Joomla100 Support Forum
Joomla!-/CMS-Hosting => Sicherheit und Updates => Thema gestartet von: admin am 19.03.2007 12:01 Uhr
-
Aufgrund von einigen Supportanfragen und dem damit einhergehenden Arbeiten per FTP auf den Installationen von Kunden ist uns aufgefallen, dass noch immer zahlreiche Installationen völlig offen für Angriffe von Außen sind. Daher nochmals der Hinweis:
1. nach der neuen Konfiguration von unseren Servern sind für Sie als Joomla- und FTP-User Ordner mit dem CHMOD 755 beschreibbar, d.h. CHMOD 777 ist nicht mehr nötig.
2. Damit Konfigurationsdateien beschreibbar sind, reicht ein CHMOD von 644, also 766, 777 oder 666 ist nicht mehr nötig.
Um Ihre Joomla-Installation per Knopfdruck schon deutlich sicherer zu machen reicht es, wenn Sie im Adminbereich von Joomla unter Site->Global Configuration->Server folgende Einstellungen vornehmen:
File Permissions: CHMOD new Files to 644 und "Apply to existing files" aktivieren.
Directory Permissions: CHMOD new Directories to 755 und "Apply to existing Directories" aktivieren.
Weiterhin können Sie die configuration.php nach dem Speichern von Joomla auf "unwriteable" stellen lassen, was die Sicherheit wiederum erhöht. Diese Einstellung kann für jeden neuen Speichervorgang von Joomla kurzfristig aufgehoben werden, damit die neuen Einstellungen wieder gespeichert werden können.
Um es nochmal zu wiederholen: CHMOD 777 ist NICHT mehr nötig, 100%ig nicht, vertrauen Sie uns. Wink
Weiterhin können Sie direkt nach der Installation einer Komponente oder eines Moduls Anpassungen an den Dateien oder Ordnern vornehmen, da das www-run Problem nicht mehr existent ist.
-
Gilt das auch für Drupal? :P
-
Ja, wieso denn nicht?
-
Weiss nicht, anderes Dateisystem? *g*
Nee kann ja eigentlich nicht.
-
Hallo lieber admin,
genau wir Ihr mir das empfohlen habt habe ich die File Permissions: CHMOD new Files to 644 und "Apply to existing files" aktiviert
und danach die configuration.php auf "unwriteable" gesetzt...
und nun folgendes Problem beim aufrufen der homepage bzw. des administrators erscheint 403 forbidden
habt ihr einen tipp wie ich das rückgängig machen kann?
MFG
-
Um welche Domain geht es?
Welche Rechte hast du für die Ordner gesetzt?
-
Hoffentlich haben Sie 644 nicht auch für die Ordner ausgewählt?
-
Hallo nein ich habe nur die file permissions geändert!? wie empfolen!
ich hab auch versucht die rechte über ftp zu verändert das funktioniert auch aber dennoch ändert sich nix ich komm einfach nicht mehr auf die seite oder ins backend
???
MFG
-
Könnten Sie mal das FTP-Passwort und die Domain um die es geht per PM durchgeben?
-
okay
hat sich erledigt habs wieder über die ftp ebenen hinbekommen
trotzdem danke
MFG
-
Gelten die eingangs beschriebenen Sicherheits-Einstellungen auch für Joomla 1.5? Im Backend unter Konfiguration/Server finde ich bei mir beim besten Willen keine Möglichkeit, Berechtigungen für Dateien und Ordner zu ändern.
Martin
-
Da gibt es das leider nicht, aber in den Installationen, die wir anlegen sind die Rechte von Vornherein schon richtig gesetzt und wenn Sie Joomla auf den Server hochladen, werden hier auch schon die richtigen Rechte vergeben. Solange Sie also nicht selbst Hand anlegen und die Rechte verändern, ist alles OK. :)
-
Da ich jetzt doch eine Joomla 1.0 Installation mit einem Forum laufen habe, muss ich noch mal nachfragen. Die oben empfohlenen chmod-Einstellungen habe ich vorgenommen und auch die configuration.php unbeschreibbar gesetzt.
Ist eine .htaccess für das Verzeichnis Administrator sinnvoll, die immer wieder empfohlen wird? Können Sie mir einen zuverlässigen Generator empfehlen? Ich würde mir gern die Zeit ersparen, mich so weit einzuarbeiten, dass ich selber eine schreiben kann.
Martin
-
Wie wäre es mit Confixx? Da können Sie einen Verzeichnisschutz für /administrator anlegen. :)
-
O jeh. Dabei hatte ich mir das Confixx-Handbuch anfänglich sogar mal runtergeladen und auch durchgelesen. Aber das hatte ich mir nicht gemerkt.
Gut. Ich habe das Administrator-Verzeichnis über Confixx geschützt und .htaccess und .htpasswd sind ins Verzeichnis geschrieben. Ich kann aber nach wie vor Dateien in das Verzeichnis schieben, ohne dass ich nach dem von mir vergebenen Passwort gefragt werde. Das sollte doch nicht so sein, oder? - Kann mir jemand sagen, wo ich hier auf meiner Leitung stehe? ???
Martin
-
.htaccess reguliert den http-Zugriff auf den Server. D.h., ftp z.B. bleibt davon völlig unberührt, weil da eben über den ftp-Dienst auf die Daten zugegriffen wird.
Bei Zugriff über den Browser erfolgt die Abfrage beim ersten Zugriff auf das geschützte Verzeichnis. Da kommt dann normalerweise so ein Pop-Up, in dem Benutzername und Passwort gefragt wird. Falls der Browser den login automatisch speichert, siehst du die Abfrage nie wieder. Ansonsten glaub ich ist der Zugang sitzungsweise frei, Cookie / IP oder so, da müsste man nochmal nachlesen.
-
Danke. Ich hätte es merken müssen, wenn ich seit dem Einrichten des Passwortschutzes über Confixx das Backend noch mal aufgerufen hätte. Der Erläuterung von htaccess in Wikipedia war das - für mich als Laie - nicht zu entnehmen.
Martin