Liebe Gemeinde,
jede Seite im Netz wird regelmäßig von Angriffen heimgesucht. Egal ob es böse Menschen, ungewollte Bots, gekaperte Server-Zombies, ScriptKiddies oder gewiefte Hacker sind. Der JoomlaFAN sichert sein Joomla!-Projekt ab. AdminTools ist hier ein großer Helfer für die Joomla!-Sicherheit.
AdminTools kommt in zwei Varianten daher. Dieser Artikel zeigt die Vorzüge der kostenpflichtigen Version auf und wirft auch einen Blick auf die freie Version.
(Die Tabelle mit den Unterschieden findet sich hier)
Wichtig: In diesem Artikel geht es nicht darum, generell Joomla!-Sicherheit zu beleuchten. Dinge wie: "Erweiterungen stets aktuell halten" usw. gelten als bekannt!
AdminTools wird wie jede Joomla!-Erweiterung installiert. Danach lässt sie sich, ganz normal unter Erweiterungen aufrufen. Der Rundgang beginnt im Kontrollzentrum von AdminTools. Ich werde jetzt aber nicht alle Knöpfe im Kontrollzentrum von AdminTools genauestens erklären, sondern mich auf die wichtigsten Funktionen beschränken und bestimmte Knöpfe nur am Rande erwähnen.
Security - Sicherheit
Der erste Abschnitt beschäftigt sich mit der Sicherheit des Joomla! und wie es diese verbessern kann. Der erste rote Knopf ist gleich ein Notfallausschalter. Er kann mehr als "nur die Seite offline setzen". Wird dieser Knopf betätigt, wird niemandem außer dem zur Zeit angemeldeten Administrator der Zugriff auf die Seite gewährt (Stichwort: IP-Sperre!). Ein Knopf, den man tatsächlich nur im Notfall betätigen sollte.
Der nächste wichtige Knopf trägt die Aufschrift: "Password-protect Administator". Mit ihm wird ein .htaccess-Schutz des Joomla!-Administrationsbereichs erzeugt. Dabei wird nach einem Benutzernamen und Passwort (inklusive Wiederholung) gefragt. Der Benutzername und das Passwort sollten hier von den normalen Anmeldedaten abweichen. Sobald man diese .htaccess-Abfrage erzeugt hat, wird die Seite neu geladen und sofort nach dem gerade eingegebenen Zugangsdaten gefragt. Schon ist die Administration geschützt. Dies ist ein wichtiger Schritt für die Sicherung eures Joomla!.
AdminTools Professional
Besonders bemerkenswert ist in der kostenpflichtigen Version die Webanwendungsfirewall (WAF). Diese kontrolliert ob eventuell Manipulationen an der URL von Joomla! vorgenommen werden, um zB. Code oder Dateien nachzuladen. Hier lässt sich auch der Generator-Tag von Joomla! ersetzen und auch der Aufruf zur Anzeige der Modulpositionen (tp=1) verhindern.
Zusätzlich kann man sich benachrichtigen lassen, wenn ein Sicherheitsproblem auftaucht. Dann kann man entweder die angreifende IP-Adresse für eine gewisse Zeit oder für immer sperren. Das ist ganz gut, wenn ein gekaperter Server eine Attacke ausführt oder immer wieder SpamBots mit gleicher IP vorbeischauen und sich z.B. am Login probieren. Mit AdminTools Pro lassen sich dann auch ganze Regionen aussperren (Geo-IP-Blocking).
Wem also die freien Funktionen nicht ausreichen oder aber die Webanwendungsfirewall auch haben möchte, muss zur Pro-Version greifen. Für alle Anderen steht die freie Version von AdminTools hier zum Download für alle Joomla!-Versionen bereit.
Weitere Werkzeuge
Weiter geht es mit den Knöpfen unter der Überschrift Werkzeuge. Als wichtigster Punkt ist hier das setzen der Berechtigungen für alle Dateien zu nennen. Eine gern genutzte Angriffsmöglichkeit stellen nämlich auch falsch gesetzte Berechtigungen dar. Diese lassen sich in AdminTools erst konfigurieren und dann mit einem Klick setzen.
Ein schönes Werkzeug stellt der Knopf "Temp-Verzeichnis säubern" dar. Er bereinigt alle temporären Verzeichnisse von Installationsüberresten.
Schlussendlich kann man die mächtigen AdminTools selbst noch gesondert vor Zugriff schützen. Es lässt sich ein Hauptpasswort für die Nutzung der Anwendung vergeben oder aber eine Zugriffskontrolle einrichten, um nur bestimmten Backend-Nutzern den Zugriff zu gewähren.
Einen ruhigen Schlaf und ein sicheres Joomla! wünscht euch
Euer Niko