Skip to main content

Je Joomla!site beveiligen en daarna met een gerust gevoel op vakantie gaan

joomla-hackersOp 3 juli schreef Paul Frankowski voor JoomlaShaper een blog met tips om je Joomla!-site te beveiligen. Zeker nu we vlak voor de vakantie komen, wil iedereen met een gerust hart op vakantie kunnen gaan en bij terugkomst de website nog in dezelfde staat aantreffen. Wouter (WoodyF4u) heeft voor Joomla!NL deze blog vertaald.
De schoolvakanties van de kinderen beginnen dit weekend voor de eerste regio’s in Nederland. Veel kinderen en ouders denken nu alleen nog maar aan zon en vrije tijd met familie.  Ook studenten hebben hun examens achter de rug. En er blijft dan één belangrijke vraag open; “Zullen al mijn Joomla!-sites veilig zijn en kan ik ze de komende dagen zonder zorgen achterlaten? Wat moet ik doen?”.
Het is een bekend feit: Terwijl jij lekker aan het feesten, zwemmen of luieren bent, zal iemand ergens anders op hetzelfde moment je site willen hacken. Niet prettig, maar wel de waarheid. De slechte mensen op de wereld slapen nooit, zegt men. Toch kun je gaan relaxen als je eerst onderstaande tips opvolgt.


Eerst enkele feiten: Joomla! 3.3 is al een heel erg veilig en stabiel CMS. Zelfs als er geen extra extensies zijn geïnstalleerd voor beveiliging, zorgt deze versie er al heel goed voor dat de site veilig is. Het zwakke punt bij elk CMS (Wordpress, Joomla, Drupal) is de persoon die met te weinig kennis de site beheert. Je kunt de allermooiste auto van de buurt hebben, maar als je de deur niet afsluit, moet je niet vreemd opkijken als er een keer iemand met die auto vandoor gaat.
Over het algemeen proberen hackers op je site binnen te komen met behulp van brute kracht en slimme technieken. Daarom is het belangrijk om ze een stap voor te zijn, door voorzorgsmaatregelen te treffen om zo het risico op een hack op je Joomla!site tot een minimum te beperken.

  • Controleer in Gebruikersbeheer of de Super Administrator(s) een andere gebruikersnaam heeft dan ‘admin’ of iets wat daar op lijkt. De meeste hackers proberen toegang te krijgen met deze gebruikersnaam. Ze hoeven dan alleen het wachtwoord nog maar te raden. Verander indien nodig de gebruikersnaam.

  • Zet in de Opties van Gebruikersbeheer de mogelijkheid uit dat nieuwe gebruikers zich via de site kunnen registreren. Uiteraard alleen als je het niet nodig hebt dat gebruikers zich via de front-end kunnen registreren.

  • Hernoem htaccess.txt in .htaccess – omdat het bestand enkele rewrite rules bevat. Hierdoor blokkeer je de toegang voor sommige hackers.

  • Schakel de zoekmachine vriendelijke URLs in (in Algemene instellingen) – hierdoor worden typische Joomla!-URLs niet meer getoond.

  • Installeer en activeer de plugin ByeByeGenerator – hiermee heb je de mogelijkheid om de generator tag te wijzigen. Hiermee wordt de Joomla!-tag niet meer in de HTML-code getoond.

  • Controleer of je nog oude componenten, modules of plugins geïnstalleerd hebt staan op je site. Deïnstalleer die als ze niet meer worden gebruikt. Controleer ook regelmatig of de gebruikte extensies op de JED nog als goed en veilig worden gemarkeerd, omdat er (helaas) nog vaak extensies worden gevonden die vuile (vulnerable) code bevatten.

  • Ga naar Algemene instellingen en controleer of het tonen van fouten is uitgeschakeld.

  • Het is het beste om permissies zoveel mogelijk dicht te zetten. Zorg ervoor dat er alleen schrijfrechten of de rechten om een map aan te maken worden gegeven als het echt nodig is.  Bijvoorbeeld als het mogelijk moet zijn om te kunnen uploaden. Laat permissies op een map nooit op 777 staan. Met die instelling mag iedereen alles doen in die map.

  • Scan al je bestanden om malafide code te ontdekken – hiervoor kun je gebruik maken van  Wemahu (nekudo.com) – dit is een malware-scannercomponent voor Joomla! 3 dat erg krachtig is omdat het door een groot publiek wordt voorzien van nieuwe informatie.

  • Er zijn vele plugins en services die als firewall kunnen werken voor je website. Sommigen hiervan doen zelfs aanpassingen in het bestand .htaccess en stellen restricties in op het Apache-niveau, nog voordat dit wordt gebruikt door Joomla! zelf. Neem eens een kijkje bij deze ‘ Anti-Hacker’ extensies: jHackGuard (www.siteground.com), Akeeba Admin Tools Pro (akeebabackup.com) of RSFirewall! (rsjoomla.com) om de site te beveiligen tegen de meest populaire hackersaanvallen,  SQL Injecties,  Remote Code Executies en aanvallen op basis van XSS. Met name deze commerciële firewalls bieden de ervaren gebruikers de mogelijkheid om de beveiliging optimaal te kunnen fine-tunen.

  • Maak regelmatig een back-up van je CMS-data en inclusief je MySQL-database.


Namens het team van joomla!NL wens ik jou een hele fijne zomervakantie.