Security: wat tips om je Joomla! website te beveiligen

Afgelopen maandag vond de bijeenkomst van de Joomla gebruikersgroep Amsterdam plaats. Het onderwerp van deze bijeenkomst was Joomla veiliigheid. Naar aanleiding van deze bijeenkomst heeft Peter onderstaand artikel geschreven. Bekijk het overzicht van alle Joomla gebruikersgroepen voor een bijeenkomst bij jou in de regio.

Veiligheid is belangrijk. Maar net als de sloten op je voordeur, maakt alles wat je doet het niet 100% veilig.

Echter, elk slot of hindernis, dat het moeilijker voor een hacker maakt om je website te hacken is een extra stap in het voorkomen van ellende.

De hoeveelheid tijd en geld die je wil/kan investeren in het beschermen van je website is uiteindelijk aan jou. Maar het moet wel enigszins in verhouding zijn tot de waarde van de website zelf.

Hier zijn een aantal relatief eenvoudige tips over het beveiligen van je Joomla! website…

• Zorg voor een goed host
  Je host is een zeer belangrijk onderdeel van de gehele beveiliging van je website. De manier waarop je host de server en de software die erop draait (apache, php, admin paneel, etc) heeft ingericht is van kritiek belang.
  Helaas zijn een heleboel hosts (vooral de goedkopere) die niet veel tijd en kennis investeren in de zaken up-to-date en veilig te houden. Dus doe wat onderzoek in welke host dit wel biedt.
• Let op jezelf
  Nog belangrijker in de veiligheid is de persoon die dit leest: jijzelf. Als je de deur op slot doet, leg de sleutel dan niet onder de deurmat. Dus niet aan anderen vertellen wat voor wachtwoord je gebruikt. Gebruik niet overal hetzelfde wachtwoord voor. Schrijf niet je wachtwoorden op (digitale)  papiertjes die in verkeerde handen terecht kunnen komen.
• Let op anderen
  Als bepaalde mensen toegang tot je site nodig hebben, geef ze niet je eigen admin login gegevens. Maak gewoon een (tijdelijke) nieuwe account voor ze aan, die je kunt verwijderen nadat ze klaar zijn. Geef ze niet meer toegang dan ze echt nodig hebben.
• Maak back-ups
  Dit is niet echt om de veiligheid verhogen, maar is belangrijk voor als er iets gebeurt. Als iemand wel je website weet te hacken, moet je een manier hebben om de boel weer te herstellen. Een goede host zal automatische back-ups van je database en bestanden voor je maken. Maar maak ook back-ups op je eigen computer.

Nu nog wat meer technische tips:

• Verander de database voorvoegsel (prefix)
  Joomla! zal standaard de database tabellen met het voorvoegsel "jos_ '. Veel url hack pogingen zullen dingen proberen die gebaseerd zijn op het gebruik van 'jos_' tabellen.
  Je kunt ervoor kiezen om deze prefix te veranderen tijdens de installatie van Joomla!. Met ' kunt' bedoel ik: je MOET dit veranderen.
  Als je de prefix na installatie wilt veranderen zal je wat meer moeten doen. Zie voor meer over dit onderwerp: http://magazine.joomla.org/topics/item/108-the-prefix-has-nothing-to-do-with-telephony
• Verander de Super Admin
  Standaard wordt de eerste gebruiker de Super Administrator en heeft deze gebruikers id 62. Zorg ervoor dat de gebruiker 62 niet een Super Admin is.
  Je kunt dit id nummer via de database veranderen. Maar daarvoor moeten er veranderingen in een aantal tabellen plaatsvinden.
  Een eenvoudigere oplossing is een nieuwe gebruiker aanmaken en deze Super Admin te maken. Dan ‘downgrade’ je de eerste gebruiker (62) naar een geregistreerde gebruiker.
  Wijzig ook de log-innaam. Gebruik geen 'admin' voor het Super Admin-account.
• Verwijder overbodige bestanden van je website
  Er zijn een aantal bestanden in je root die gevaarlijk zijn om daar te laten. Vaak worden bij het hacken deze bestanden gewijzigd zonder dat je het merkt.
  Dus verwijder alle hoofdletters bestanden in de root. De bestanden die je echt nodig hebt, zijn: index.php, index2.php, configuration.php, robots.txt en het .htaccess-bestand.
  Verwijder ook de templates die je niet gebruikt. Dus verwijder deze mappen in de map templates: beez, ja_purity en rhuk_milkyway
• Gebruik het .htaccess-bestand
  Het .htaccess-bestand heeft een aantal ‘rewrite’ regels die wat veiligheids problemen met betrekking tot url inbraakpogingen voorkomen. Activeer ook het ‘Deny access to extension xml files’ gedeelte door de comment tekens (#) daar weg te halen.
• Blijf up-to-date
  Hoewel het logisch zou moeten zijn dat je je website up-to-date moet houden, zijn er veel websites die niet de nieuwste releases gebruiken.
  Dus zorg ervoor dat je de nieuwste versie van Joomla! gebruikt.
  Maar controleer ook regelmatig of je extensies wel up-to-date zijn.
• Wees voorzichtig met extensies
  Er zijn duizenden Joomla! extensies. En deze zijn gemaakt door allerlei mensen met verschillende niveaus van expertise. Extensies zijn en blijven een zwakke schakel in de beveiligingsketen. Tenzij je een geweldige programmeur bent en door alle code heen gaat, kun je er niet zeker van zijn deat het echt veilig is om een bepaalde extensie te gebruiken.
  Kijk een beetje rond voordat je een extensie gaat installeren. Zoek in fora of Google om te zien of er bekende beveiligingsproblemen zijn met de extensie.
  Installeer ook geen extensies die je niet echt nodig hebt. En deïnstalleer extensies die je niet meer gebruikt.
  Eenmaal geïnstalleerd - zoals hierboven genoemd - zorg ervoor dat je de recentste versies gebruikt.

Dit zijn slechts enkele van de vele tips die je kunt toepassen. Maar ik denk dat dit een goed begin is.

Peter van Westen (1979) ontwikkelt sinds 2002 websites en is eigenaar van NoNumber! Via zijn website NoNumber.nl biedt hij een groot aantal hooggewaardeerde Joomla! extensies aan die het beheer van Joomla sterk vereenvoudigen.

Heb jij net als Peter zelf een artikel geschreven dat je graag met andere Joomla gebruikers wilt delen? Neem dan contact met ons op.

Reacties (7)

0

#1

slibbe wo 04 aug 2010, 13:35

Heldere samenvatting.

Als mensen paranoia doen qua security, zeg ik vaak:
"Heb je staatsgeheimen op je site? Nee? Dan hoef je ook niet te beveiligen alsof het nationale veiligheid in het geding is."
Wat niet wegneemt dat je evenmin een billboard maakt met "Kom bij mij! Mijn site is open en onbeveiligd."

Een gerelateerd onderwerp, maar voor veel Joomla-gebruikers niet van toepassing is punt 1 "Zorg voor een goed host", ingeval je een eigen server of VPS hebt. Wat zijn dan de aanbevolen settings voor PHP, MySQL, Apache en je Linux distro?
Daar wil ik wel meer van weten.

0

#2

maristo wo 04 aug 2010, 23:39

Heldere uiteenzetting. Dank.

0

#3

bombario do 05 aug 2010, 01:38

Staan prima tips tussen, dank je daarvoor. Veel kende ik al, maar heb ik nog nooit toegepast. Moet ik toch maar eens doen.

0

#4

tjaard za 07 aug 2010, 15:20

Nog een paar tips om je site veilig te maken

1. Zorg ervoor dat de configuration.php niet in de root van je website staat maar in een map
2. In een Linux omgeving kun je met DirectAdmin je administrator map beveiligen met een extra wachtwoord
3. Gebruik Jsecure om het pad naar de administrator map moeilijker vindbaar te maken
4. Gebruik het component Akeeba voor je back-up.
5. Heb je een website waar veel werk in is gestoken gebruik dan OSE Security suite. Kost een paar euro maar dan ben je beter beveiligd tegen hackers. Ze hebben een goede en snelle helpdesk.

0

#5

slibbe ma 09 aug 2010, 15:01

tav 1. zie docs.joomla.org/Moving_outside_public_html

Zijn er nog meer files die idealiter naar een map buiten de public_html kunnen?

0

#6

tjaard di 10 aug 2010, 23:43

Files buiten de public_html map.

De OSE Security Suite adviseert ook om de log en temp map buiten de public_html te plaatsen.

Dit kun je regelen in de configuration.php file.

0

#7

oorzaak vr 15 okt 2010, 14:38

Beetje late reactie maar toch:

Prima verhaal. Eén kanttekening echter bij het maken van back-ups door de hosting provider. Veel providers maken alleen back-ups met als doel de complete server in één keer te kunnen herstellen als hij uitvalt. Deze back-ups zijn niet geschikt om van individuele gebruikers de bestanden terug te halen. Vraag dit expliciet na bij je provider.

En als je provider of jijzelf de juiste back-ups maakt, zorg dan dat die niet op dezelfde server bewaard worden maar op een andere server of op je eigen pc thuis.

@SLIBBE, het gaat er niet om of je staatsgeheimen hebt, maar om het verloren gaan van je werk - en dat van je evt. klanten.

Plaats reactie

Om een reactie te kunnen plaatsen op dit artikel zul je moeten inloggen aan de rechterzijde van deze pagina. Als je nog geen account hebt kun je er gratis een aanmaken waarna je een reactie kunt plaatsen.