Joomla sicherer machen
Jeder Webmaster, der Joomla einsetzt sollte sich darüber im klaren sein, dass Sicherheitslücken schnell bekannt und ausgenutzt werden.
Viele vergessen aber eine viel größere Lücke zu schließen.
Der Administrationsbereich ist standardmäßig immer unter dem Link /administrator zu erreichen. Also ist es für einen Angreifer ein leichtes diesen aufzurufen.
Kennt der Angreifer nun das Passwort des admin-Benutzers ist ihm Tür und Tor geöffnet.
Wie ihr diese Lücke wenigstens etwas entschärfen könnt, erfahrt ihr hier.
Am einfachsten hat es der, der mehrere Domains oder Subdomains zur Auswahl hat.
So auch bei mir. Ich habe eine Domain, die auf ein übergeordnetes Verzeichnis des Servers zeigt.
Somit kann die Seite biderius.de über die eigene als auch über die andere URL aufgerufen werden. Logischerweise ist hier der Pfad viel länger.
Diesen Umstand habe ich mir aber zu nutze gemacht und eine .htaccess- Datei mit folgendem Inhalt in mein /adminstrator Verzeichnis gelegt.
RewriteEngine on
RewriteCond %{HTTP_HOST} ^(www\.)?biderius\.de$ [NC]
RewriteRule ^.* - [forbidden]
Die RewriteCond prüft, ob der Admin- Bereich über die Domain biderius.de (mit oder ohne www.) aufgerufen wird. Ist das der Fall, wird die RewriteRule aktiviert, die den Zugriff auf das Verzeichnis verbietet.
Somit ist eigentlich sicher gestellt, dass niemand, der nicht den alternativen Pfad kennt, in den Adminbereich einbrechen kann.
Anstatt auf die Domain www.biderius.de abzufragen, bestünde natürlich auch die Möglichkeit zu prüfen, ob der Link über eine Subdomain aufgerufen wurde. Bei einer Verlinkung von adminbereich.domain.de würde der obere Code natürlich so aussehen.
RewriteEngine on
RewriteCond %{HTTP_HOST} !^adminbereich\.domain\.de$ [NC]
RewriteRule ^.* - [forbidden]
In dieser RewriteCond wird allerdings überprüft, ob der Benutzer nicht über die Subdomain kommt. Wenn das der Fall ist, wird der Zugriff verweigert. Eine Administration ist somit nur noch über die Subdomain möglich.
- Zurück
- Weiter >>