37.2 Vorbeugende Maßnahmen 
Um das Risiko von Angriffen zu minimieren, ist ständige Wachsamkeit angesagt. Auch ist eine gewisse Erfahrung im Betrieb von Webapplikationen durch nichts zu ersetzen. Hier sind ein paar Tipps, um Hackern möglichst wenig Angriffsfläche zu bieten:
Benutzen Sie keine Standardpasswörter. Sichern Sie insbesondere die Backendbenutzer mit guten Kennwörtern ab, und ändern Sie diese in regelmäßigen Abständen. Ein einfacher Trick, um gute Passwörter zu erhalten, besteht darin, die Anfangs- (oder End-)Buchstaben eines Merksatzes zu verwenden. Ein Beispiel: Der Satz
Hacker haben 20-mal versucht, dieses Passwort zu entziffern
ergibt
Hh2mv,dPze
Machen Sie regelmäßige Backups Ihrer Seite. So können Sie Inhalte schnell wiederherstellen, falls es tatsächlich zu einem erfolgreichen Angriff kommt.
- Falsch gesetzte Zugriffsberechtigungen sind ein mögliches Sicherheitsrisiko. Nun ist es so, dass einige Dateien und Verzeichnisse von Joomla! beschreibbar sein müssen. Eine Liste dieser Verzeichnisse finden Sie in Kapitel 2, »Installation«. Die anderen Verzeichnisse sollten nur von Ihnen beschreibbar sein, so dass Sie die Rechte mit dem Befehl chmod auf 755 für Verzeichnisse und auf 644 für Dateien setzen sollten. Damit können die Files von allen gelesen, aber nur vom Besitzer geändert werden.
- Seien Sie wachsam bei der Installation neuer Erweiterungen. Nicht alle, die interessante Funktionalität anbieten, sind auch gut und sicher programmiert. Informieren Sie sich zuvor bei Google oder im Joomla!-Forum über die Erfahrungen anderer Benutzer mit den Programmen.
- Achten Sie bei der Auswahl Ihres Providers darauf, dass er vertrauenswürdig ist. Nicht immer haben die billigsten Webhoster die sichersten Systeme …
Verwenden Sie das HTTPS-Protokoll im Backend. Nur so ist sichergestellt, dass kein anderer das Passwort schon vor der Eingabe abfängt. Um per HTTPS zu kommunizieren, muss Ihr Server dieses Protokoll erlauben. Dann reicht es, wenn Sie in Ihrer URL http durch https ersetzen:
https://localhost/joomla/administrator
- Spielen Sie regelmäßig Updates ein. So war die Version Joomla! 1.5.5 beispielsweise nur einige Tage im Umlauf, bis eine kritische Sicherheitslücke entdeckt wurde, die es Angreifern ermöglichte, Administratorrechte zu erlangen. Eine solche Installation ist sozusagen eine Zeitbombe.
| Joomla! Tools Suite |
| Diese Erweiterung sollten Sie im Auge behalten. Sie ist eine automatische Prüfung Ihres Systems und weist Sie unter anderem auch auf Sicherheitslücken hin. Zum jedem Hinweis gibt es eine Erklärung, so dass Sie die Bedeutung einschätzen können. Aber: Zur Drucklegung des Buches war sie leider nicht für Joomla! 1.5.7 verfügbar. Aktuelle Downloads finden Sie unter http://joomlacode.org/gf/project/jts. |
Darüber hinaus können Sie durch diverse Maßnahmen verhindern, dass ungebetene Gäste auf Ihren Seiten Änderungen vornehmen können. Da dies auch im Zusammenhang mit Spam interessant ist, verweisen wir Sie dazu auf den folgenden Abschnitt.
