Joomla - Sicherheit

Hey,

ich wollte mich mit ein paar Freunden mal an das Mysterium "Homepage" heranwagen, wir haben zwar alle unsere Spezialgebiete am PC, aber was ordentliche Programierung angeht sind wir dann doch ein wenig unerfahren (wobei ich mit "Spezialgebiet" auch keine Spielegenres meine ;-) )
Einer von kam irgendwann mit "Joomla" an, was in meinen Augen so ein wenig nach einen Homepagermaker aussieht, was zumindest auch auf den ersten Blick für mich bedienbar aussah.
ABER: Wie ist das mit der Sicherheit, kennt das Program evtl. jemand? Weißt es eklatante Sicherheitslücken auf, nicht das mir jemand meine mit Müh und Not erstellte Homepage nach 2std wieder runterreißt ;-)

Danke und Gruß
CommiXV

 

Solange du Joomla auf dem aktuellen Stand hältst sollte es keine Probleme geben. Es ist jedenfalls definitiv sicherer als Webspell. Wenn ich es noch richtig weiß lassen sich Updates auch bequem im Admin-Menu einfügen/installieren.

 

So ein Teil nennt sich CMS->Content Management System.
Wird vor allem da eingesetzt, wo sich Inhalte regelmäßig ändern.

 

Mit der Sicherheit sieht es nicht besser oder schlechter aus wie mit anderen Scripten. Wenn man auf weit verbreitete Software aufsetzt, steht man immer vor dem Problem, dass gefundene Sicherheitslücken innerhalb kürzester Zeit ausgenutzt werden - d.h. man sollte sich in die entsprechenden Mailinglisten der Entwickler eintragen und Patches immer so schnell wie möglich einspielen. Hauptschwachpunkt bei solchen Systemen sind eigentlich immer Erweiterungen von Drittanbietern. Nur wenige werden regelmäßig gepflegt und ein Update lässt sich nicht immer über die Adminoberfläche einspielen.

 

Joomla ist eigentlich bekannt dafür das es ziemlich schnell nach Veröffentlichung immer wieder neue Sicherheitslücken offenbart. Das traurige daran ist, das es zumeist Lücken sind die man allgemein als Schwerwiegend bezeichnet. Das dürfte aber auch daran liegen, das Joomla sich zu einer Zielplattform für Scriptkiddies entwickelt hat. Was im Klartext heißt, es ist ein System was sich leicht angreifen lässt und daher auch gerne "manipuliert" wird. Aber zur Verteidigung des Herstellers muss man sagen, das in der Relation gesehen ziemlich schnell Updates für die Lücken bereitgestellt werden. Nur die meisten Anwender sind entweder zu faul, zu unerfahren oder zu leichtsinnig, sodass diese Lücken wenn überhaupt meist erst wenn entweder schon ein Angrifff stattgefunden hat, oder bei einem Versionsupdate von dem jeweiligen Webmaster geschlossen werden.

Im allgemeinen gesehen sollte man sich darüber im klaren sein, wie kalweit schon sagte, das jedes Script seine Schwachpunkte hat. Es obliegt alleine dem Webmaster in wieweit er sein System Up-to-Date hält und somit das Risiko minimiert. Auch Erweiterungen für solche Systeme bringen meist ein weiteres Sicherheitsrisiko mit sich. Vorallem sollte einen Betreiber klar sein, das es nicht ausreicht das Grundsystem zu pflegen und die Erweiterungen dabei außer acht zu lassen.

Im großen und ganzen würde ich euch von Joomla abraten. Das liegt aber nicht nur an dem Sicherheitsaspekt, sondern auch an der Performance und weiteren Punkten.

Wenn ihr euch für ein CMS entscheiden solltet, dann würde ich euch empfehlen, das ihr euch folgende beiden mal genauer anschaut. Beide Systeme eignen sich durch ihre einfache Struktur sowohl für Anfänger, wie auch für Fortgeschrittene. Die beiden Systeme wären zum einen das e107 CMS , sowie ein CMS mit dem schönen Namen Drupal

 

Hi,

danke für die ausführlichen Antworten, jetzt bin ich doch schon ein gutes Stückchen weiter :-)
Kann man denn als Außenstehender schnell merken, dass die Homepage mit Joomla gemacht wurde und sie dann dementsprechend angreifen, oder kann ich das als Administrator irgendwie verschleiern?

(Drupal und e107 werde ich mir demnächst noch anschauen)

Danke und Gruß

 

Du gehst von einem falschen Angriffsszenario aus. Man muss überhaupt nicht "erkennen", welches CMS da läuft. Der Angriff erfolgt in der Regel automatisiert über manipulierte Aufrufe bestimmter Dateien des Zielscripts. Sind diese vorhanden, ist das gewünschte Script installiert und der Angriff bereits erfolgreich, wenn nicht, dann halt nicht und man versucht es mit dem nächsten "Hacker"-Bastelkasten.

 

kalweit hat die Frage eigentlich schon beantwortet. Aber es gibt auch mehrere Möglichkeiten einfach via Google nach Joomla Seiten zu suchen.

Beispiel

Hier schaut Google einfach ob der © by Joomla Vermerk auf einer Webseite vorkommt. In wie weit man dies verschleiern darf, also diesen Vermerk entfernen kann ich dir bei Joomla nicht sagen. Es gibt jedoch CMS und auch Foren, wo dies erlaubt ist. Was dann allerdings zum Verlust von Support etc. führt.

Eine weitere Möglichkeit wäre via Google den Titel der Seite zu prüfen. Denn auch wenn man es kaum glauben mag, es gibt genug Webmaster, die einfach vergessen den Titel ihrer Seite anzupassen. So steht dann bei Joomla Standartmäßig "Joomla Home" in der Titelzeile des Browsers. Auch hiernach kann ich z.b. via Google suchen.

Beispiel

Von daher ist es ratsam alle "veräterischen" Spuren möglichst zu beseitigen. Um zumindest einen Grundlegenden Schutz zu haben. Okay gegen Leute die wissen nach was sie suchen müssen wird auch das nicht helfen, aber ein paar dumme schreckt es dann doch wieder ab. Und auch ein Teilerfolg ist ein Erfolg.

 

Hi,

nochmals danke für die Antworten :-)

Was kann ich, außer den Updates noch machen, damit ich die Homepage weitesgehend sicher halten kann - gibt es da evtl. zusätzliche Programme, also von vertrauenswürdigen Drittanbietern, die soetwas anbieten?

 

Außer Updates bleibt dir nicht viel. Jedenfalls fällt mir spontan nichts ein.

 

Naja, man könnte den Code auch selbst nach potentiell gefährlichen Stellen durchsuchen. Allerdings ist das eher ein theoretischer Ansatz, der selbst Experten zuweilen überfordert.

 

Stimmt die Codeanalyse wäre eine weitere Möglichkeit. Da der TO im Eingangspost seine Fähigkeiten in dem Bereich bei nahezu null eingestuft hat, hielt ich diese Möglichkeit nicht für erwähnenswert.

Eine weitere Möglichkeit wäre eventuell noch die Umbenennung diverser Dateinamen. Denn wenn die Datei nicht gefunden wird (z.b. weil sie anders heißt) so kann logischerweiße auch kein automatisierter Angriff auf die selbige erfolgen. Jedoch muss man auch dazu wenigstens die PHP Grundlagen beherschen um an den entsprechenden Stellen im Code die Verknüpfungen / Pfade anpassen zu können.

 

Das werd ich mal weitergeben, kann ich zwar nicht selber machen, aber ich kenn da wen, der uns helfen könnte, dankeschön :-)