Joomla, das damalige Mambo CMS (Content Management System), ist bis heute eines der beliebtesten CM-Systeme. Auch gerade weil es einen hohen Bekanntheitsgrad hat, ist Joomla auch ein beliebtes Ziel von Hackerangriffen.

Der ein oder andere wird evtl. schon einmal seine Seite besucht haben und hat feststellen müssen das anstelle seiner eigenen Seite nur noch „Site hacked by xyz“ zu sehen war. Ich persönlich habe leider schon öfter diese Meldung sehen müssen, sei es bei einer eigenen Website oder auch bei einer Website eines Kunden. Nachdem die eigene Seite gehackt wurde, heisst es so schnell wie möglich offline nehmen. Wenn einmal ein Hacker die eigene Seite gehackt hat, wäre es sehr leichtsinnig einfach die betroffene Datei auszutauschen, da niemand genau wissen kann was alles von System betroffen ist. Manche Hacker laden nur eine reine .HTML Datei ins Root-Verzeichnis welche zur Folge hat das diese vom Browser zu aller erst geladen wird. Der Hacker zeigt somit das er auf Ihrem System war und Ihnen (wenn man es so sagen kann) nur Angst machen wollte. Löscht man diese Datei nur, ist es durchaus möglich das der Hacker weitere Dateien infiziert hat welche man als Webseitenbetreiber nicht sehen kann.

Theoretisch ist vieles möglich, selbst das einschleusen von Trojanern, Viren oder sonstige bösartige Scripten stellt für den Hacker kein grosses Problem da wenn Ihre Seite Sicherheitslücken aufweisst.

Meist ist es für den normalen Webseitenbetreiber schwer seine Website gegen Hacker sicherer zu machen, denn nicht jeder Webmaster ist zwangsläufig fit in diesem Bereich.

Letztlich spielt es natürlich auch immer eine Rolle wie fit der Hacker ist. Natürlich gibt es auch in diesem Bereich vom Leien bis zum Profi jede Gruppe. Für den Hacker gibt es immer mehrere Wege sich in Ihre Installation zu hacken. Welche Wege es gibt, möchte ich hier nicht weiter offen legen.

Umso wichtiger ist es, gerade weil SIE wissen das IHRE Installation gefährdet ist, dass Sie versuchen mit den wenigen vorhandenen Mitteln IHRE Installation einen Schritt sicherer zu machen!

Folgend möchte ich ein Paar Möglichkeiten erklären wie man auf einfache Art und Weise seine Joomla-Installation sicherer macht (Teilweise gilt es natürlich auch für Mambo oder auch andere Systeme).

Die Anordnung der von mir aufgeführten Punkte haben keinen weiteren Schwerpunkt:

Bitte unbedingt vor Anwendung meiner Tipps ein Backup von dem machen was von Ihnen geändert wird.
Ich übernehme selbstverständlich keinerlei Verantwortung für evtl. Schäden!

Joomla verwendet eine Konfigurationsdatei (/configuration.php) welche im Root-Verzeichnis zu finden ist. Beim ändern der Konfiguration im Joomla-Adminbereich muss diese Datei die entsprechenden Rechte CHMOD 777 haben. Es ist wichtig das diese Datei nur in den Minuten die Rechte 777 zugewiesen bekommt im welchen Sie die Konfiguration vornehmen. Im normalen Betrieb muss die Datei die CHMOD 644 haben.

Bei einer neuen Joomla-Installation erstellt Joomla automatisch eine Datenbank. Diese Datenbank hat meist das Prefix „jos_“ (in Mambo „mos_“) und das wissen nicht nur Sie als Webmaster, sondern ebenso wissen es zig tausend andere Joomla-Anwender. Somit ist auch die Datenbank leicht ausfindig zu machen.

Sollten Sie also eine neue Joomla-Installation auf Ihrem Webspace installieren wollen, so achten Sie darauf das Sie direkt das entsprechende Datenbankprefix ändern. Dies können Sie einfach bei der Installationroutine von Joomla angeben.

Selbstverständlich stellt es auch kein grosses Problem da diese Prefixe später noch, zb. bei einer bereits vorhandenen Website, zu ändern. Hierfür benötigen Sie Zugang zur Datenbank mit Hilfe von PHPmyAdmin und FTP Zugang. Im Grunde sind es nur zwei Schritte bis zu Änderung der Datenbank-Prefix. Loggen Sie sich in PHPmyAdmin und suchen Sie die entsprechenden Tabellen Manuell raus und klicken Sie mit ausgewählter Tabelle auf „Operation/Operieren“. Im folgenden Fenster können Sie die Prefix entsprechend Ihres Wunsches anpassen. Welchen Namen die neue Prefix trägt bleibt vollkommen Ihnen überlassen. (zb. „jos_user“ ändern in „mysite_user“) Vergessen Sie nicht vorher ein Backup der alten Tabellen zu machen und schauen Sie lieber zweimal hin bevor Sie etwas ändern. Am Ende müssen alle Tabellen entsprechend Ihrer neuen Prefix angepasst werden.

Sollten Sie alle Tabellen angepasst haben, geht es zum letzten Schritt über. Nun muss dem System nur noch erklärt werden das sich nun die Tabellen geändert haben. Dies machen wir indem wir die „configuration.php“ aus dem Joomla-Root-Verzeichnis mit einem beliebigen Editor öffnen und nach dem alten, nicht mehr verwendeten Prefix suche und es mit dem neuen ersetzen. (Suche in der „configuration.php“ nach „jos_“ und tausche dies mit „mysite_“ aus). Wenn auch dieser Schritt erledigt ist, muss die „configuration.php“ wieder auf den Server hochgeladen werden und fertig.

Bei alten Joomla-Versionen (oder auch völlig anderen Systemen) ist es ebenso bekannt das der User mit dem höchsten Rang meist die "User-ID 1" hat da dieser von Haus aus mit so angelegt wird nach der erfolgreichen Installation Ihres Systems. Hingegen im neuen Joomla (1.5) oder auch anderen Systemen der Administrator nicht die ID 1 hat. Somit ist dieser Schritt evtl. für Sie nicht weiter interessant. Sie können es einfach kontrollieren indem Sie im Joomla-Adminbereich in der Userverwaltung nachschauen welche ID die Administratoren Ihrer Website haben. Der User mit der ID 1 sollte auf keinen Fall Admin-Rechte haben. Bei einer neuen Installation ist der einfachste Weg der, einfach direkt nach erfolgreicher Installation einen neuen User anzulegen und diesem Admin-Rechte zuweisen und wiederrum den von Haus aus angelegten Admin mit der ID 1 zu löschen.

Bei einer bereits belebten Website ist dies etwas schwerer, da zb. Der User mit der ID 1 (der Admin der Website) bereits Content hinterlegt hat mit dieser ID. Man müsste somit direkt in der Datenbank „jos_user“ die ID sowie alle vom Admin (User ID 1) verfassten Inhalte versuchen zu ändern.

Auch das Thema Passwort ist nicht auf die leichte Schultern zu nehmen. Natürlich sollten Passwörter keine Geburtsdaten, Strasse+Hausnummer o.ä. sein und auch nicht immer wieder verwendet werden (ein Passwort sollte aus min.8-14 Buchstaben und zumindest Nummern bestehen *wild angereiht). Für eine Joomla-Installation müssen Sie folgende Passwörter haben: FTP, Datenbank, Joomla-User-Admin. Auf diesen Ebenen ist es also ratsam verschiedene Logins zu nutzen. Optimale Passwörter kann man sich ganz einfach zb. hier her holen. In seltenen Fällen kann schon ein veralteter Browser ein gewisse Sicherheitslücke beherbergen. Auch hier ist es wichtig das man mit aktuellen Browsern durch das www Surft.

Ebenso bekannt ist der Pfad zum Joomla-Adminbereich. Diesen zu ändern, ist nahezu unmöglich (zumindest mit meinem Wissen). Daher empfehle ich das Administrator-Verzeichnis mit einer separaten .htaccess zu schützen. Wie man einfach eine .htaccess erstellt, ist hier nachzulesen (2Min. Arbeit).

Es ist wichtig das nach einer Joomla-Installation der Ordner “/install/” komplett vom Webspace gelöscht wird. Ein umbenennen reicht im zweifelsfall auch, jedoch ist es ratsam den Ordner komplett zu löschen.

Sollten Sie in Joomla Komponenten, Module, Mambots oder auch nur Templates installieren, ist es ebenso ratsam das Sie diese bewusst tun.

Soll heissen:
- Um so weniger zusätzliche Erweiterung Joomla hat, um so besser ist es

-Wenn Sie Erweiterungen nutzen, achten Sie immer darauf, dass diese immer auf dem neusten Stand sind. Hacker kommen nicht selten durch externe Sicherheitslücken in zb. Komponenten *rein

Sollten Sie einen Versionshinweis (zb. Joomla! Version 1.0) zur Joomla-Installation im Sichtbaren Bereich finden, ist es ratsam auch diesen zu entfernen. Natürlich ist es kein Problem, sogar gern gesehen, die Entwicklerseite zu Verlinken, jedoch im speziellen ohne Versionshinweis.

Die von mir aufgeführten Punkte garantieren keine Hackersichere Website. Jedoch sind es einfache, direkte Schritte wie Sie Ihre Website besser schützen können. Auch wenn Sie nicht alle Punkte so übernehmen können, empfehle ich Ihnen das zu tun was Sie technisch können.

Viel Spass weiterhin!