In deze tijd met grote overmaat aan cyber aanvallen, is het leuk om de veiligheid van het Joomla CMS eens onder loop te nemen. Op de vraag of Joomla een veilig CMS systeem is, kan ik volmondig JA, MAAR... zeggen. We hebben namelijk te maken met software en een grote maten waarin cybercriminelen steeds handiger en slimmer worden. Niets is dus 100% waterdicht! Kijk maar naar de aanvallen op de ING en Rabobank enz. Om de kansen op een gehackte site tot een minimum te beperken is het belangrijk in ieder geval de volgende stappen te doorlopen.
Backup, backup & backup!
De beste beveiliging is een regelmatige backup van je site. In geval van problemen kun je eenvoudig de backup terugzetten. Je kunt deze backups onder andere uitvoeren met "Akeeba Backup". Het is zelfs mogelijk om deze backups automatisch uit te laten voeren door middel van een "CRON-job". Meer informatie over Akeeba Backup vind je hier.
Voer regelmatig de Joomla updates uit
Regelmatig komen er updates uit voor Joomla. Voer deze altijd zo snel mogelijk uit na uitbrengen van de update. Check van te voren wel even of er geen bugs in de update zitten. Het moet natuurlijk niet zo zijn dat je site onbereikbaar wordt door een foutieve update. Stelregel is dat voordat je een update uitvoert, je in ieder geval een backup maakt van je Joomla installatie.
Verander de Super Administrator standaard gebruikersnaam: admin
Een veel voorkomende manier van hacken is "Brute Force Hacking". Dit houdt in dat een programma willekeurige gebruikersnamen en wachtwoorden invult om te kijken of er toegang tot het systeem te verkrijgen is. Het is daarom van cruciaal belang de standaard loginnaam "admin" te veranderen in iets anders.
Pas op met externe extensies
Joomla kan eenvoudig worden uitgebreid met extra functionaliteiten in de vorm van extensies. Hoewel Joomla een veilig systeem is kan een niet goed geschreven extensie een lek vormen in de beveiliging. Check daarom altijd even of de extensie veiligheidslekken bevat. Op de Joomla documentatie site kun je eenvoudig het veiligheidniveaus checken van de meest gebruikte extensies: http://docs.joomla.org/Vulnerable_Extensions_List
Gebruik lange wachtwoorden
Zorg er voor dat je wachtwoorden lang zijn (min 10 karakters) en gebruik maken van (hoofd)letter en cijfers. Eventueel mogen ook leestekens gebruikt worden in het wachtwoord.
Gebruik een beveiligde URL
Om in te loggen in de backend van de website maakt Joomla gebruik van de vaste URL: jouwdomeinnaam.nl/administrator. Omdat dit universeel is, kunnen "Brute Force Hackers" zich eenvoudig toegang verschaffen tot de loginpagina. Dit in combinatie met een zwakke gebruikersnaam en wachtwoord, zorgt voor een groot beveiligingsrisico. Middels deze plugin is het mogelijk om de URL van de administrator-pagina te veranderen.
http://extensions.joomla.org/extensions/access-a-security/site-security/login-protection/15711
Overige bescherming
Om je site nog verder te beschermen tegen een groot scala type aanvallen kun je de volgende plugin gebruiken: http://www.siteground.com/joomla-hosting/joomla-extensions/ver1.5/jhack.htm
Een goede virusscanner
Regelmatig krijgen wij klanten binnen met een gehackte Joomla website. In veel gevallen had dit niets met de Joomla site zelf te maken, maar met het feit dat een virus de FTP wachtwoorden had gestolen van het domein. Omdat de hacker met de verkregen gebruikersnaam en wachtwoord toegang heeft tot de site, kan hij naar eigen believen de code van Joomla aanpassen en/of verwijderen. Zorg daarom voor een solide virusscanner met firewall.
Voor vragen over de beveiliging van je Joomla website, automatische backups en onderhoud van Joomla websites, neem contact op met R2H. Wij kunnen je vrijblijvend adviseren over de mogelijkheden en oplossingen.