Manchmal sind sogar schon in der Komponente Captchas integriert bzw. vorbereitet. Im Erweiterungs-Verzeichnis finden Sie eine große Auswahl an Captcha Plug-Ins unter: extensions.joomla.org/instant-search/

Prüfen Sie weiterhin auch, ob Sie alle installierten Komponenten, Plug-Ins und Module tatsächlich auf Ihrer Webseite auch verwenden. Oftmals testet man während der Erstellung der Webseite unterschiedliche Erweiterungen, setzt diese aber schlussendlich gar nicht ein. Diese Erweiterungen werden dann in der Regel auch nicht gepflegt und bieten Fremden so leichte Wege Ihre Webseite zu infizieren. Diese, nicht verwendeten, Erweiterungen deinstallieren Sie bitte über das Joomla Backend.

6) Dateiberechtigung anpassen, optimieren und sichern!

Viele Anwender setzen die Dateiberechtigungen sehr hoch, da Sie so Probleme mit Ihrer Joomla-Webseite bzw. den installierten Komponenten, Modulen oder Plug-Ins verhindern können. Dies ist zwar verständlich aber nicht sinnvoll, da Sie so auch Angreifern ermöglichen, diese Rechte zu missbrauchen.

Wir empfehlen daher folgende Rechtevergabe:

→ Benutzer: FTPXXXXX

→ Gruppe: WPXXXXX

→ alle Verzeichnisse erhalten die Rechte 750

→ alle Dateien erhalten die Rechte 640

Folgende Verzeichnisse benötigen die Rechte 770, damit Joomla fehlerfrei arbeiten kann:

administrator/components

administrator/language

administrator/language/de-DE

administrator/language/en-GB

administrator/language/overrides

administrator/manifests/files

administrator/manifests/libraries

administrator/manifests/packages

administrator/modules

administrator/templates

components

images

images/banners

images/headers

images/sampledata

language

language/de-DE

language/en-GB

language/overrides

libraries

media

modules

plugins

plugins/authentication

plugins/captcha

plugins/content

plugins/editors

plugins/editors-xtd

plugins/extension

plugins/finder

plugins/quickicon

plugins/search

plugins/system

plugins/user

templates

configuration.php cache (Cache-Verzeichnis)

administrator/cache (Cache-Verzeichnis)

/is/htdocs/wp12345678_ABCDEFGHIJ/www/ihredomain.de/logs (Protokollverzeichnis)

/is/htdocs/wp12345678_ABCDEFGHIJ/www/ihredomain.de/tmp (Temp-Verzeichnis)

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Unterstützende Hilfe zum Thema Dateiberechtigung finden Sie hier.

7) PHP-Ausführung in bestimmten Verzeichnissen unterbinden!

Sie können dafür sorgen, dass in einzelnen Verzeichnissen hochgeladene PHP-Dateien nicht ausgeführt werden können. Da Schadcode oft in die Verzeichnisse

/images

/tmp

geladen wird, ist es sinnvoll, diese Verzeichnisse in Ihren Möglichkeiten zu beschränken. Legen Sie dazu bitte einfach eine .htaccess Datei mit dem folgenden Inhalt in dem entsprechenden Verzeichnis an.

RemoveHandler .php .phtml .php3

RemoveType .php .phtml .php3

php_flag engine off

Diese Befehle verhindern, dass php-Dateien in den betreffenden Ordnern ausgeführt werden können.Bitte beachten Sie das diese .htaccess Einträge erst ab dem Webhosting Medium zur Verfügung stehen.

---