Skip to main content

De laatste tijd zijn er weer veel aanvallen op Joomla!websites

Zoals je wellicht al hebt gehoord of gelezen in de media, zijn de gerichte aanvallen op servers ernstig toegenomen in Nederland. De media spreekt massaal over de banken, maar ook andere servers zijn doelwit.
Dat geldt bijvoorbeeld ook voor de servers van de providers die websites hosten.

Enkele servers van de provider Wned (Joomla!NL staat daar ook gehost)  zijn afgelopen week  enkele dagen op rij doelwit geweest van zogenaamde brute force attacks. Deze aanvallen zijn gericht op inlogvensters van websites en dus niet hetzelfde als de DDOS- aanvallen waar de banken mee te maken hebben. Bij een DDOS-aanval wordt een hele grote hoeveelheid data of verzoeken naar een website gestuurd, waardoor deze gedurende die aanval geheel of gedeeltelijk overbelast raakt of zelfs onbereikbaar wordt. Tegen DDOS-aanvallen heeft WNED de servers al ruim twee jaar beschermd.

Op dit moment zijn vooral Wordpress (wp-admin) websites doelwit, maar ook Joomla  (administrator) en alle andere inlogvensters van andere website-systemen lopen het risico aangevallen te worden.

Daarom is het dus heel belangrijk dat je het admin-gedeelte extra beveiligt zodat ook dit type aanvallen geminimaliseerd wordt en je website beter beveiligd is.
Je kunt dit op verschillende manieren zelf doen. Wanneer je hostingrpovider een beheerscherm aanbiedt via DirectAdmin, dan kan daarmee de Admin-map worden beveiligd. En daarnaast is het ook mogelijk om met speciaal voor Joomla! gemaakte extensies de website te beveiligen.

Beveilig de admin-map met DirectAdmin

Ga naar het DirectAdmin-scherm. De  URL kan zijn: www.voorbeeld.nl:2222.

  • Log in op DirectAdmin.  (gegevens moet je via je hostingprovider hebben ontvangen)
  • Je gaat daarna naar files (knop bovenin), vervolgens naar domains, je domeinnaam, public_html en daar zie  je de admin-map. Deze map heeft dezelfde naam als de tekst  die je achter je URL intypt als je inlogt in je admin-scherm van je website. Dit kan bijvoorbeeld zijn; admin, administrator, wp-admin enz.
    DirectAdmin protect
  • Rechts naast deze map onder action staat “protect” .Hier klik je op. Nu heb je een nieuw venster waarin je een paar velden moet invullen;
    • Protected Directory Prompt: hier zet je een willekeurige naam neer
    • Set/Update User: hier zet je een eigen gebruikersnaam neer. Er staat optioneel maar dit is je gebruikersnaam en hiermee maak je het veiliger.
    • Twee keer het wachtwoord invullen bij:   ‘and Password:’ en ‘Re-Enter Password’
    • Tot slot vink je “Protection Enabled:” aan en klikt op save.

DirectAdmin password1

Zodra je naar je admin-gedeelte van je website gaat, krijg je een popup met een extra inlogscherm. Als je daar ingelogd bent met de eerder ingevoerde gebruikersnaam en wachtwoord, kun je daarna inloggen zoals je dit gewend bent.
Het is uiteindelijk geheel aan jezelf om dit uit te voeren maar dit helpt welom je eigen website beter te beveiligen en daarnaast de kans dat een server bij je provider gehackt wordt te verkleinen. Met bovenstaande handeling in DirectAdmin heb je er in ieder geval voor gezorgt dat de aanvallers je admin-gedeelte van je site niet meer kunnen bereiken.

Website beveiligen met een Joomla!extensie

Wanneer je hostingprovider geen Direct Admin aanbiedt, is het nog wel mogelijk om de Admin-map te beveiligen met een speciaal voor Joomla! gemaakte extensie.
Twee veel gebruikte extensies zijn JL Secure My Site van Jomland en AdminTools van Akeeba.
De JL Secure My Site-plugin is gratis en speciaal voor deze mapbeveiliging ontwikkeld. AdminTools is een hele uitgebreide extensie voor het beheer van je Joomla!-website en in de betaalde versie zit de mogelijkheid om een extra geheim woord achter de inlogURL te plaatsen waardoor het zonder die gegevens niet mogelijk is om in te loggen.

JL Secure My Site
http://www.jomland.com/free-stuff/secure-my-site

AdminTools
https://www.akeebabackup.com/products/admin-tools.html