| Door: Peter van Westen. | Categorie: Algemeen.

Security: wat tips om je Joomla! website te beveiligen

Afgelopen maandag vond de bijeenkomst van de Joomla gebruikersgroep Amsterdam plaats. Het onderwerp van deze bijeenkomst was Joomla veiliigheid. Naar aanleiding van deze bijeenkomst heeft Peter onderstaand artikel geschreven. Bekijk het overzicht van alle Joomla gebruikersgroepen voor een bijeenkomst bij jou in de regio.

security-locksVeiligheid is belangrijk. Maar net als de sloten op je voordeur, maakt alles wat je doet het niet 100% veilig.

Echter, elk slot of hindernis, dat het moeilijker voor een hacker maakt om je website te hacken is een extra stap in het voorkomen van ellende.

De hoeveelheid tijd en geld die je wil/kan investeren in het beschermen van je website is uiteindelijk aan jou. Maar het moet wel enigszins in verhouding zijn tot de waarde van de website zelf.

Hier zijn een aantal relatief eenvoudige tips over het beveiligen van je Joomla! website…

  • Zorg voor een goed host
    Je host is een zeer belangrijk onderdeel van de gehele beveiliging van je website. De manier waarop je host de server en de software die erop draait (apache, php, admin paneel, etc) heeft ingericht is van kritiek belang.
    Helaas zijn een heleboel hosts (vooral de goedkopere) die niet veel tijd en kennis investeren in de zaken up-to-date en veilig te houden. Dus doe wat onderzoek in welke host dit wel biedt.
  • Let op jezelf
    Nog belangrijker in de veiligheid is de persoon die dit leest: jijzelf. Als je de deur op slot doet, leg de sleutel dan niet onder de deurmat. Dus niet aan anderen vertellen wat voor wachtwoord je gebruikt. Gebruik niet overal hetzelfde wachtwoord voor. Schrijf niet je wachtwoorden op (digitale)  papiertjes die in verkeerde handen terecht kunnen komen.
  • Let op anderen
    Als bepaalde mensen toegang tot je site nodig hebben, geef ze niet je eigen admin login gegevens. Maak gewoon een (tijdelijke) nieuwe account voor ze aan, die je kunt verwijderen nadat ze klaar zijn. Geef ze niet meer toegang dan ze echt nodig hebben.
  • Maak back-ups
    Dit is niet echt om de veiligheid verhogen, maar is belangrijk voor als er iets gebeurt. Als iemand wel je website weet te hacken, moet je een manier hebben om de boel weer te herstellen. Een goede host zal automatische back-ups van je database en bestanden voor je maken. Maar maak ook back-ups op je eigen computer.

Nu nog wat meer technische tips:

  • Verander de database voorvoegsel (prefix)
    Joomla! zal standaard de database tabellen met het voorvoegsel "jos_ '. Veel url hack pogingen zullen dingen proberen die gebaseerd zijn op het gebruik van 'jos_' tabellen.
    Je kunt ervoor kiezen om deze prefix te veranderen tijdens de installatie van Joomla!. Met ' kunt' bedoel ik: je MOET dit veranderen.
    Als je de prefix na installatie wilt veranderen zal je wat meer moeten doen. Zie voor meer over dit onderwerp: //magazine.joomla.org/topics/item/108-the-prefix-has-nothing-to-do-with-telephony
  • Verander de Super Admin
    Standaard wordt de eerste gebruiker de Super Administrator en heeft deze gebruikers id 62. Zorg ervoor dat de gebruiker 62 niet een Super Admin is.
    Je kunt dit id nummer via de database veranderen. Maar daarvoor moeten er veranderingen in een aantal tabellen plaatsvinden.
    Een eenvoudigere oplossing is een nieuwe gebruiker aanmaken en deze Super Admin te maken. Dan ‘downgrade’ je de eerste gebruiker (62) naar een geregistreerde gebruiker.
    Wijzig ook de log-innaam. Gebruik geen 'admin' voor het Super Admin-account.
  • Verwijder overbodige bestanden van je website
    Er zijn een aantal bestanden in je root die gevaarlijk zijn om daar te laten. Vaak worden bij het hacken deze bestanden gewijzigd zonder dat je het merkt.
    Dus verwijder alle hoofdletters bestanden in de root. De bestanden die je echt nodig hebt, zijn: index.php, index2.php, configuration.php, robots.txt en het .htaccess-bestand.
    Verwijder ook de templates die je niet gebruikt. Dus verwijder deze mappen in de map templates: beez, ja_purity en rhuk_milkyway
  • Gebruik het .htaccess-bestand
    Het .htaccess-bestand heeft een aantal ‘rewrite’ regels die wat veiligheids problemen met betrekking tot url inbraakpogingen voorkomen. Activeer ook het ‘Deny access to extension xml files’ gedeelte door de comment tekens (#) daar weg te halen.
  • Blijf up-to-date
    Hoewel het logisch zou moeten zijn dat je je website up-to-date moet houden, zijn er veel websites die niet de nieuwste releases gebruiken.
    Dus zorg ervoor dat je de nieuwste versie van Joomla! gebruikt.
    Maar controleer ook regelmatig of je extensies wel up-to-date zijn.
  • Wees voorzichtig met extensies
    Er zijn duizenden Joomla! extensies. En deze zijn gemaakt door allerlei mensen met verschillende niveaus van expertise. Extensies zijn en blijven een zwakke schakel in de beveiligingsketen. Tenzij je een geweldige programmeur bent en door alle code heen gaat, kun je er niet zeker van zijn deat het echt veilig is om een bepaalde extensie te gebruiken.
    Kijk een beetje rond voordat je een extensie gaat installeren. Zoek in fora of Google om te zien of er bekende beveiligingsproblemen zijn met de extensie.
    Installeer ook geen extensies die je niet echt nodig hebt. En deïnstalleer extensies die je niet meer gebruikt.
    Eenmaal geïnstalleerd - zoals hierboven genoemd - zorg ervoor dat je de recentste versies gebruikt.

Dit zijn slechts enkele van de vele tips die je kunt toepassen. Maar ik denk dat dit een goed begin is.

{loadposition petervanwesten}

Heb jij net als Peter zelf een artikel geschreven dat je graag met andere Joomla gebruikers wilt delen? Neem dan contact met ons op.