Auf der offiziellen Joomla!-Dokumentations-Seite findet Ihr eine nützliche Checkliste: http://docs.joomla.org/Category:Security_Checklist.

Im Forum (forum.joomla.de) ist eine deutsche Übersetzung der Sicherheits-Checkliste von joomla.org zu finden. Allerdings bezieht sich diese weitgehend auf Joomla 1.0 und ist daher nicht mehr ganz aktuell.aboutpixel.de / Schlüsselbund © Konstantin Gastmann

Ihr könnt einiges für die Sicherheit eurer Installation tun:

  • Regelmäßige Backups der Joomla!-Dateien und der Datenbank durchführen
  • Immer auf neueste Joomla!-Version upgraden (vorher Backup!)
  • Auch von den Erweiterungen immer die aktuellen Versionen einspielen
  • Neue Erweiterungen immer erst lokal (z. B. auf xampp oder joomlas2go) testen
  • Alles entfernen, was nicht mehr gebraucht wird: Erweiterungen, Templates usw.
  • Beim Provider in den Hosting-Einstellungen PHP 5 (statt 4) wählen
  • Passwörter sicherer machen
  • Zusätzlichen Verzeichnisschutz mit .htaccess anlegen
  • register_globals ggf. mittels eigener php.ini auf OFF setzen
  • Verzeichnisrechte unter Linux ändern


Wir werden uns bemühen, diese Liste zu erweitern und zu pflegen!

Weitere Informationen zum Thema Joomla! Sicherheit findet Ihr hier:

  • http://www.jgerman.de/faq/joomla-sicherheit/
  • http://www.securityfocus.com/bid dort als Vendor "joomla" auswählen. ACHTUNG: Das Laden dauert ewig (ca. 15 Sekunden)!
  • http://forum.joomla.org/viewforum.php?f=714 (Registrierung erforderlich !)
  • Making Your Joomla! Super Administrator Secure

Für alle, die an unserem Treffen im September 2014 nicht teilnehmen konnten, haben wir ein Videoturorial erstellt. Es zeigt, wie die Zwei-Faktor-Authentifzierung mit dem YubiKey unter Joomla 3 eingerichtet wird und wie sie funktioniert.

Noch ein kleiner Hinweis: Damit der YubiKey funktioniert, muss der Port 443 (https) offen sein. Es wird nämlich eine verschlüsselte Verbindung zu einem Yubico-Server aufgebaut. Bei vielen Hostern ist das der Fall, aber nicht bei allen.

Solltet Ihr Euch mal "ausgesperrt" haben und auch die Einmalpasswörter nicht zur Hand haben, dann könnt Ihr in der Datenbank das Plugin "Zwei-Faktor-Authentifzierung YubiKey" einfach deaktivieren.

Um Ihre Joomla! Seite ein wenig sicherer zu machen, gibt es die Möglichkeit die Anzahl der Login-Fehlversuche zu begrenzen. Dadurch haben Brute-Force-Attacken, wie sie derzeit wieder über von diversen Hackern durchgeführt werden (siehe Beitrag "Wordpress und Joomla Hacker mit IP..."), deutlich weniger Chancen an Ihr Kennwort zu kommen.

Ein Plugin im Joomla! Extensions Directory™ ist das "Max Fail Login Attempts". Im Beitrag "How to install Max Failed Login Attempts plugin" hat Jacob Nicholson beschrieben, wie das Plugin Installiert und genutzt wird.

Joomla!-Security - Sicherheit von Joomla! ProjektenNach der gelungenen Anleitung auf der J!German, die nach dem Joomla!Day 2009 in Bad Nauheim entstanden ist, hat sich Jan Erik Zassenhaus mit Christian Schmidt zusammengetan und das Projekt "Joomla!-Security" ins Leben gerufen. Joomla-Downloads berichtete bereits am 10.02.2010 über das Projekt.

Was ist zu beachten, wo kann man Schrauben, um den eigenen Internetauftritt ein wenig Sicherer zu machen. Auch wir wünschen dem Projekt viel Erfolg und freuen uns über die neue Anlaufstelle zum Thema Sicherheit.

Unter www.smashingmagazine.com erschien am 14. Januar 2010 ein Artikel zum Thema "Web Security: Are You Part Of The Problem?". Unbedingt lesen! Auch hier wieder der Tipp: Passworte sicher zu gestalten und regelmäßige Updates der Software.