Im Entwicklerteam von Joomla gibt es eine spezielle Abteilung, welche sich nur um das Auffinden von Fehlern kümmert und den Namen „Bug Squad“ trägt. Vor allem die zahlreichen Drittkomponenten verursachen ein erhöhtes Sicherheitsrisiko, was von Hackern ausgenutzt wird. Einige dieser Erweiterungen benötigen sehr weitgehende Rechte auf dem Server, welche zudem meist nicht explizit aufgeführt werden. Programmierbedingte Sicherheitsmängel sind dagegen selten und werden zudem in aller Regel recht schnell beseitigt. Anwender können in der jeweiligen Online-Community Hilfe finden, um ihr System auf dem neuesten Stand zu halten. Viele – vor allem private – Benutzer vernachlässigen jedoch die Pflege einer Webseite und sind sich der resultierenden Probleme nicht bewusst.
Fluff Files
Bereits mit den 'Bordmitteln' kann man es potenziellen Angreifern etwas erschweren. Bei der Installation werden einige unbenötigte, aber sehr verräterische, sogenannte 'Fluff Files' mit installiert, die sofort auf dem Server gelöscht werden sollten:
- /robots.txt.dist
- /web.config.txt
- /joomla.xml
- /LICENSE.txt
- /README.txt
- /htaccess.txt
- /LICENSES.php
- /configuration.php-dist
- /CHANGELOG.php
- /COPYRIGHT.php
- /CREDITS.php
Wenn ein Angreifer weiß um welches System (CMS) es sich handelt, kann er systematisch nach bekannten Schwachstellen suchen - ist dies nicht bekannt hat er es wesentlich schwerer und die Wahrscheinlichkeit, vorher bemerkt zu werden, steigt.
Generator Meta-Tag
Wie in vielen Webseiten, gibt es auch in Joomla! einen Meta-Tag (Generator), der dafür genutzt wird um Statistiken zu erheben, auf welchem CMS die Webseiten im Netz basieren. Aus Sicherheitsggründen sollte diese Ausgabe unterbunden werden. Einige Templates bringen diese Funktion bereits von Haus aus mit - die Funktion muss also nur noch in den Einstellungen des Templates eingeschaltet werden.
Verantwortlich für diesen Meta-Tag ist ein Eintrag in der Datei
/libraries/joomla/document/renderer/html/head.php
Unter Joomla 3.6.5 befindet sich in Zeile 105 der Eintrag
$generator = $document->getGenerator();
Diesen auskommentieren
// $generator = $document->getGenerator();
und der Meta-Tag ist verschwunden.
Das Verändern der Joomla Core-Dateien ist allerdings grundsätzlich nicht zu empfehlen!
Obiger Hinweis soll lediglich aufzeigen, wo sich bestimmte Einträge verstecken. Bei jedem Update von Joomla werden natürlich u.U. die geänderten Dateien wieder mit Originalen überschrieben.
Eleganter ist die Verwendung kostenloser Plugins wie z.B.
Diesen Zweck erfüllt allerdings u.a. auch eine Web-Application-Firewall (WAF) wie z.B. RS Firewall.