Joomla Web Security (in Englisch)

Quelle: Buchbesprechung von Marieke van der Tuin (in Englisch) auf community.joomla.org
Übersetzung: Joomla! Schweiz

Bei der Erstellung Ihrer eigenen Joomla-Webseite ist es angebracht, auch an die Sicherheit zu denken. Joomla selber ist relativ sicher. Trotzdem kann auch eine Joomla!-Installation jederzeit gehackt werden. Dies kann aufgrund falscher oder mangelhafter Konfiguration, Erweiterungen von Drittanbietern mit Schwachpunkten oder ganz einfach schwacher Passwörter passieren. Um Ihnen bei der Einrichtung dieser Sicherheit zu helfen ist es sinnvoll das Buch "Joomla-WebSecurity" von Tom Canavan zu lesen. Das Buch ist sowohl für Joomla 1.0x wie auch für Joomla 1.5x geeignet. Diese Vorschau soll Ihnen einen ersten Einblick um das Buch geben.

Der Autor hat dieses Buch in 10 Kapitel aufgegliedert und eine sehr nützliche Anlage am Ende des Buches hinzugefügt. Das 1. Kapitel nennt sich "Los geht's". Es beschreibt, wie die Wahl des richtigen Hosting-Unternehmen, wie Server-Einstellungen festgelegt werden, um die besten Rahmenbedingungen für die Sicherung Ihrer Joomla!-Website zu gewährleisten und viele andere Themen. Das Buch umfasst viele verschiedene Themen, ein bisschen zu viele meiner Meinung nach. Es wäre besser gewesen, etwas mehr auf das Thema einzugehen, welche Joomla-Version man wählen soll in Bezug auf die Sicherheit.

Für ein Buch welches im September 2008, also acht Monate nach der Erscheinen der ersten Joomla-1.5-Version erschienen ist, ist es schade dass nicht auf die Sicherheit und Stabilität dieser 1.5.x-Version eingegangen wurde. Zum Beispiel die neue FTP-Ebene welche einen enormen Fortschritt in Sachen Sicherheit bietet. Webseiten-Betreiber müssen sich hiermit nicht weiter mit Verzeichnis- und Dateirechten (CHMOD) herumschlagen. Sämtliche Daten können "unbeschreibar" bleiben und doch haben Sie die Möglichkeit, Erweiterungen durch die FTP-EBENE zu installieren.

Im 3. Kapitel können Sie viel über die sehr leistungsstarken und nützlichen Diagnose-Tools lesen. Diese werden gut und klar erklärt. Nur schade, dass sie alle auf der Joomlaversion 1.0x basieren obwohl diese auch im Legacy-Modus in Joomla 1.5.x funktionieren wie zum Beispiel das JoomSuite Defender-Tool.

Das 4. Kapitel erklärt was Schwachstellen sind, warum es sie gibt und was getan werden kann, um zu verhindern das Ihnen jemand ungewollt ihre Seite übernimmt.

Kapitel 5 erklärt zwei Arten von Angriffen die auftreten können: SQL-Injektionen und Remote-Dateien Inclusion. Die SQL-Injektionen werden äusserst gut erklärt: Mit sehr guten und klaren Beispielen. Ich bin völlig einverstanden dass nicht alles in Joomla 1.5.x komplett sicher sein kann. Wie auch immer. Wenn Sie immer auf dem Laufendem bleiben und regelmässige Updates machen (speziell wenn sie die Sicherheit betreffen) dann sinkt auch das Risiko gehackt zu werden. Nach den Erfahrungen von Tom als Joomla! Bug-Squad-Mitglied hatte er festgestellt, dass die meisten der Websites, die angegriffen werden, erst kurz nachdem ein Patch-Update oder einer Sicherheits-Veröffentlichung zu beobachten sind.

Das Kapitel welches mir am hilfreichsten schien war das Kapitel 7, in welchem es um die PHP.ini und die .htaccess-Datei ging. Beide Themen wurden sehr klar und gut erklärt, unabhängig davon ob es eine Joomla 1.5.x Seite ist oder nicht.

Kapitel 8 zeigt einem ganz klar wie man Log-Files liest und das ist ziemlich nützlich. Genauso die Fähigkeit, über das HTTP 1.1 Bescheid zu wissen. Am Schluss dieses Kapitels werden noch einige Werkzeuge vorgestellt welche der Analyse von Log-Files dienen. Nur schade das hier keine Werkzeuge für Joomla 1.5.x vorgestellt werden.

SSL ist das Thema des 9. Kapitels und erklärt wie man es einsetzt und konfiguriert. Es ist ein kurzes Kapitel und für jene gedacht welche wirklich SSL auf Ihrer Seite einsetzen wollen. Eine sehr gute Entscheidung des Autors. Fast niemand wird Verwendung finden, SSL auf seiner Webseite einzusetzen. Diejenigen die sich aber dafür interessieren, können sich durch die interessanten Links klicken welche am Ende angebracht werden oder bei seinem Hoster zum nachlesen wie man SSL einsetzt und konfiguriert.

Das letzte Kapitel ist über Incident Management. Es ist tatsächlich ein Follow-up auf Kapitel 2, wo die Test- und Entwicklungsumgebung diskutiert wird. Das Kapitel ist besonders nützlich für grössere Unternehmen oder Projekte.

Diese Zusammenfassung oder besser gesagt dieses "Sicherheits-Handbuch" ist sehr empfehlenswert. Ein grosser Teil in diesem Buch wurde zusammengetragen, inklusive allen nützlichen Checklisten, tägliche Operationen und Abläufe, sowie nützliche Codes und Werkzeuge.

Ein Vorschlag vom Autor dieses Blogs: "Ich werde die neuen Sicherheits- Themen zu den Täglichen News von Joomla hinzufügen. Zu erreichen unter: http://feeds.joomla.org/JoomlaSecurityNews "

Zum Schluss noch:
Wenn Sie eine grosse Firma sind welche grossen Wert auf Sicherheit legt, dann kann ist dieses Buch sehr empfehlenswert. Auch für kleine Websites die von 1 Person betrieben werden und die das Thema Sicherheit auch interessiert ist es ebenfalls ein gutes Nachschlagewerk. Aber nicht zu vergessen, das einige Punkte dieses Buches nicht immer in jeder Situation nützlich oder hilfreich sein können.

Sie können das Buch auf http://www.packtpub.com/joomla-web-security-guide/book für £ 22,49 kaufen.

Kommentar schreiben