Skip to main content

Beveiligen begint met opruimen

data opruimen 2Zo nu en dan verschijnt er een artikel over beveiligen van een website. Vaak is dat voor websitebeheerders weer een stimulans om ook weer eens te gaan kijken of de website nog steeds veilig is. Belangrijke adviezen zoals het up-to-date houden van Joomla! en natuurlijk ook alle gebruikte extensies, staat altijd bovenaan.’
Maar nog belangrijker is het opruimen en schoonhouden van de website.

Subdomein(en) en testmappen

Veel websitebeheerders hebben de website draaien op het hoofddomein (dus www.domein.nl). Als er een keer wat nieuws aan de website moet worden toegevoegd of dat er iets ingrijpend moet worden gewijzigd, dan is het niet handig dat op de ‘productie’website te doen. Vaak wordt er dan van een subdomein (subdomein.domein.nl) of van een testmap (www.domein.nl/testmap) gebruik gemaakt. Veel providers bieden de mogelijkheid om met een tweede of derde database te werken. Een testwebsite is dan snel opgezet.
Vervolgens worden de aanpassingen gedaan, getest en de aanpassingen worden overgenomen op de site op het hoofddomein.
Maar vaak blijft de testwebsite daarna staan, zonder dat daar nog beheer (onderhoud en updates) op wordt uitgevoerd. We weten allemaal dat Joomla! regelmatig updates uitbrengt. Dat zijn voornamelijk veiligheidsupdates. Die zijn er dus niet voor niets. Als er op de testwebsite geen updates meer worden uitgevoerd, loopt die site snel achter. Er ontstaat dan een risico, want hackers weten de lekken in oude Joomla!-versies te vinden. En wanneer er dus nog een oude versie van Joomla! op zo’n testwebsite actief is, dan is dat een potentieel gevaar voor de hoofdwebsite (die vaak wel keurig up-to-date is).
Daarom bij deze dus het advies om eens te controleren of er testwebsites draaien in subdomeinen of testmappen. Als die actief zijn, moeten die zo snel mogelijk worden ge-update of verwijderd.

 

De map: tmp

Bij het installeren van een nieuwe extensie (component, module of plugin) worden er installatiebestanden tijdelijk ‘geparkeerd’ in de map ‘tmp’. Deze staat in de rootmap van de Joomla!website. De meeste extensies zijn niet zo geprogrammeerd dat ze deze tijdelijke bestanden in de tmp-map na afloop netjes verwijderen. Het zijn echter nog steeds installatiebestanden die daar achterblijven. Voor Joomla! komen er regelmatig beveiligingsupdates uit. En ook voor extensies is dat het geval. Wanneer er in de tmp-map dus nog installatiebestanden staan van verouderde extensies,kan een hacker daarmee toch onrechtmatig op de website binnendringen.
Daarom bij deze dus het advies om deze map regelmatig te controleren. Als er (behalve het bestand index.html) nog bestanden in deze map staan moeten deze daar verwijderd worden. Een handige extensie daarvoor is: CacheCleaner van NoNumber.nl (http://www.nonumber.nl/extensions/cachecleaner). Deze wist in de gratis versie de tmp-map wanneer er in de back-end op de knop wordt gedrukt. De betaalde versie kan het zelfs automatisch en/of op diverse in te stellen momenten.

Back-ups

Naast het handmatig maken van een back-up van de mappen+bestanden en de database, kan dat ook met behulp van Akeeba backup.
Wanneer deze extensie standaard staat geïnstalleerd en geconfigureerd, worden de back-ups gemaakt en opgeslagen in de map: “administrator/components/com_akeeba/backup”.
Hackers weten dat en proberen met behulp van het jpa-bestand van Akeeba, toegang tot de website te krijgen. Daarom is het aan te raden om de doelmap waar de back-ups worden opgeslagen te wijzigen. Het liefst naar een map buiten de rootmap van de website. Akeeba backup kan daar wel wegschrijven, maar een websitebezoeker (hacker) kan daar niet komen. Wanneer de provider deze mappen buiten de rootmap niet openstelt voor de websitebeheerder, dan is het heel belangrijk om de genoemde map waar de Akeeba backup in wordt opgeslagen, direct na het maken van de back-up te legen.
Haal het back-upbestand met FTP naar de lokale PC en verwijder vervolgens het bestand in de Akeeba-map op de website.

Gebruikers-accounts

In de loop van de tijd kan het aantal geregistreerde gebruikers op websites behoorlijk oplopen. Afhankelijk van de rechten die gebruikers in bepaalde groepen hebben, mogen ze misschien zelf (beperkt) beheer op de website uitvoeren. Het is dan van groot belang om zo nu en dan eens te kijken of de geregistreerde gebruikers nog actief zijn. Als ze dat niet meer zijn, kunnen ze het beste worden verwijderd of op inactief worden gezet.

Ongebruikte extensies

Op veel websites staan vaak ongebruikte extensies geïnstalleerd. Meestal zijn dat modules, maar het kunnen ook plugins of componenten zijn  Sinds Joomla! 2.5 kan eenvoudig via Extensies / Extensiebeheer / Beheren een overzicht worden getoond van alles wat er op de Joomla!website is geïnstalleerd. Filter (rechtsboven) maar eens op de status ‘uitgeschakeld’ en beoordeel of deze extensies misschien wel verwijderd kunnen worden. Ook is in dit overzicht te zien welke versie de gebruikte extensies hebben. Voor dit overzicht is het belangrijk dat ook de Ingeschakelde extensies weer zichtbaar zijn. Controleer op de website van de ontwikkelaar van de extensie of er inmiddels een recentere versie beschikbaar is. Update de extensie indien dit het geval is.

Conclusie

Kijk regelmatig de website kritisch na op basis van de genoemde tips. Het kost niets (alleen wat tijd) en het kan een hoop frustratie en ergernis voorkomen.