Tegengaan hacken

Gisteren was mijn site dus gehackt: op bepaalde plaatsen werd ik doorgeleid naar enqueteformulieren waar je niet uit kwam (Click-verzamelaar). Dankzij info op dit forum was de zaak redelijk snel hersteld.
Al stond het gisteren nog niet in mijn handtekening, de site was vanaf de eerste dag van beschikbaarheid in Joomla 3.6.4. Mijn PC staat onder bewaking van Windows Defender (ook nog gescand met Malwarebytes, niks gevonden).
Welke mechansmen kunnen dan in het spel zijn om de site te hacken?
Eigenlijke vraag: heb ik nog beveiligingsmaatregelen over het hoofd gezien?

Altijd lastig. Weet je ook zeker dat al je extensies (inclusief template) altijd up-to-date zijn? Hoe zit het met de beveiliging op serverniveau (bij je hoster)? Zijn er meer mensen die backend en/of ftp toegang hebben?

Extensies waren ook bij het uitkomen van Joomla 3.6.4 (in september?) up-to-date, en ik heb gisteren opnieuw enkele extensies geupdated.
Zijn er manieren om updates van geïnstalleerde extensies actief aan te kondigen? Zoiets als ook de Joomla! V.E.L. doet?

Van servers weet ik heel weinig. Ik zit bij Hosting2go (server 43)
Ik ben de enige met back-end toegang. Misschien is het zinvol om alle wachtwoorden verplicht te laten wijzigen om de zoveel tijd?
Waar regel je dat? In het Gebruikersmenu heb ik het niet gevonden.

Astrid schreef : . . . Hoe zit het met de beveiliging op serverniveau (bij je hoster)?

Ik heb het ze even gevraagd.

Hosting2go schreef : Wij beveiligen onze diensten met mod-security en informatie hierover kun je lezen in ons blog item op de volgende link: www.hosting2go.nl/blog/mod-security-website-beveiliging/

Heb je daar een mening over?

Mod_security is natuurlijk al heel aardig.
Blijkbaar vinden ze het voldoende om je daarover te informeren.
Het is ook belangrijk dat ze hun server-software updaten naar de meest recente versies.
Momenteel is het minimaal PHP 5.6 en liefst ook PHP 7.
Je kunt in de back-end van je website zien welke PHPversie ze bij Hosting2Go aanbieden.

Naast een goede beveiliging door je hostingbedrijf moet je natuurlijk ook zelf je website goed beschermen.
Dan is het up to date houden van Joomla en de geïnstalleerde extensies nog niet voldoende.

Je kunt gebruik gaan maken van extensies zoals Akeeba AdminTools of Securitycheck Pro .
De eerste zorgt voor een goede firewall en blokkeert aanvallen van buitenaf.

De tweede gaat daarin nog een stap verder door ook de website te scannen op malware en in de gaten te houden of er mogelijk onveilige extensies op je website zijn gebruikt.

Voor beide extensies raad ik je de Pro-versie aan. Voor ongeveer 40 tot 50 euro per jaar is je website dan goed beveiligt.