[fleming]

Bei dem ganzen gehacke, kann einem ja angst und bange werden   

Wenn man mal im Internet sucht wie man Joomla absichern kann, findet man so einiges.
Das meiste was ich gefunden habe kommt von:
http://www.joomla-downloads.de/component/option,com_smf/Itemid,45/topic,57.0/

Was davon ist denn zu empfehlen bzw. praktikabel? Gibts noch andere Sinnvolle Tipps und Tricks? Wie sind eure Erfahrungen?

Verzeichnisrechte korrekt setzten (Joomlabackend)
Ok, das ist ein Selbstverständlich. Reicht es aus, die Joomla-Funktion im Backend zu nutzen oder werden da einzelne Dateien oder Ordner nicht angefasst? Können einzelne kritische Ordner nicht noch stärker eingeschränkt werden (siehe nächsten Punkt)?

chmod 444 für index.php, alle templatedateien und config.php
Ok, die Dateien sollen nicht geändert werden, da macht 444 Sinn, oder nicht? Dies würde ein Defacement gut verhindern, oder? Kann ich mir als User eigentlich so die Rechte entziehen, dass ich sie selber nicht mehr wiederherstellen kann sprich doch mal die index.html ändern kann? Und wenn ich die Rechte wieder raufsetzen kann, warum kann das ein Hacker nicht?

Unsichere Komponenten löschen/ersetzen
Ok, das macht sinn 

Zugriffsschutz per .htaccess für Administratorordner
Würde bedeuten, dass eine zusätzliche Anmeldung notwendig ist bevor man sich am Backend anmelden kann. Das würde verhindern, dass Dateien aus unsicheren Erweiterungen direkt aufgerufen werden können, zumindetstens die Administrationsfiles nicht mehr...
Funktioniert das in der Praxis? Kommen da alle Komponeneten etc mit klar?

Einträge in die .htaccess
Unter:
http://forum.joomla.org/index.php/topic,75376.msg388584.html#msg388584
gefunden.

Zusätzliche Einträge in der .htaccess um typische Exploits zu verhindern. Hat das Einfluss auf die Serverperformance? Sind diese Probleme nicht durch neuere Joomlaversioenen behoben? Hilft das (in Grenzen) auch gegen schlecht programmiert Erweiterungen? Diese Zeilen sind in der htaccess enthalten die mit joomla mitkommt. Diese ist allerdings standardmässig nicht aktiviert. Kann man die einfach aktivieren oder stecken da noch andere Überraschungen drin?
########## Begin - Rewrite rules to block out some common exploits
#                             
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
# Block out any script that includes a <script> tag in URL
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## End - Rewrite rules to block out some common exploits

Soviel zu dem was ich gefunden habe. Viele der Tricks wären erstaunlich einfach umzusetzen. Bringt das was oder ist das purer Aktionismus? ;-)

Fleming

[admin]

Um es kurz zu machen: ja, es bringt was. Wenn diese Ratschläge befolgt worden wären, gäbe es den einen Beitrag "Joomla gehackt" nicht.