*

Offline admin

  • *****
  • 6.308
  • Support Joomla100
    • Profil anzeigen
    • 100 Prozent Joomla-Hosting
Wichtiges zum Thema Sicherheit
« am: 19.03.2007 12:01 Uhr »
Aufgrund von einigen Supportanfragen und dem damit einhergehenden Arbeiten per FTP auf den Installationen von Kunden ist uns aufgefallen, dass noch immer zahlreiche Installationen völlig offen für Angriffe von Außen sind. Daher nochmals der Hinweis:

1. nach der neuen Konfiguration von unseren Servern sind für Sie als Joomla- und FTP-User Ordner mit dem CHMOD 755 beschreibbar, d.h. CHMOD 777 ist nicht mehr nötig.

2. Damit Konfigurationsdateien beschreibbar sind, reicht ein CHMOD von 644, also 766, 777 oder 666 ist nicht mehr nötig.

Um Ihre Joomla-Installation per Knopfdruck schon deutlich sicherer zu machen reicht es, wenn Sie im Adminbereich von Joomla unter Site->Global Configuration->Server folgende Einstellungen vornehmen:

File Permissions: CHMOD new Files to 644 und "Apply to existing files" aktivieren.

Directory Permissions: CHMOD new Directories to 755 und "Apply to existing Directories" aktivieren.

Weiterhin können Sie die configuration.php nach dem Speichern von Joomla auf "unwriteable" stellen lassen, was die Sicherheit wiederum erhöht. Diese Einstellung kann für jeden neuen Speichervorgang von Joomla kurzfristig aufgehoben werden, damit die neuen Einstellungen wieder gespeichert werden können.

Um es nochmal zu wiederholen: CHMOD 777 ist NICHT mehr nötig, 100%ig nicht, vertrauen Sie uns. Wink

Weiterhin können Sie direkt nach der Installation einer Komponente oder eines Moduls Anpassungen an den Dateien oder Ordnern vornehmen, da das www-run Problem nicht mehr existent ist.
Vollkasko-Versicherung für Ihre Homepage?
http://www.joomla100.com/service/vollkasko-versicherung

*

Offline driet

  • *
  • 732
  • Volle Kanne, Hoschi!
    • Profil anzeigen
Re: Wichtiges zum Thema Sicherheit
« Antwort #1 am: 09.08.2007 22:37 Uhr »
Gilt das auch für Drupal?  :P
Problemlösungswahrsager, Glaskugelmethode

*

Offline admin

  • *****
  • 6.308
  • Support Joomla100
    • Profil anzeigen
    • 100 Prozent Joomla-Hosting
Re: Wichtiges zum Thema Sicherheit
« Antwort #2 am: 10.08.2007 01:35 Uhr »
Ja, wieso denn nicht?
Vollkasko-Versicherung für Ihre Homepage?
http://www.joomla100.com/service/vollkasko-versicherung

*

Offline driet

  • *
  • 732
  • Volle Kanne, Hoschi!
    • Profil anzeigen
Re: Wichtiges zum Thema Sicherheit
« Antwort #3 am: 10.08.2007 10:11 Uhr »
Weiss nicht, anderes Dateisystem? *g*

Nee kann ja eigentlich nicht.
Problemlösungswahrsager, Glaskugelmethode

Re: Wichtiges zum Thema Sicherheit
« Antwort #4 am: 20.02.2008 01:03 Uhr »
Hallo lieber admin,

genau wir Ihr mir das empfohlen habt habe ich die File Permissions: CHMOD new Files to 644 und "Apply to existing files" aktiviert
und danach die configuration.php auf "unwriteable" gesetzt...
und nun folgendes Problem beim aufrufen der homepage bzw. des administrators erscheint 403 forbidden
habt ihr einen tipp wie ich das rückgängig machen kann?

MFG

*

Offline driet

  • *
  • 732
  • Volle Kanne, Hoschi!
    • Profil anzeigen
Re: Wichtiges zum Thema Sicherheit
« Antwort #5 am: 20.02.2008 08:33 Uhr »
Um welche Domain geht es?

Welche Rechte hast du für die Ordner gesetzt?
Problemlösungswahrsager, Glaskugelmethode

*

Offline admin

  • *****
  • 6.308
  • Support Joomla100
    • Profil anzeigen
    • 100 Prozent Joomla-Hosting
Re: Wichtiges zum Thema Sicherheit
« Antwort #6 am: 20.02.2008 10:25 Uhr »
Hoffentlich haben Sie 644 nicht auch für die Ordner ausgewählt?
Vollkasko-Versicherung für Ihre Homepage?
http://www.joomla100.com/service/vollkasko-versicherung

Re: Wichtiges zum Thema Sicherheit
« Antwort #7 am: 20.02.2008 20:44 Uhr »
Hallo nein ich habe nur die file permissions geändert!? wie empfolen!
ich hab auch versucht die rechte über ftp zu verändert das funktioniert auch aber dennoch ändert sich nix ich komm einfach nicht mehr auf die seite oder ins backend

???
MFG

*

Offline admin

  • *****
  • 6.308
  • Support Joomla100
    • Profil anzeigen
    • 100 Prozent Joomla-Hosting
Re: Wichtiges zum Thema Sicherheit
« Antwort #8 am: 20.02.2008 22:37 Uhr »
Könnten Sie mal das FTP-Passwort und die Domain um die es geht  per PM durchgeben?
Vollkasko-Versicherung für Ihre Homepage?
http://www.joomla100.com/service/vollkasko-versicherung

Re: Wichtiges zum Thema Sicherheit
« Antwort #9 am: 21.02.2008 00:28 Uhr »
okay
hat sich erledigt habs wieder über die ftp ebenen hinbekommen
trotzdem danke
MFG

*

MartinRuthenberg

Re: Wichtiges zum Thema Sicherheit
« Antwort #10 am: 31.03.2008 17:22 Uhr »
Gelten die eingangs beschriebenen Sicherheits-Einstellungen auch für Joomla 1.5? Im Backend unter Konfiguration/Server finde ich bei mir beim besten Willen keine Möglichkeit, Berechtigungen für Dateien und Ordner zu ändern.

Martin
« Letzte Änderung: 31.03.2008 22:02 Uhr von MartinRuthenberg »

*

Offline admin

  • *****
  • 6.308
  • Support Joomla100
    • Profil anzeigen
    • 100 Prozent Joomla-Hosting
Re: Wichtiges zum Thema Sicherheit
« Antwort #11 am: 31.03.2008 17:42 Uhr »
Da gibt es das leider nicht, aber in den Installationen, die wir anlegen sind die Rechte von Vornherein schon richtig gesetzt und wenn Sie Joomla auf den Server hochladen, werden hier auch schon die richtigen Rechte vergeben. Solange Sie also nicht selbst Hand anlegen und die Rechte verändern, ist alles OK. :)

Vollkasko-Versicherung für Ihre Homepage?
http://www.joomla100.com/service/vollkasko-versicherung

*

MartinRuthenberg

Re: Wichtiges zum Thema Sicherheit
« Antwort #12 am: 08.05.2008 15:01 Uhr »
Da ich jetzt doch eine Joomla 1.0 Installation mit einem Forum laufen habe, muss ich noch mal nachfragen. Die oben empfohlenen chmod-Einstellungen habe ich vorgenommen und auch die configuration.php unbeschreibbar gesetzt.

Ist eine .htaccess für das Verzeichnis Administrator sinnvoll, die immer wieder empfohlen wird? Können Sie mir einen zuverlässigen Generator empfehlen? Ich würde mir gern die Zeit ersparen, mich so weit einzuarbeiten, dass ich selber eine schreiben kann.

Martin

*

Offline admin

  • *****
  • 6.308
  • Support Joomla100
    • Profil anzeigen
    • 100 Prozent Joomla-Hosting
Re: Wichtiges zum Thema Sicherheit
« Antwort #13 am: 08.05.2008 15:19 Uhr »
Wie wäre es mit Confixx? Da können Sie einen Verzeichnisschutz für /administrator anlegen. :)
Vollkasko-Versicherung für Ihre Homepage?
http://www.joomla100.com/service/vollkasko-versicherung

*

MartinRuthenberg

Re: Wichtiges zum Thema Sicherheit
« Antwort #14 am: 08.05.2008 22:06 Uhr »
O jeh. Dabei hatte ich mir das Confixx-Handbuch anfänglich sogar mal runtergeladen und auch durchgelesen. Aber das hatte ich mir nicht gemerkt.

Gut. Ich habe das Administrator-Verzeichnis über Confixx geschützt und .htaccess und .htpasswd sind ins Verzeichnis geschrieben. Ich kann aber nach wie vor Dateien in das Verzeichnis schieben, ohne dass ich nach dem von mir vergebenen Passwort gefragt werde. Das sollte doch nicht so sein, oder? - Kann mir jemand sagen, wo ich hier auf meiner Leitung stehe?  ???

Martin
« Letzte Änderung: 09.05.2008 22:00 Uhr von MartinRuthenberg »