nik-o-mat - Nikos Wissen Online (...weil es geht!) - freie Software und Alternativen zu kostenpflichtigen Programmen - nik-o-mat - Nikos Wissen Online (...weil es geht!) - freie Software und Alternativen zu kostenpflichtigen Programmen

Jede Seite im Netz wird regelmäßig von Angriffen heimgesucht. Egal ob es böse, ungewollte Bots, gekaperte Server-Zombies, ScriptKiddies oder gewiefte Hacker sind. Der JoomlaFAN sichert sein Joomla!-Projekt ab. AdminTools ist hier ein großer Helfer für die Joomla!-Sicherheit.

AdminTools kommt in zwei Varianten daher. Dieser Artikel beschäftigt sich mit der freien Version. An geeigneter Stelle zeige ich die Möglichkeiten der kostenpflichtigen Variante auf, so dass jeder selbst entscheiden kann, ob er eine Pro-Version kaufen möchte.

(Die Tabelle mit den Unterschieden findet sich hier)

Wichtig: In diesem Artikel geht es nicht darum, generell Joomla!-Sicherheit zu beleuchten. Dinge wie: "Erweiterungen stets aktuell halten" usw. gelten als bekannt! Viel mehr zum Thema Joomla!-Sicherheit findet man zum Beispiel bei den netten Autoren von Joomla-Security.de

AdminTools wird wie jede Joomla!-Erweiterung installiert. Danach lässt sie sich, ganz normal unter Erweiterungen aufrufen. Der Rundgang beginnt im Kontrollzentrum von AdminTools. Ich werde jetzt aber nicht alle Knöpfe im Kontrollzentrum von AdminTools genauestens erklären, sondern mich auf die wichtigsten Funktionen beschränken und bestimmte Knöpfe nur am Rande erwähnen.

Joomla! und AdminTools aktuell halten
Die zwei wichtigsten Informationen findet man gleich ganz oben: Joomla! und die AdminTools-Erweiterung sollten aktuell sein. Ist eines von beiden nicht aktuell, wird hier gleich eine Warnung angezeigt. Damit ist schon die erste Funktion von AdminTools aufgezeigt! Es kann sowohl sich selbst als auch Joomla! Aktualisieren. Nutzt man Joomla! in Version 1.6 so kann man mit AdminTools auch auf die Version 1.7 aktualisieren (mehr dazu im Artikel: Wie migriere ich richtig).  Hat man AkeebaBackup installiert, wird vor einer Aktualisierung noch gefragt, ob eine komplette Sicherung erstellt werden soll. Sollte die Aktualisierung also Fehlschlagen, hat man gleich ein Backup zur Hand.

Sicherheit
Der nächste große Abschnitt beschäftigt sich mit der Sicherheit des Joomla! und wie es diese verbessern kann. Der erste rote Knopf ist gleich ein Notfallausschalter. Er kann mehr als "nur die Seite offline setzen". Wird dieser Knopf betätigt, wird niemandem außer dem zur Zeit angemeldeten Administrator der Zugriff auf die Seite gewährt (Stichwort: IP-Sperre!). Ein Knopf, den man tatsächlich nur im Notfall betätigen sollte!

Der nächste wichtige Knopf trägt die Aufschrift: "Administration durch Passwort schützen". Mit ihm wird ein .htaccess-Schutz des Joomla!-Administrationsbereichs erzeugt.
Dabei wird nach einem Benutzernamen und Passwort (inklusive Wiederholung) gefragt. Der Benutzername und das Passwort sollten hier von den normalen Anmeldedaten abweichen! Sobald man diese .htaccess-Abfrage erzeugt hat, wird die Seite neu geladen und sofort nach dem gerade eingegebenen Zugangsdaten gefragt. Schon ist die Administration geschützt. Dies ist ein wichtiger Schritt für die Sicherung eures Joomla!

Der Knopf mit der Aufschrift "Datenbanktabellen-Präfix-Editor" lässt eben genau dieses Änderung zu. Hintergrund: Die Standardinstallation von Joomla! nutzt ein Datenbanktabellenpräfix mit der Bezeichnung jos. Das ist jedem geneigten ScriptKiddie und Hacker bekannt und bestimmte Angriffe nutzen genau diese Informationen aus. Ändert man dieses Präfix in ein zufälliges Buchstabensalat-präfix laufen Angriffe auf die bekannten Tabellenpräfixe ins leere. Mit Hilfe dieses Knopfs wird also das Präfix auf ein zufälliges Präfix geändert und die Änderung auch in die configuration.php geschrieben, so dass man sofort weiterarbeiten kann.

Ein weiterer wichtiger Schritt zur Erhöhung der Sicherheit eures Joomla! ist die Änderung der ID des Superadministrators. Hintergrund: Standardinstallationen von Joomla! vergeben dem Superadministrator immer die gleiche UserID (62). Standardmäßig haben also alle Superadministratoren die gleiche UserID 62. Auch dieses Wissen wird für Angriffe ausgenutzt. Mit Hilfe des Knopfs "Super Administator ID" wird eben diese auf einen zufälligen Wert unter 62 geändert. Wie geschieht das: Im Endeffekt wird das alte Superadministrator-Konto deaktiviert und ein neues mit den gleichen Benutzerdaten (E-Mail, Benutzername, Passwort) erzeugt; nur eben die ID ist nicht mehr 62! Das alte Konto wird mit Zufallswerten für das Passwort und den Benutzernamen gefüllt und deaktiviert. So ist ein Angriff auf über diese ID nicht mehr möglich.

Werkzeuge
Weiter geht es mit den Knöpfen unter der Überschrift Werkzeuge. Als wichtigster Punkt ist hier das setzen der Berechtigungen für alle Dateien zu nennen. Eine gern genutzte Angriffsmöglichkeit stellen nämlich auch falsch gesetzte Berechtigungen dar. Diese lassen sich in AdminTools erst konfigurieren und dann mit einem Klick setzen.

Ein schönes Werkzeug stellt der Knopf "Temp-Verzeichnis säubern" dar. Er bereinigt alle temporären Verzeichnisse von Installationsüberresten.

Schlussendlich kann man die mächtigen AdminTools selbst noch gesondert vor Zugriff schützen. Es lässt sich ein Hauptpasswort für die Nutzung der Anwendung vergeben oder aber eine Zugriffskontrolle einrichten, um nur bestimmten Backend-Nutzern den Zugriff zu gewähren (auch unter Joomla! 1.5).

In AdminTools Professional
Besonders bemerkenswert ist in der kostenpflichtigen Version die Webanwendungsfirewall (WAF). Diese kontrolliert ob eventuell Manipulationen an der URL von Joomla! vorgenommen werden, um zB. Code oder Dateien nachzuladen. Hier lässt sich auch der Generator-Tag von Joomla! ersetzen und auch der Aufruf zur Anzeige der Modulpositionen (tp=1) verhindern.
Zusätzlich kann man sich benachrichtigen lassen, wenn ein Sicherheitsproblem auftaucht. Dann kann man entweder die angreifende IP-Adresse für eine gewisse Zeit oder für immer sperren. Das ist ganz gut, wenn ein gekaperter Server eine Attacke ausführt oder immer wieder SpamBots mit gleicher IP vorbeischauen. Mit AdminTools Pro lassen sich dann auch ganze Regionen aussperren (Geo-IP-Blocking).

Wem also die freien Funktionen nicht ausreichen oder aber die Webanwendungsfirewall auch haben möchte, muss zur Pro-Version greifen.

Die freie Version von AdminTools steht hier zum Download für alle Joomla!-Versionen bereit. Die Sprachdateien gibt es hier.

Einen ruhigen Schlaf und ein sicheres Joomla! wünscht euch
Euer Niko

Zuletzt aktualisiert am Mittwoch, den 21. März 2012 um 16:23 Uhr