13 tips voor een veiliger Joomla cms

door

Joomla

door

Tips en tools - Steeds meer particulieren en bedrijven gebruiken Joomla: 2,5 procent van alle websites draait al op dit open source cms. De veiligheid van Joomla blijft echter een zorgenkindje.

Joomla is gratis en er zijn ruim 8.600 extensies beschikbaar waarmee alle mogelijkheden van een cms worden benut. Daarnaast is de opmars van het platform niet te stuiten vanwege de grote community van gebruikers. Die populariteit van Joomla heeft echter ook een keerzijde: kwaadwillende hackers loeren op je data.

Oude versies en extensies

Hackers kunnen op allerlei manieren proberen om je site over te nemen of plat te leggen: van remote file inclusion (RFI) tot cross-site scripting (XSS) en de nog immer populaire sql-injectie. Het beveiligen van je site is een volledige dagtaak geworden. Een correct geconfigureerde Joomla-applicatie op een correct beheerde server is ongeveer even veilig als andere kant-en-klare oplossingen. Waarom geniet Joomla dan zo'n slechte reputatie als kwetsbaarste oplossing? Om hierop antwoord te geven kun je het beste in de spiegel kijken.

Iedere infrastructuur is zo veilig als de zwakste schakel. Bij de meeste veiligheidsincidenten met Joomla is dat niet de broncode. De meeste problemen zijn te wijten aan oude, ongepatchte versies van Joomla of onveilige, gedateerde en slecht geschreven extensies van derde partijen.

Als systeembeheerder heb je de taak om je cms goed te patchen, te updaten en te beveiligen. Om dit doel te bereiken en de veiligheid van je Joomla-cms te verbeteren, kun je de volgende tips navolgen.

1. Servers en hosting

Besluiten over hosting en servers kunnen cruciaal zijn voor je beveiliging. Veel serverfouten worden veroorzaakt door ongepatchte servers, open poorten of zwakke shared hosting. Bij shared hosting kan je website goed zijn ingesteld maar alsnog worden gehackt via andere sites op de gedeelde server. Als je huidige host problemen heeft met de standaard serverinstellingen, dan kun je beter op zoek naar een vervanger. Stap 1 is dus: zorg voor een betrouwbare, veilige host en houd je server patches goed bij.

Host je site op een server die PHP 5.2 draait of liever nog in CGI mode met Su_PHP. Su_PHP is voor PHP scripts wat Su_Exec is voor Perl-bestanden: je kunt er scripts mee uitvoeren onder je eigen specifieke gebruikersaccount in plaats van het standaard Apache account. Hierdoor is het eenvoudiger veiligheidslekken te vinden en identificeren.

Zorg ervoor dat je de meest recentte Apache-versie hebt en dat je Apache-configuratie browsing/indexing onmogelijk maakt. IT-beheerders moeten ook de correcte instellingen vastleggen voor de .htaccess, serverconfig en php.ini-bestanden.

2. Gebruik het htaccess-bestand

Standaard is het htaccess-bestand niet in gebruik. Zorg ervoor de naam .htaccess.txt eerst te veranderen in .htaccess. Zet het bestand vervolgens in je root-map. Je kunt ook enkele rewrite rules toevoegen om de meest gangbare lekken te voorkomen. Hier kun je aanwijzingen vinden om het htaccess-bestand te bewerken en zo een extra veiligheidslaag voor je systeem te creëren.

3. Gebruikersaccounts en toegangsrechten

Joomla functioneert meteen uitstekend als je het installeert op een behoorlijk geconfigureerde webserver. Zet voor de zekerheid al je bestanden CHMOD op 644 en je mappen op 755. Er zijn echter uitzonderingen op deze regel, zoals configuration.php waarvan CHMOD op 640 moet staan. Niets mag op 777 worden ingesteld.

De standaard gebruikersnaam voor de systeembeheerder is "admin". Wijzig dit in iets anders. Hierdoor wordt het al lastiger voor hackers om gegevens over accounts te achterhalen.
Volgende pagina: Back-ups en incident management

Lees meer over:

open-source, cms, joomla

eerst ▾ Reacties

De reacties worden ingeladen...

Insider naam

 
{$quantity}%

Mijn insider overzicht Uitloggen

Briefcase({$quantity}) Mijn Downloads({$quantity})

Word insider

  • Exclusieve content
  • Achtergrond verhalen
  • Praktische tips

Topbedrijven met ICT vacatures

25 SEPTEMBER: IT INNOVATION DAY
 
dagen
:
 
uren
:
 
min.
:
 
sec.

Webwereld nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox.