Heute gab es mal wieder einen Google Hangout, Thema diesmal "Joomla DE Hangout #5 - Sicherheit". Organsiert wird das vom David Jardin (Joomla CLT), er lädt sich dann immer Gäste ein und in lockerer Atmosphäre spricht man über das Thema. Diemal auch dabei, Viktor Vogel (Joomla PLT). Die Teilnehmer teilen dann ihre Erfahrungen usw. den Zuschauern mit. Sehr empfehlenswert.
Heute ging es um das wichtige Thema Sicherheit. Auch wenn ich das schon viele Jahre mache, höre ich mir so was immer wieder gerne an. Es ist sehr wichtig das man bei dem Thema immer auf dem Laufenden bleibt. Ich fasse hier mal meine Eindrücke kurz zusammen.
Eine Joomla! Seite macht man mit folgenden Dinge relativ sicher.
- .htaccess Absicherung des Administrator-Verzeichnisses
- vernünftige Passwörter und Länge
- zusätzliche Zwei-Wege-Authentifizierung (Yubikey oder Google Authenticator)
- regelmäßige Backups und Aktualisierungen
- entfernen aller nicht genutzter Plugins, Templates und Extensions
Was mich nicht so überzeugt hat, war die Vorstellung von AdminTools. Das kann in einigen wenigen Fällen helfen, bringt aber in meinen Augen meistens sehr wenig. Im Gegenteil, User mit wenig Erfahrung können sich hier relativ einfach das Leben richtig schwer machen. Die o.g. Schritte sollten in den allermeisten Fällen ausreichend sein. Natürlich ist es etwas anderes wenn man eine Webseite hat, mit der man 50.000€ pro Monat einnimmt oder eine kleine Vereinsseite ;) Die o.g. Dinge haben mich in den 7 Jahren, wo ich mich jetzt mit Joomla! beschäftige (seit 1.5) nie im Stich gelassen. *Daumen drücken*
Meine Grundregeln:
- Backends mit 2FA absichern (Yubikey)
- Bei Kundendaten SSL Verbindungen benutzen
Hier noch was, was vielleicht noch nicht jeder kennt. Man kann die Länge des Passwortes und die Komplexität vorgeben, so kann man die Benutzer dazu zwingen bessere Passwörter zu benutzen. Übertreibt es aber nicht, auch hier kommt es immer drauf an was man mit der Seite machen will.
Wer sich also mal mit dem Thema beschäftigen möchte, schaut sich den Hangout an. Dort gibt es auch noch eine Menge an anderen Informationen die ich hier nicht aufzählen möchte.
Vielen Dank an die Teilnehmer, die ihre Zeit dafür geopfert haben.
Hier geht es zum Hangout.