CMS-Tipps
Brute-Force-Angriffe
Der Login-Prozess von Joomla ist sehr rechenaufwändig für den Server. Wenn ein verteilter Angriff versucht, das Admin-Passwort zu erraten, geht schonmal der Server in die Knie. Hier gibt es eine Anleitung, wie man sich gegen Brute-Force-Angriffe wappnen kann. Unbedingt mal anschauen.
Frühere Sicherheitslücken
Schwere Sicherheitslücke in Joomla 22.10.2015
Am 22.10.2015 wurde um 16.00 Uhr eine kritische Sicherheitslücke in Joomla mit dem Update 3.4.5 geschlossen.
Da davon auszugehen ist, dass Joomla-Seiten automatisiert und innerhalb von kürzester Zeit gehackt werden können, wurde als Schutz eine Passwortsperre für die betroffenen Seiten eingerichtet.
Siehe Vergleich mit Drupal-Lücke: [2] - 7 Stunden nach Veröffentlichung des Updates mussten alle ungepatchten Seiten als kompromittiert angesehen werden
Weitere Infos zum Joomla Update hier [3] und hier [4]. Und noch Infos zur Dringlichkeit [5]
Allgemein
Brute-Force
Hinweis: Dies sollte nur als temporäre Notfalllösung eingesetzt werden. Wenn etwas wie dies nötig sein sollte, bitte in jedem Fall sofort die Admins informieren, damit das grundlegende Problem angegangen werden kann. Brute-Force-Abwehr ist nicht Aufgabe von Webseiten-Admins, sondern von den Server-Admins.
Heise hat, über zwei Zeitschriften verteilt, einen guten Tipp beschrieben, wie man den Login-Vorgang absichern kann. Die Beobachtung war, dass Brute-Force-Angriffe fast nur über Server mit eigenem vollständigen Domänennamen kommen. Der Trick ist ganz einfach, dass man die php-Datei, über die der Login-Vorgang abgewickelt wird, nur für Rechner freigibt, die von einem DSL-Anschluss kommen. Das kann man anhand des Namens ermitteln, mit dem sich der Nutzer einloggt (ein Nutzer, der sich über die Telekom einwählt hat beispielsweise den Namen "temp-id.dip0.t-ipconnect.de") Dazu legt man in das Verzeichnis, in dem diese Datei liegt, eine Datei .htaccess mit folgendem Inhalt (es ändert sich je nach CMS nur die erste Zeile): <syntaxhighlight lang="php"> <Files wp-login.php> Order deny,allow deny from all allow from .feg.de allow from .t-ipconnect.de allow from .alicedsl.de allow from .arcor-ip.net allow from .mediaways.net allow from .kabel-deutschland.de allow from .vodafone-ip.de allow from .mnet-online.de allow from .dyn.telefonica.de allow from .unitymediagroup.de allow from .unity-media.net allow from .unitymedia.biz </Files> </syntaxhighlight > Jede Zeile steht für einen DSL-Anbieter, und nur Nutzer, die sich über einen Anschluss davon einloggen, werden zugelassen. Man kann das natürlich enger fassen, und wirklich nur die Anbieter der ein/zwei Seitenadmins erlauben, oder man gibt alle DSL-Anbieter frei (die Liste oben ist nicht vollständig), in jedem Fall blockiert man die Versuche von gekaperten Servern, die per Brute-Force Passwörter erraten wollen.
Wordpress
Wie im Beispiel oben sieht die Datei bei Wordpress so aus, die Datei muss direkt ins Wordpressverzeichnis (dorthin, wo auch die wp-config.php liegt) und die erste Zeile lautet
<Files wp-login.php>
Joomla
Bei Joomla muss die .htaccess-Datei ins Verzeichnis administrator und die erste Zeile lautet
<Files index.php>
Typo3
Bei Typo3 muss die .htaccess-Datei ins Verzeichnis typo3 (also in typo3_src-Version/typo3) und die erste Zeile lautet
<Files index.php>
Wordpress
InfiniteWP
Immer wieder tauchen in Content Management Systemen kritische Lücken auf, die teilweise nach wenigen Stunden schon aktiv ausgenutzt werden. Deshalb sind zeitnahe Updates immer wieder hilfreich und nötig. Der Bund verwendet das Tool InfiniteWP für die Verwaltung und Aktualisierung der Wordpress-Seiten. Gemeinden, die Wordpress verwenden, sind herzlich eingeladen, ihre Seite dort unterzubringen. Am besten klappt es, wenn auf der jeweiligen Seite ein Administrator-Account eingerichtet wird (gerne bundfeg mit der Mailadresse admin@bund.feg.de). Wir installieren dann das nötige Plugin und die Seite wird danach automatisch täglich mit Updates für Wordpress, Plugins und Themes versorgt. Achtet darauf, dass bei Updates natürlich keine manuellen Änderungen am Quellcode von Plugins und Themes übernommen werden. Für Themes empfehlen sich da Child-Themes.
Wordfence
Sehr empfehlenswert ist das Plugin Wordfence. Einfach im Dashboard von Wordpress bei "Plugins installieren" nach Wordfence suchen und installieren. Dann noch eine E-Mail-Adresse angeben (dort kommen nur die Meldungen von der Seite selbst an) und ganz unten im Dashboard gibt es dann den Punkt Wordfence. Dort kann man noch aktivieren, dass sich das Plugin automatisch aktualisiert. Und dann kommen per E-Mail genau dann Meldungen, wenn es Updates gibt, die installiert werden müssen (unbedingt zeitnah machen) oder wenn es andere Probleme mit der Seite gibt.
Themes
Bei folgenden Anbietern gibt es Themes (Seitenvorlagen) zu kaufen, z.T. extra für Gemeinden:
http://themeforest.net/search?utf8=%E2%9C%93&term=&view=list&sort=sales&date=&category=wordpress%2Fnonprofit%2Fchurches&price_min=&price_max=&sales=&rating_min=&platform=
http://churchthemes.com/
