Twosteps FAQ

Joomla und Mambo bieten Hackern ein relativ breites Feld an Angriffsfläche. Wo früher richtige Hacker Hirnschmalz und Können investieren mussten um einen Server zu hacken, ist heute durch nicht gewartete Joomla-Installationen direkt das ‚Bitte hier eintreten, Schlüssel ist nicht nötig„-Schild auf der Website.

Dank Joomla und den diversen verpfuscht programmierten Erweiterungen kommen heute leider auch geistige Tiefflieger in den „Genuss“ erfolgreicher Hacker zu sein. (Auch wenn man bei uns nicht aus dem eigenen Home herauskommt).

Es heißt zwar immer, das das Joomla-Team Sicherheit sehr ernst nehmen würde, aber Fakt ist, das Lücken erst dann geschlossen werden, wenn der Schaden durch den Pfusch nicht mehr zu übersehen sind. Obendrein wird Joomla auch heute noch mit bekannten Angriffsmöglichkeiten ausgeliefert. Man deutet zwar brav in irgendwelchen ReadMe-Dateien darauf hin, dass es besser währe, Dies und Das dort und dort auszuschalten, aber, warum muss der Anwender es denn erst selbst ausschalten, wenn dem Joomla-Team die Sicherheit so wichtig ist?

Wenn Sie Joomla einsetzen möchten, sollten Sie sich intensiv mit dem Thema Sicherheit und PHP beschäftigen. Zeitgleich ist es unbedingt notwendig, die aktuellen Mailinglisten und Foren zu Joomla-Sicherheit zu abbonieren.

Zu Ihrer Eigenen Sicherheit sollten Sie darauf achten, das bei Ihnen register_globals ausgeschaltet ist (dies können Sie durch phpinfo() feststellen); PHP und Variablen / Sicherheit bei PHP falls es bei Ihnen eingeschaltet ist, bitten wir um eine kurze Nachricht damit es bei Ihnen ausgeschaltet wird.

In der Datei global.php muss zu Ihrer Sicherheit gleich am Anfang

define( 'RG_EMULATION', 0 );

stehen.

Verzichten Sie auf alle Joomla-Erweiterungen, die mit diesen Einstellungen nicht klar kommen. Jede einzelne Erweiterung kann eine Einladung für Script-Kiddys darstellen.

Lassen Sie die interne Statistik-Funktion on Joomla ausgeschaltet. Diese Funktion ist eine extreme Performancebremse und hat (allerdings unbestätigte) Sicherheitslücken.

Verzichten Sie auf News-Feeds anderer Sites. Sofern Sie den RSS-Feed nicht von einer extrem sicheren Seite erhalten, bei der Sie definitiv sicher sein können, das diese nie gehackt wird sollten Sie jeden Feed als unsicher ansehen. Man kann über den RSS-Feed durchaus Lücken in Browsern ausnutzen sofern dies nicht über den Feed-Träger abgefangen wird (was es in Joomla nicht wird).

Schützen Sie Ihren Admin-Zugang/Administrator-Verzeichnis von Joomla unbedingt mit einem Passwort über .htaccess. Dies können Sie bei uns bequem und einfach in Sekunden aus Confixx heraus machen!

Verzichten Sie auf die Option Verzeichnisindex (in Confixx ein /oder auszuschalten). Wenn Sie keine index.html/php/pl/cgi-Datei in einem Verzeichnis haben, sollte zu Ihrer eigenen Sicherheit nichts angezeigt werden.

Erstellen Sie niemals Backups Ihrer Website in das "html"-Verzeichnis der Website. Das Backup könnte heruntergeladen und ausgelesen werden.

Denken Sie bei Installationen daran, dass Sie für die Folgen selbst verantwortlich sind.