Joomla mit AdminTools absichernJede Seite im Netz wird regelmäßig von Angriffen heimgesucht. Egal ob es böse, ungewollte Bots, gekaperte Server-Zombies, ScriptKiddies oder gewiefte Hacker sind. Der JoomlaFAN sichert sein Joomla!-Projekt ab. AdminTools ist hier ein großer Helfer für die Joomla!-Sicherheit.

AdminTools kommt in zwei Varianten daher. Dieser Artikel beschäftigt sich mit der freien Version. An geeigneter Stelle zeige ich die Möglichkeiten der kostenpflichtigen Variante auf, so dass jeder selbst entscheiden kann, ob er eine Pro-Version kaufen möchte.

(Die Tabelle mit den Unterschieden findet sich hier)

Wichtig: In diesem Artikel geht es nicht darum, generell Joomla!-Sicherheit zu beleuchten. Dinge wie: "Erweiterungen stets aktuell halten" usw. gelten als bekannt! Viel mehr zum Thema Joomla!-Sicherheit findet man zum Beispiel bei den netten Autoren von Joomla-Security.de

AdminTools wird wie jede Joomla!-Erweiterung installiert. Danach lässt sie sich, ganz normal unter Erweiterungen aufrufen. Der Rundgang beginnt im Kontrollzentrum von AdminTools. Ich werde jetzt aber nicht alle Knöpfe im Kontrollzentrum von AdminTools genauestens erklären, sondern mich auf die wichtigsten Funktionen beschränken und bestimmte Knöpfe nur am Rande erwähnen.
Kontrollzentrum von AdminTools
Joomla! und AdminTools aktuell halten
Die zwei wichtigsten Informationen findet man gleich ganz oben: Joomla! und die AdminTools-Erweiterung sollten aktuell sein. Ist eines von beiden nicht aktuell, wird hier gleich eine Warnung angezeigt. Damit ist schon die erste Funktion von AdminTools aufgezeigt! Es kann sowohl sich selbst als auch Joomla! Aktualisieren. Nutzt man Joomla! in Version 1.6 so kann man mit AdminTools auch auf die Version 1.7 aktualisieren (mehr dazu im Artikel: Wie migriere ich richtig).  Hat man AkeebaBackup installiert, wird vor einer Aktualisierung noch gefragt, ob eine komplette Sicherung erstellt werden soll. Sollte die Aktualisierung also Fehlschlagen, hat man gleich ein Backup zur Hand.

Sicherheit
Der nächste große Abschnitt beschäftigt sich mit der Sicherheit des Joomla! und wie es diese verbessern kann. Der erste rote Knopf ist gleich ein Notfallausschalter. Er kann mehr als "nur die Seite offline setzen". Wird dieser Knopf betätigt, wird niemandem außer dem zur Zeit angemeldeten Administrator der Zugriff auf die Seite gewährt (Stichwort: IP-Sperre!). Ein Knopf, den man tatsächlich nur im Notfall betätigen sollte!

Der nächste wichtige Knopf trägt die Aufschrift: "Administration durch Passwort schützen". Mit ihm wird ein .htaccess-Schutz des Joomla!-Administrationsbereichs erzeugt.
Dabei wird nach einem Benutzernamen und Passwort (inklusive Wiederholung) gefragt. Der Benutzername und das Passwort sollten hier von den normalen Anmeldedaten abweichen! Sobald man diese .htaccess-Abfrage erzeugt hat, wird die Seite neu geladen und sofort nach dem gerade eingegebenen Zugangsdaten gefragt. Schon ist die Administration geschützt. Dies ist ein wichtiger Schritt für die Sicherung eures Joomla!

Der Knopf mit der Aufschrift "Datenbanktabellen-Präfix-Editor" lässt eben genau dieses Änderung zu. Hintergrund: Die Standardinstallation von Joomla! nutzt ein Datenbanktabellenpräfix mit der Bezeichnung jos. Das ist jedem geneigten ScriptKiddie und Hacker bekannt und bestimmte Angriffe nutzen genau diese Informationen aus. Ändert man dieses Präfix in ein zufälliges Buchstabensalat-präfix laufen Angriffe auf die bekannten Tabellenpräfixe ins leere. Mit Hilfe dieses Knopfs wird also das Präfix auf ein zufälliges Präfix geändert und die Änderung auch in die configuration.php geschrieben, so dass man sofort weiterarbeiten kann.

Ein weiterer wichtiger Schritt zur Erhöhung der Sicherheit eures Joomla! ist die Änderung der ID des Superadministrators. Hintergrund: Standardinstallationen von Joomla! vergeben dem Superadministrator immer die gleiche UserID (62). Standardmäßig haben also alle Superadministratoren die gleiche UserID 62. Auch dieses Wissen wird für Angriffe ausgenutzt. Mit Hilfe des Knopfs "Super Administator ID" wird eben diese auf einen zufälligen Wert unter 62 geändert. Wie geschieht das: Im Endeffekt wird das alte Superadministrator-Konto deaktiviert und ein neues mit den gleichen Benutzerdaten (E-Mail, Benutzername, Passwort) erzeugt; nur eben die ID ist nicht mehr 62! Das alte Konto wird mit Zufallswerten für das Passwort und den Benutzernamen gefüllt und deaktiviert. So ist ein Angriff auf über diese ID nicht mehr möglich.

Werkzeuge
Weiter geht es mit den Knöpfen unter der Überschrift Werkzeuge. Als wichtigster Punkt ist hier das setzen der Berechtigungen für alle Dateien zu nennen. Eine gern genutzte Angriffsmöglichkeit stellen nämlich auch falsch gesetzte Berechtigungen dar. Diese lassen sich in AdminTools erst konfigurieren und dann mit einem Klick setzen.

Ein schönes Werkzeug stellt der Knopf "Temp-Verzeichnis säubern" dar. Er bereinigt alle temporären Verzeichnisse von Installationsüberresten.

Schlussendlich kann man die mächtigen AdminTools selbst noch gesondert vor Zugriff schützen. Es lässt sich ein Hauptpasswort für die Nutzung der Anwendung vergeben oder aber eine Zugriffskontrolle einrichten, um nur bestimmten Backend-Nutzern den Zugriff zu gewähren (auch unter Joomla! 1.5).

In AdminTools Professional
Besonders bemerkenswert ist in der kostenpflichtigen Version die Webanwendungsfirewall (WAF). Diese kontrolliert ob eventuell Manipulationen an der URL von Joomla! vorgenommen werden, um zB. Code oder Dateien nachzuladen. Hier lässt sich auch der Generator-Tag von Joomla! ersetzen und auch der Aufruf zur Anzeige der Modulpositionen (tp=1) verhindern.
Zusätzlich kann man sich benachrichtigen lassen, wenn ein Sicherheitsproblem auftaucht. Dann kann man entweder die angreifende IP-Adresse für eine gewisse Zeit oder für immer sperren. Das ist ganz gut, wenn ein gekaperter Server eine Attacke ausführt oder immer wieder SpamBots mit gleicher IP vorbeischauen. Mit AdminTools Pro lassen sich dann auch ganze Regionen aussperren (Geo-IP-Blocking).

Wem also die freien Funktionen nicht ausreichen oder aber die Webanwendungsfirewall auch haben möchte, muss zur Pro-Version greifen. Für alle anderen steht die freie Version von AdminTools hier zum Download für alle Joomla!-Versionen bereit.

Einen ruhigen Schlaf und ein sicheres Joomla! wünscht euch
Euer Niko
Details

Weitersagen


nik-o-mat.de

Mastodon

Meine Toots

Öffentliche Beiträge von @
Webseiten sichern mit AkeebaBackup
Alle Infos zu AkeebaBackup, Kickstart und Angie

QR-Code der Seite

QR-Code dieser Seite

Aktuell sind 40 Gäste und keine Mitglieder online

Beliebteste Downloads

Codetabelle der Medionfernbedienung 41169
Examensarbeit
mod_page_qr_code_v1.2-j3x
TrueCrypt
LaTex - Vorlage - Diplom / Examensarbeit

Neueste Downloads

TrueCrypt - Deutsches Sprachpaket
TrueCrypt
View Definitions - für Twonky Server
Codetabelle der Medionfernbedienung 41169
mod_page_qr_code_v1.2-j3x
Go to top