Webentwicklung

Aufgrund der Popularität und bekannter Sicherheitsprobleme werden Joomla-Installationen immer wieder zur Zielscheibe von Angriffen, insbesondere in Form sogenannter Defacements. Laut einer IBM-Studie aus dem Jahr 2008 ist die Zahl der Sicherheitslücken bei Webapplikationen allerdings generell drastisch angestiegen, so dass prinzipiell alle Systeme von diesem Problem betroffen sind. Insbesondere WordPress ist in dieser Hinsicht mindestens genauso gefährdet.

Im Entwicklerteam von Joomla gibt es eine spezielle Abteilung, welche sich nur um das Auffinden von Fehlern kümmert und den Namen „Bug Squad“ trägt. Vor allem die zahlreichen Drittkomponenten verursachen ein erhöhtes Sicherheitsrisiko, was von Hackern ausgenutzt wird. Einige dieser Erweiterungen benötigen sehr weitgehende Rechte auf dem Server, welche zudem meist nicht explizit aufgeführt werden. Programmierbedingte Sicherheitsmängel sind dagegen selten und werden zudem in aller Regel recht schnell beseitigt. Anwender können in der jeweiligen Online-Community Hilfe finden, um ihr System auf dem neuesten Stand zu halten. Viele – vor allem private – Benutzer vernachlässigen jedoch die Pflege einer Webseite und sind sich der resultierenden Probleme nicht bewusst.

Fluff Files

Bereits mit den 'Bordmitteln' kann man es potenziellen Angreifern etwas erschweren. Bei der Installation werden einige unbenötigte, aber sehr verräterische, sogenannte 'Fluff Files' mit installiert, die sofort auf dem Server gelöscht werden sollten:

  • /robots.txt.dist
  • /web.config.txt
  • /joomla.xml
  • /LICENSE.txt
  • /README.txt
  • /htaccess.txt
  • /LICENSES.php
  • /configuration.php-dist
  • /CHANGELOG.php
  • /COPYRIGHT.php
  • /CREDITS.php

Wenn ein Angreifer weiß um welches System (CMS) es sich handelt, kann er systematisch nach bekannten Schwachstellen suchen - ist dies nicht bekannt hat er es wesentlich schwerer und die Wahrscheinlichkeit, vorher bemerkt zu werden, steigt.

Generator Meta-Tag

Wie in vielen Webseiten, gibt es auch in Joomla! einen Meta-Tag (Generator), der dafür genutzt wird um Statistiken zu erheben, auf welchem CMS die Webseiten im Netz basieren. Aus Sicherheitsggründen sollte diese Ausgabe unterbunden werden. Einige Templates bringen diese Funktion bereits von Haus aus mit - die Funktion muss also nur noch in den Einstellungen des Templates eingeschaltet werden.

Verantwortlich für diesen Meta-Tag ist ein Eintrag in der Datei

/libraries/joomla/document/renderer/html/head.php

Unter Joomla 3.6.5 befindet sich in Zeile 105 der Eintrag

$generator = $document->getGenerator();

Diesen auskommentieren

// $generator = $document->getGenerator();

und der Meta-Tag ist verschwunden.

Das Verändern der Joomla Core-Dateien ist allerdings grundsätzlich nicht zu empfehlen!

Obiger Hinweis soll lediglich aufzeigen, wo sich bestimmte Einträge verstecken. Bei jedem Update von Joomla werden natürlich u.U. die geänderten Dateien wieder mit Originalen überschrieben.

Eleganter ist die Verwendung kostenloser Plugins wie z.B.

Diesen Zweck erfüllt allerdings u.a. auch eine Web-Application-Firewall (WAF) wie z.B. RS Firewall.

 

 

Letzte Änderung am Donnerstag, 09 März 2017 10:31

Customer ReviewsSchreibe eine Bewertung
Es gibt aktuell keine Bewertungen.
Schreibe eine Bewertung

Share This

Follow Us

Günstige Domains bei dd24.com

Zum Seitenanfang