Home / Over ons / Nieuws / Nieuws / 10 tips om Joomla veilig te houden

10 tips om Joomla veilig te houden

2 april 2013 - 00:00u - 9 minuten leestijd

Het Joomla Content Management Systeem stelt je in staat om eenvoudig en snel een dynamische website op te zetten. Het biedt bovendien duizenden thema’s en plug-ins waaruit je kunt kiezen waardoor je de website van je dromen kunt bouwen.
Helaas heeft Joomla op gebied van veiligheid geen beste reputatie. Al sinds versie 1 wordt het geplaagd door incidenten op gebied van veiligheid. De latere versies hadden dit moeten verbeteren, maar ook die blijken niet altijd veilig.

Begrijp mij goed, dit is van mijn kant geen diskwalificatie van Joomla. Ook andere OpenSource systemen zoals WordPress kennen veiligheidsproblemen. Als hostingprovider merken wij echter dat in de praktijk Joomla is oververtegenwoordigd als het gaat om sites die worden gehacked.

Een gekraakte website kan veel problemen veroorzaken. Niet alleen wordt de website soms offline gehaald, het kan ook voor enorme reputatie schade zorgen. Hoe reageren jouw bezoekers als er opeens erotisch materiaal op je website staat met provocerende teksten en brandende vlaggen? Daarnaast zijn er nog de financiële kosten: eventuele kosten voor extra dataverkeer en natuurlijk de herstelkosten zelf die in de duizenden Euro’s kunnen lopen.

Graag geef ik een paar tips hoe je jouw Joomla website veilig en in topconditie kan houden. Dit is geen handleiding om 100% veiligheid te krijgen, maar met een paar uurtjes werk per jaar kun je veel problemen voorkomen. Ik ga er vanuit dat je al wat basisvaardigheden hebt met Joomla, zonder een doorgewinterde programmeur te zijn.

1. Welke Joomla versie kies je?

Versies met .5 in het versienummer zijn LTS (Long Time Support) versies, andere versies (bijvoorbeeld 3.0) Short Time. Dit betekent dat bijvoorbeeld Joomla 2.5 voor 27 maanden wordt onderhouden door Joomla. Andere versies slechts 7 maanden. Als je niet iedere 7 maanden je complete site wilt herbouwen adviseer ik om een LTS versie te kiezen.

In het administrator gedeelte kun je dit selecteren:
joomla-2.5-admin joomla-update-instellingen

2. Update je Joomla.

Gebruik altijd de laatste versie van Joomla uit jouw versie serie. Uiteraard moet je serie nog actief worden onderhouden. Op de site van Joomla vind je informatie hierover.
Schrijf jezelf in op de RSS of volg Joomla via Twitter om jezelf op te hoogte te houden.

Joomla 1.5 wordt nog zeer veel gebruikt in de praktijk, maar wordt al maanden niet meer onderhouden. Dit betekent dat je een groot risico loopt door niet te upgraden!

VersieUitgekomenEinde support
1.02005-09-2222 juli 2009
1.5 (LTS)2008-01-221 december 2012
1.62011-01-1019 augustus 2011
1.72011-07-1924 februari 2012
2.5 (LTS)2012-01-2431 december 2014
3.02012-09-27mei 2013
3.12013-04december 2013
3.22013-11oktober 2014
3.32014-04

3. Update je Joomla!

Joomla bestaat uit een Core, die je als het goed is bij punt 2 al geactualiseerd hebt. Rondom de core zitten veel modules, ook wel “extentions” genoemd. Die worden niet automatisch met de core meegenomen en zul je dus los moeten updaten. Selecteer in de admin het overzicht voor extensies, klik vervolgens op “Cache opschonen” en “Vind updates”. Tenslotte selecteer je bij de modules alle modules met updates en daarna bovenin op “Updates”:
joomla-2.5-extupdate

4. Optimaliseer je prestaties.

Niet echt voor de veiligheid, maar wel voor de stabiliteit. Veel websites worden geautomatiseerd gescanned of aangevallen. Jouw site moet dan niet direct uitvallen. Nu je toch nog ingelogd bent in het administrator gedeelte kun je gelijk de caching controleren. Dit kun je vinden onder de knop “Algemene instellingen” en daarna het tabblad “Systeem”:
joomla-caching

5. Zorg dat je kritisch naar je hosting kijkt.

Bekijk zelf (of vraag aan je hostingprovider) of deze wel geschikt is voor Joomla. Niet bij iedere hostingprovider werkt Joomla even prettig.

Korte checklist voor je hostingprovider:

  • Hebben ze ervaring met Joomla? Weten ze er iets van zodat ze je kunnen helpen?
  • Staan er niet teveel klanten per server? Je wilt geen trage website.
  • Hebben ze moderne hardware en software? Informeer of je minimaal PHP 5.3 hebt. Informeer tevens of oude, onveilige functies zoals Register Globals en Magic Quotes staan uitgeschakeld. Dit kun je ook zelf controleren bij “Systeeminformatie” en daarna het tabblad “PHP Instellingen”.
  • Krijgen je plaatjes als eigenaar “www-data” of “nobody” en kun je er vervolgens niets meer mee via FTP? Kun je modules niet uploaden via de administrator? Grote kans dat er een oude (en onveilige) methode van PHP wordt gebruikt. Vraag je hostingprovider of ze de webserver zo kunnen instellen dat PHP wordt uitgevoerd onder de eigenaar van de PHP scripts in plaats van de webserver. Of stap over.

6. Zorg dat je kritisch naar jezelf kijkt.

Net veel geld uitgegeven aan een mooie, nieuwe website. Je bent immers voor een groot deel afhankelijk van je website. Mooie marketingactie om de site op de kaart te zetten. En dan zet je dat allemaal op een hostingpakketje van een paar tientjes per jaar.
Ga je echt geld verdienen met je website en/of verwacht je een redelijke hoeveelheid bezoekers? Investeer dan in een eigen, managed server of VPS. Dit kost je ongeveer 35 tot 150 Euro per maand, maar kan veel doen op gebied van veiligheid, prestaties en betrouwbaarheid. Je brengt je Rolls Royce toch ook niet naar een willekeurige garage op je lokale industrieterrein?

7. Kies je wachtwoorden.

Kies je wachtwoorden zorgvuldig uit. Je geboortedatum of je achternaam is geen goed wachtwoord. Een goed wachtwoord bestaat uit kleine letters, HOOFDLETTERS, getallen en speciale karakters (zoals !@#$%^&*). Zorg ervoor dat het zo’n 6 tot 10 karakters lang is. Je gebruikt op meerdere plekken wachtwoorden: voor je Joomla gebruikers (zoals admin) is, maar ook voor je FTP en MySQL database. Kies daar andere wachtwoorden voor.

8. Kies voor een opgeruimde website.

Zorg ervoor dat je website netjes opgeruimd is zonder rommel. Heb je gebruikers aangemaakt die niet meer actief zijn? Verwijder ze of maak ze inactief. Hetzelfde geldt voor ongebruikte modules: verwijder ze direct.
Zorg er ook voor dat je op de FTP geen rommel laat staan in mapjes zoals “Oude_website_2007”. Dit soort mapjes worden vaak misbruikt door hackers omdat ze niet meer worden onderhouden.

Kies bovendien de modules die je gebruikt zorgvuldig uit. Installeer niet in het wilde weg allerlei modules met dubieuze afkomst – die zijn vaak niet veilig. Even via Google de reputatie opzoeken is een kleine moeite. Bij twijfel niet installeren, er zijn vaak veel alternatieven.

9. Geen commentaar.

Wil je niet dat gebruikers reageren op je webpagina? Schakel deze dan ook niet in. Dit soort formulieren werken bij spammers/hackers als een rode lap bij een stier. Hetzelfde geldt voor contactformulieren. Het is niet vriendelijk voor je gebruikers, maar overweeg een captcha.

10. Gebruik geen illegale templates of componenten

Geloof het of niet, maar regelmatig gebruiken onze klanten professionele templates zonder hiervoor te betalen. Even snel gedownload via een website of Torrent. Dat klinkt leuk, maar vaak heeft de hacker malware of backdoors verwerkt in de template om zo toegang te krijgen tot jouw website. Een template kost meestal maar 20 tot 100 dollar – dat is het risico niet waard.

11. Alleen voor pro’s: gebruik htaccess en ip restricties

Een tip voor de geavanceerde gebruiker. Door middel van een .htaccess bestand en IP restricties is extra veiligheid te krijgen voor de website. In de documentatie van Joomla is een uitstekend voorbeeld te vinden: http://docs.joomla.org/Htaccess_examples_(security)

Met een IP restrictie kun je zorgen dat alleen bepaalde Internet aansluitingen toegang hebben tot de website of gedeelten daarvan. Een voorbeeld hoe je de administrator kan beveiligen:

  • Zoek op wat je IP adres is. Dat kan ook eenvoudig via deze website.
  • Maak een bestand aan dat heet “.htaccess” (let op de punt aan het begin van het bestand). Zet hierin de volgende regels, waarbij je 1.2.3.4 vervangt door je eigen IP:
    Order Deny,Allow
    Deny from all
    Allow from 1.2.3.4
  • Plaats dit bestand in het mapje “administrator” van je website. Hierdoor is de map administrator alleen te bezoeken vanaf jouw Internetaansluiting.

12. Extra tip: two-factor authentication

Een extra tip omdat het zo cool is. Normaal bestaat het inloggen uit slechts 1 laag van veiligheid, het wachtwoord (“iets dat je weet”). Met two-factor voeg je een extra laag toe met een object (“iets dat je hebt”). Bijvoorbeeld een SMS bericht dat je op je telefoon ontvangt die je moet invullen op het moment dat je inlogt. Het is een beetje knutselen, maar er zijn voldoende projecten rondom veilig inloggen zoals bijvoorbeeld Google Authenticator.
yubikey_2
Een klant van ons gebruikt de Yubikey. Deze moet in de USB aansluiting van je computer, waarna je op een knopje drukt. Vervolgens wordt deze informatie gebruikt om in te loggen op Joomla.

13. Nog eentje dan….maak back-ups

Zorg ervoor dat je regelmatig een back-up maakt van je website. Download de bestanden naar je computer en exporteer de database met een tool zoals PhpMyAdmin. Vraag je provider eventueel voor hulp met het exporteren van de database. Als er dan toch een incident is, heb je altijd een goede versie om op terug te vallen.

Pim Directeur en eigenaar

Pim is directeur van RealHosting en sinds 2001 actief in webhosting. Hij is voornamelijk op strategisch niveau actief maar zijn Linux-hart klopt nog steeds.

pim@realhosting.nl - 088-7508918

web-monitoring-ok