Auf der offiziellen Joomla!-Dokumentations-Seite findet Ihr eine nützliche Checkliste: http://docs.joomla.org/Category:Security_Checklist.

Im Forum (forum.joomla.de) ist eine deutsche Übersetzung der Sicherheits-Checkliste von joomla.org zu finden. Allerdings bezieht sich diese weitgehend auf Joomla 1.0 und ist daher nicht mehr ganz aktuell.aboutpixel.de / Schlüsselbund © Konstantin Gastmann

Ihr könnt einiges für die Sicherheit eurer Installation tun:

  • Regelmäßige Backups der Joomla!-Dateien und der Datenbank durchführen
  • Immer auf neueste Joomla!-Version upgraden (vorher Backup!)
  • Auch von den Erweiterungen immer die aktuellen Versionen einspielen
  • Neue Erweiterungen immer erst lokal (z. B. auf xampp oder joomlas2go) testen
  • Alles entfernen, was nicht mehr gebraucht wird: Erweiterungen, Templates usw.
  • Beim Provider in den Hosting-Einstellungen PHP 5 (statt 4) wählen
  • Passwörter sicherer machen
  • Zusätzlichen Verzeichnisschutz mit .htaccess anlegen
  • register_globals ggf. mittels eigener php.ini auf OFF setzen
  • Verzeichnisrechte unter Linux ändern


Wir werden uns bemühen, diese Liste zu erweitern und zu pflegen!

Weitere Informationen zum Thema Joomla! Sicherheit findet Ihr hier:


Für alle, die an unserem Treffen im September 2014 nicht teilnehmen konnten, haben wir ein Videoturorial erstellt. Es zeigt, wie die Zwei-Faktor-Authentifzierung mit dem YubiKey unter Joomla 3 eingerichtet wird und wie sie funktioniert.

 

Zwei-Faktor-Authentifizierung mit YubiKey

 

Noch ein kleiner Hinweis: Damit der YubiKey funktioniert, muss der Port 443 (https) offen sein. Es wird nämlich eine verschlüsselte Verbindung zu einem Yubico-Server aufgebaut. Bei vielen Hostern ist das der Fall, aber nicht bei allen.

Solltet Ihr Euch mal "ausgesperrt" haben und auch die Einmalpasswörter nicht zur Hand haben, dann könnt Ihr in der Datenbank das Plugin "Zwei-Faktor-Authentifzierung YubiKey" einfach deaktivieren.


2016-02 ... Schaut euch mal eure

/administrator/includes/defines.php

und die

/includes/defines.php

an. Lt. der Meldung "Infizierte Joomla-Server verteilen Erpressungs-Tronjaner TeslaCrypt" auf heise.de sind Fälle bekannt geworden, in denen Angreifer die letzte Sicherheitslücke dazu ausgenutzt hatten diese Dateien zu verändern, um später auf die Server zuzugreifen. Einige Server sind derzeit fleißig dabei Trojaner an die Besucher zu verteilen.


Um Ihre Joomla! Seite ein wenig sicherer zu machen, gibt es die Möglichkeit die Anzahl der Login-Fehlversuche zu begrenzen. Dadurch haben Brute-Force-Attacken, wie sie derzeit wieder über von diversen Hackern durchgeführt werden (siehe Beitrag "Wordpress und Joomla Hacker mit IP..."), deutlich weniger Chancen an Ihr Kennwort zu kommen.

Ein Plugin im Joomla! Extensions Directory™ ist das "Max Fail Login Attempts". Im Beitrag "How to install Max Failed Login Attempts plugin" hat Jacob Nicholson beschrieben, wie das Plugin Installiert und genutzt wird.


Joomla!-Security - Sicherheit von Joomla! ProjektenNach der gelungenen Anleitung auf der J!German, die nach dem Joomla!Day 2009 in Bad Nauheim entstanden ist, hat sich Jan Erik Zassenhaus mit Christian Schmidt zusammengetan und das Projekt "Joomla!-Security" ins Leben gerufen. Joomla-Downloads berichtete bereits am 10.02.2010 über das Projekt.

Was ist zu beachten, wo kann man Schrauben, um den eigenen Internetauftritt ein wenig Sicherer zu machen. Auch wir wünschen dem Projekt viel Erfolg und freuen uns über die neue Anlaufstelle zum Thema Sicherheit.