Hoe veilig is jouw Joomla!website?
Op 1 januari 2013 is onderstaand artikel gepubliceerd op The Joomla! ® Community Magazine. Geschreven door Ruth Cheesley. Vertaald voor Joomla!NL door Wouter (WoodyF4u).
Joomla! is hard op weg om één van de meest populaire content management systems te worden. Ruim 3% van alle websites werkt op Joomla! En het is inmiddels al ruim 30 miljoen keer gedownload. De kans is groot dat je tijdens het surfen op internet elke dag wel een keer een Joomla!site bezoekt. Veel bedrijven presenteren zich met Joomla!, maar niet alle eigenaren hebben hun website goed beheerd en die websites zijn vaak ook niet voorzien van de laatste updates en patches.
In dit artikel krijgen deze website-eigenaren tips om ervoor te kunnen zorgen dat hun website altijd up-to-date is. Daarbij komen ook enkele tools aan bod om dit te vereenvoudigen.
Is jouw website voorzien van de laatste veilige versie van Joomla?
De belangrijkste taak van een Joomla!websitebeheerder is om de basis op orde te hebben. Dat wil zeggen dat er minimaal wordt gewerkt met de laatste versie van Joomla! Net zoals bij elke andere software worden er ook voor Joomla! bugs, veiligheidsproblemen en lekken gevonden en daarvoor worden dan reparaties of verbeterde versies aangeboden om dat te kunnen verhelpen.
Het Joomla!project heeft een Security Strike Team dat de taak heeft om deze problemen op te sporen en te verhelpen middels patches als er een direct gevaar opgelost moet worden. Minder gevaarlijke situaties worden verholpen en aangeboden in de reguliere volgende versies van Joomla!
Je kunt informatie over de nieuwste versies en updates van Joomla! altijd zo spoedig mogelijk na uitkomen vinden op: Joomla! website, Facebook pagina, Twitter, de Google+ Community en natuurlijk hier op Joomla!NL.
Door in te loggen in de back-end van de site, zie je het versienummer onderaan de pagina.
Er zijn verschillende versies van Joomla!:
- Joomla! 1.0.x – Deze versie is lange tijd in gebruik geweest, maar wordt inmiddels al lang niet meer ondersteund.. Maar er zijn nog steeds websites die ermee werken. De laatste versie was Joomla! 1.0.15 en is te herkennen aan de rode balk van het beheerscherm.
- Joomla! 1.5.x – Tot voor kort was dit de versie voor productiewebsites. Er zijn op dit moment dus nog heel veel websites die ermee werken. Maar de ondersteuning is inmiddels officieel gestopt en ook extensie-ontwikkelaars hebben aangegeven dat zij niet langer voor Joomla! 1.5 meer ontwikkelen. De laatste versie was Joomla! 1.5.26 en is herkenbaar aan de groene balk in het beheerscherm.
- Joomla! 1.6.x and 1.7.x – Dit waren twee korte termijnversies die inmiddels ook niet meer worden ondersteund. Te herkennen aan de blauwe balken in het beheerscherm. Update zo spoedig mogelijk naar Joomla! 2.5 omdat er enkele belangrijke beveiligingslekken inzitten. Er zijn patches beschikbaar voor een update van 1.7 > 2.5.
- Joomla! 2.5.x – Dit is op dit moment de stabiele versie van Joomla! Te herkennen aan de blauwe balken in het beheerscherm. Het versienummer staat aan de onderkant van de beheerpagina.
Het versienummer is ook te vinden op de Systeem Informatiepagina. Daar vind je ook meer informatie over de installatie, rechten, php- en databaseversie
Hoe kun je een update uitvoeren?
Het updaten van Joomla! is geen ingewikkeld werk. Wel is het belangrijk om altijd eerst en backup van alle mappen en bestanden + de database te maken. Hieronder meer daarover. Voor versies tot Joomla! 1.7 kan de patch nog handmatig worden gedownload en met FTP worden geïnstalleerd. Met hulp van de extensie Admin Tools voer je de update met één muisklik uit.
Moet ik migreren?
Als je werkt met Joomla! 1.0.x, 1.5.x, 1.6.x of 1.7.x moet je serieus gaan denken aan upgraden naar de laatste stabiele versie van Joomla! Dat is momenteel Joomla! 2.5.
De belangrijkste reden hiervoor is dat de Joomla! Security Strike Force alleen de laatste versie ondersteunt. Ook worden veel extensies al niet meer ondersteunt op oudere versies en nieuw ontdekte fouten of lekken worden met bugfixes alleen nog voor de laatste versie aangeboden.
Het is belangrijk om te beseffen dat de migratie van 1.0.x naar 1.5.x, of 1.5.x naar een hogere versie een echte migratie is. Extensies moeten daarin opnieuw worden geïnstalleerd en het template moet worden geupdate naar een versie die geschikt is voor Joomla! 2.5. Dit is een klus die het beste kan worden uitgevoerd door een ervaren Joomla!beheerder met kennis van Joomla! 2.5 en het migratieproces.
Zijn je extensies up-to-date?
Tweede belangrijk punt in het beheer van Joomla!websites is om ervoor te zorgen dat alle extensies up-to-date zijn. Want wanneer je als beheerder netjes Joomla! op de laatste versie hebt, maar de extensies niet is de kans op een onveilige website nog steeds heel groot. Er zijn zelfs een groot aantal extensies die bij gebruik van een bepaalde (oude) versie echt onveilig zijn.
De ontwikkelaars hebben dan vaak al snel een veilige nieuwe versie beschikbaar gesteld, maar dan moet die dus wel op de eigen Joomla!site worden geupdate. Er is een lijst beschikbaar met onveilige extensies. Dat is de Vulnerable Extensions List met details van het type onveiligheid. Wat nog in het rood staat is nog niet door de ontwikkelaar opgelost.
Hoe voer je een Joomla!extensieupdate uit?
Het updaten van een extensie zou eenvoudig moeten kunnen door de nieuwste versie te installeren - in Joomla! 2.5.x en later kun je extensies automatisch updaten (als de extensies dit ondersteunen) via de updatemogelijkheid in de back-end. Maak wel altijd eerst een backup voordat je aan de slag gaat. Zeker als er persoonlijke aanpassingen zijn gemaakt.
De beste manier om erachter te komen of er een nieuwe versie beschikbaar is, is door je in te schrijven op de nieuwsbrief van de ontwikkelaar. Zo blijf je altijd op de hoogte van de laatste ontwikkelingen.
Is jouw administrator beheerscherm voor publiek toegankelijk?
Als je surft naar www.jouwsite.nl/administrator en dan op de inlogpagina van je beheerscherm komt, dan kan iedereen die het vermoeden heeft dat het om een Joomla!site gaat, dit hiermee bevestigd krijgen. Hiermee is voor een hacker al één opstakel om het type website te ontdekken uit de weg geruimd.
Hoe scherm je het beheerschermportaal af?
Er zijn verschillende manieren om dit deel van je site af te schermen. De meest gebruikte is om een ‘geheim’ woord te gebruiken dat nodig is om het beheerscherm te kunnen benaderen.
Een voorbeeld hiervan is: www.jouwwebsite.nl/administrator/?mijngeheimewoord. Op deze manier kan een bezoeker zonder het geheime woord niet op het beheerschermdeel komen.
Admin Tools heeft deze mogelijkheid aan boord, maar je kunt hiervoor ook een andere extensie gebruiken. Je vindt ze op de Joomla! Extensions Directory.
Is je standaard administrator nog steeds ingeschakeld?
Als je een website opzet met een Joomla!versie van voor Joomla! 2.5 dan werd de standaard administrator aangemaakt met het standaard ID. In Joomla! 1.5 en daarvoor was dat #62. Vanaf 1.6 en hoger werd dat #42. De gebruikersnaam was standaard ‘admin’. Beide werden in het verleden heel vaak niet direct door de beheerder bij de installatie aangepast.
Je zou natuurlijk kunnen zeggen; “Wat maakt dat nou uit?”. Maar als iemand toegang tot je site wil hebben en al weet dat de gebruiker met de hoogste rechten het gebruikersID #42 of #62 heeft, dan is dit het eerste begin voor een poging tot illegale toegang. Ze kunnen dan inloggen op je site en aanpassingen doen of schadelijke extensies installeren, zonder dat jij daar ook maar iets van merkt.
Dit moet je dus doen met het standaard administratoraccount
Het beste wat je kunt doen is dit account te deactiveren (uitschakelen) en gebruik maken van een eigen account voor jouw beheertaken.
De basisregel is dat er zo min mogelijk accounts zijn met de hoogste rechten. Deze beheeraccounts moeten zijn voorzien van een sterk wachtwoord. Mocht je een keer een ‘tijdelijk’ account aanmaken voor iemand die je helpt met beheer van de site, schakel dit dan direct daarna weer uit.
Het administratoraccount is eigenlijk net zoiets als de sleutel van je huis of je auto, waarvan je ook niet wil dat die in verkeerde handen komt!
Gaan je backupbestanden naar een plaats of map die zich buiten je websitelocatie bevindt?
Er zijn vervelende scenario’s te bedenken waarbij je website offline gaat, je problemen hebt met de hostingprovider of dat je zo’n fout maakt, dat je alles moet verwijderen en opnieuw beginnen. Kun je dan nog bij je backupbestanden?
Als eigenaar en/of beheerder hoor je hierover natuurlijk te hebben nagedacht. Het moet onderdeel zijn van je continuïteits- en herstelplan. Zeker als er bijvoorbeeld veel omzet van je bedrijf wordt gegenereerd door de website.
Hoe maak je een goede backup?
Er bestaat een mogelijkheid om je websitebackup automatisch uit te voeren. Ook is het mogelijk om deze bestanden vervolgens naar een externe locatie te verplaatsen zoals Dropbox of Amazon S3 en dat je een bericht krijgt als er iets misgaat. De beste extensie hiervoor is zonder twijfel Akeeba Backup, die al door duizenden Joomla!gebruikers over de hele wereld is getest en gebruikt. De professionele versie biedt zelfs de mogelijkheid om extra databases te backuppen. Dat is handig als je website bijvoorbeeld werkt met een aparte Ecommerce winkel of leeromgeving).
Het maken van een backup is een belangrijk detail van het beheren van een website. Het eenvoudig kunnen herstellen van die backup in het geval er iets misgaat met de site is een tweede. Dit kun je doen met hulp van Kickstart van Akeeba, dat ervoor zorgt dat je website binnen enkele minuten weer volledig is hersteld.
Hoe behoud je de controle over dit proces?
Wanneer je een website beheert is het eenvoudig om voor backup en updaten vaste momenten op de kalender te prikken En natuurlijk een oog te houden op het Joomla!nieuws. Maar wanneer je een druk bezet persoon bent, is de kans groot dat zo’n moment even niet uitkomt of dat je een aankondiging mist en het updaten of uitvoeren van een backup er bij inschiet.
Zodra er een beveiligingslek bekend is en er een update / patch voor beschikbaar is gesteld, zijn ook de personen die graag je website willen hacken op de hoogte. Het is dus heel belangrijk om direct na uitkomen van zo’n patch deze op je website te hebben uitgevoerd,
Admin Tools en Akeeba Backup hebben beide een ingebouwd meldingssysteem dat je een bericht stuurt als je website niet meer actueel is of dat je backup is mislukt. Maar dat wordt erg omslachtig als je meerdere website beheert.
Websites automatiseren en op afstand beheren
Op de Joomla! World Conference was Victor Drover. Hij is het gezicht achter de Joomla!extensieontwikkelaar Anything Digital (die leveren JCal Pro, sh404, Josetta en meer) Daar lanceerde hij Watchful.li.
Watchful.li monitord één of meerdere websites en informeert de beheerder proactief wanneer er iets niet meer up-to-date is. Deze tool houdt ook de backups in de gaten en controleert de homepagina op een bepaald woord. Wanneer dat er ineens niet meer is, krijg je direct een bericht omdat de site dan kan zijn aangepast zonder dat jij er als beheerder van op de hoogte bent.
Backups kunnen ook worden gestart vanuit het Watchful.li dashboard en het kan updates uitvoeren op websites met Joomla! 2.5 en later.
Victor heeft voor lezers van dit artikel een kortingscode beschikbaar gesteld. Dat is VIRYA3 en geeft je 3 maanden toegang tot Watchfull voor $3. Wanneer je Watchfull gaat gebruiken vind je op het dashboard nog een kortingscode van 20% op Akeeba-producten.
Conclusie
Dit artikel presenteerde een handvol belangrijke aanbevelingen om je Joomla!site veiliger te maken. Deze zijn eenvoudig uit te voeren door iemand met gemiddelde kennis als Joomla!beheerder. Ook zijn er tools genoemd die het beheer voor iemand die erg druk is een stuk aangenamer maken.
Onthoud dat dit natuurlijk al een heel eind helpt om je site veiliger te maken Maar er zijn meer factoren waar je rekening mee zou moeten houden. Zoals de beveiliging bij de hostingprovider. Meer daarover kun je bij je provider vragen.