Onlangs schreven we een artikel over WordPress-websites beveiligen. Hoe zit dat echter met Joomla? Na WordPress is Joomla immers het meestgebruikte CMS bij Antagonist. Daarom bespreek ik graag 5 tips die specifiek op het beveiligen van je Joomla-website zijn gericht.
Al enige tijd niet bezig geweest met je website of juist op zoek naar nieuwe tips om je Joomla-website te beveiligen? Dan ben je aan het juiste adres! Inlogbeveiliging, beveiligingsupdates en extensies komen aan bod. Tevens geven we een aantal tips die je eenvoudig via DirectAdmin, de technische beheeromgeving van je webhostingpakket, kunt uitvoeren.
1. Houd je Joomla-installatie up-to-date
Deze eerste tip is gelijk de meest voor de hand liggende tip. We kunnen het niet vaak genoeg benadrukken: het up-to-date houden van de software die je gebruikt, is van levensbelang. Bij elke update die wordt uitgebracht, worden er namelijk ontdekte beveiligingslekken door Joomla gedicht.
Voor Joomla is op dit moment 3.6.4 de meest recente versie. Draai je een oudere versie uit de 3.x-tak, dan kun je een update van Joomla eenvoudig uitvoeren via Installatron. Zorg dat je eerst een backup van je website hebt gemaakt, alvorens je een update doorvoert. Is er dan iets misgegaan tijdens het updaten, dan kun je op deze backup terugvallen.
TIP!
Heb je een Slim-, Plus- of Pro-pakket? Daar maken wij backups voor jou. Die zet je zelf eenvoudig terug als het nodig is.
Voor Joomla-versies uit de 1.5.x- en 2.5.x-tak worden er geen structurele updates meer uitgebracht. Dit heeft als gevolg dat deze versies zeer kwetsbaar zijn voor beveiligingslekken. In geval je nog één van de versies uit die takken draait, is het sterk aan te raden naar de laatste versie van Joomla te migreren.
De overstap van een Joomla 1.5.x of 2.5.x naar versie 3.x is niet iets wat je eenvoudig in een paar klikken via Installatron kunt doen. Het wordt gezien als een migratie in plaats van een update, waardoor er een aantal grote inhoudelijke wijzigingen moeten worden uitgevoerd. Joomla geeft je hier instructies hoe je een migratie van versie 1.5.x of 2.5.x naar 3.x het beste kunt aanpakken.
1.2 Patchman
Om je Joomla-website preventief te beveiligen, wordt er op onze servers gebruikgemaakt van Patchman. Patchman is in staat om beveiligingslekken binnen applicaties, zoals Joomla of WordPress, automatisch te dichten zonder dat je de applicatie zelf hoeft te updaten.
TIP!
Het beheerpaneel van Patchman vind je in DirectAdmin terug door op ‘Patchman’ te klikken (onder de categorie ‘Advanced Features’). Daar zie je of er recentelijk beveiligingslekken in je applicatie zijn gedicht of dat er malafide bestanden in quarantaine zijn geplaatst.
Zo was er onlangs een beveiligingslek ontdekt in versie 3.6.2 van Joomla dat Patchman direct heeft gedicht op onze servers, nog voordat de update van 3.6.3 beschikbaar was. Erg fijn en handig dat Patchman er is dus!
1.3 Houd Joomla-extensies up-to-date
Vergeet niet dat aanwezige extensies binnen Joomla zelf ook verouderd kunnen raken. Het gaat hier om de templates, componenten en plugins. Deze kun je het beste updaten via het dashboard van Joomla.
Zodra je bent ingelogd, komt er bovenin je scherm een rode balk te staan die aangeeft dat er updates beschikbaar zijn. Tevens wordt dit links in je scherm weergegeven onder ‘Onderhoud’. Ook kun je handmatig controleren op nieuwe updates:
- dit gaat via ‘Extensies’ > ‘Beheren’ > ‘Updaten’;
- selecteer hier alle extensies waarvoor updates beschikbaar zijn en klik op ‘Update’.
Controleer vervolgens nog eens handmatig of je thema ook gebruikmaakt van de meest recente versie. Het kan namelijk voorkomen dat je een extra stap moet uitvoeren om het te updaten, bijvoorbeeld wanneer dit een betaald thema is. Om dit te doen:
- ga naar ‘Extensies’ > ‘Templates’;
- bij ‘Stijlen’ kun je vervolgens naar het beheerscherm van het template gaan, waar je bij ‘Templates’ de informatie vindt over de versie die wordt gebruikt.
1.4 Verwijder ongebruikte extensies
Wanneer je aan de slag gaat met het vernieuwen van de website komt het vaak voor dat je bepaalde extensies buiten gebruik stelt of vervangt. Vaak blijven deze ‘oude’ extensies wel op je installatie staan. Deze hebben daardoor een hogere kans om verouderd te raken.
Indien daar geen updates voor worden uitgevoerd, zullen deze voor een hoog risico op beveiligingslekken zorgen. Zoek de extensies daarom op via ‘Extensies’ > ‘Beheren’ en controleer of je niet-gebruikte extensies kunt verwijderen.
2. Gebruik de meest recente PHP-versie
Indien je al langere tijd gebruikmaakt van je webhostingpakket kan het voorkomen dat je nog gebruikmaakt van PHP 5.3, een gedateerde PHP-versie. Door over te schakelen naar een nieuwere PHP-versie zorg je voor meer snelheid en veiligheid voor je website. Dit artikel over PHP 7.0 is hierover interessant om door te nemen om meer over de voordelen te leren.
Voor de laatste versies van Joomla uit de 3.x-tak kun je PHP 7.0 gebruiken. Het kan echter voorkomen dat oudere extensies die je gebruikt deze PHP-versie nog niet ondersteunen. In dat geval is het overschakelen naar PHP 5.6 een goed alternatief.
Je kunt zelf bepalen welke PHP-versie je graag wilt gebruiken op onze webhostingpakketten. Dat gaat als volgt:
- login op DirectAdmin van je webhostingpakket;
- ga naar ‘Select PHP version’, te vinden onder de categorie ‘Advanced Features’;
- selecteer de PHP-versie die je wilt draaien en klik op ‘Save’ om de wijzigingen op te slaan;
- controleer je website. Ervaar je problemen met PHP 7.0, schakel dan over naar PHP 5.6.
3. Controleer de bestandsrechten
Zorg ervoor dat de rechten van je mappen en bestanden op het webhostingpakketpakket correct staan. Ter overzicht:
- de rechten ‘666’ bij bestanden en ‘777’ bij mappen zijn onwenselijk;
- de rechten bij bestanden dien op ‘644’ staan en die van mappen op ‘755’.
Bestandsrechten aanpassen doe je met een FTP-programma, zoals FileZilla. Het kan ook via de File Manager in DirectAdmin. Raadpleeg deze handleiding voor de exacte stappen.
4. Wees zorgvuldig met inloggegevens
We hoeven je waarschijnlijk niet te vertellen dat het zorgvuldig omgaan met inloggegevens erg belangrijk is voor de veiligheid van je website. Sla bijvoorbeeld geen inloggegevens op binnen je FTP-programma of browser. Daarnaast raden we je aan om je computer uit te rusten met een goede virusscanner. Een kwaadwillende kan namelijk ook middels een virus op een lokale computer inloggegevens achterhalen.
4.1 Schakel aanvullende inlogbeveiliging in
Goed om te weten, is dat er al een extra inlogbeveiliging staat ingesteld voor de Joomla-installaties op onze webhostingpakketten. Deze beveiliging zorgt ervoor dat zogeheten ‘brute-force aanvallen’ worden geblokkeerd. Hierdoor maakt een kwaadwillende geen kans om via gerichte aanvallen de inloggegevens van je Joomla-dashboard te achterhalen.
Om nog een stap extra te nemen, kun je twee-factor authenticatie instellen voor je Joomla-installatie. Hierdoor zul je een extra stap moeten nemen om in te kunnen loggen. Daarvoor zijn binnen Joomla standaard twee opties: Google Authenticator en Yubikey.
Deze opties vind je binnen de ‘Post-installatie berichten’. Je kunt ook naar ‘Extensies’ > ‘Plugins’ gaan waar je zoekt op ‘Authenticatie in twee stappen’. Zorg ervoor dat deze plugins staan ingeschakeld en ga vervolgens naar je het profiel van de gebruiker. Daar vind je nu optie ‘Authenticatie in twee stappen’ om dit verder naar wens in te stellen.
4.2 Verwijder ongewenste gebruikers
Ga zorgvuldig om met (ongewenste) gebruikers op je Joomla-installatie. Controleer bijvoorbeeld regelmatig welke gebruikers aanwezig zijn en welke rechten ze hebben. Indien er sprake is van misbruik, kan het voorkomen dat er een gebruiker wordt toegevoegd met ‘Super User’-rechten. Dit kan er in het ergste geval tot leiden dat je zelf geen toegang meer hebt.
Tevens kun je instellen wat voor type gebruikers zich kunnen registreren of het inschrijven van gebruikers volledig uitschakelen:
- daarvoor ga je in het dashboard van Joomla naar ‘Gebruikersbeheer’ > ‘Opties’;
- bij ‘Gebruikersregistratie toestaan’ kun je de registratie volledig uitschakelen.
5. Maak gebruik van beveiligingsextensies
Naast de aanwezige beveiligingsopties in Joomla kun je via extensies ook aanvullende functionaliteit aan je Joomla-installatie toevoegen. Zo zijn er beveiligingsextensies die controleren of de rechten van je mappen en bestanden goed staan of die ervoor zorgen dat je inlogomgeving optimaal beveiligd is. Tevens zijn er extensies beschikbaar die je website kunnen scannen op malware. Elke extensie heeft zijn eigen sterke punten. Graag licht ik een tweetal van deze extensies verder toe.
5.1 Antivirus Website Protection
Antivirus Website Protection heeft een gratis en betaalde versie. Je kunt hiermee o.a. een scan laten uitvoeren, waarbij met malware geïnfecteerde bestanden worden getoond. Deze kun je dan opzoeken op het pakket en handmatig opschonen. Een deel van verdere verdachte bestanden worden ook weergegeven. Bij de betaalde versie krijg je alles te zien en kan de malware ook automatisch worden opgeschoond.
5.2 Admin Tools & Admin Tools Professional
Admin Tools en Admin Tools Professional zijn ontwikkeld door Akeeba. Joomla-gebruikers zullen Akeeba mogelijk al kennen van de backup-functie die ze leveren. Zij bieden echter ook beveiligingsmogelijkheden.
Je kunt bijvoorbeeld een extra wachtwoordbeveiliging voor je inlogpagina toevoegen. Daarnaast blokkeert deze extensie ook ongewenste inlogpogingen en kun je specifieke IP-adressen of -ranges van landen blokkeren. De betaalde versie geeft je hierbij de meeste mogelijkheden.
Sitedokter
Kom je er zelf niet helemaal uit, neem dan gerust eens contact op met onze beveiligingsexperts. Middels onze Sitedokter-dienst kunnen zij je helpen bij het opschonen, updaten en beveiligen van je Joomla-installatie.
P.S. Wil je op de hoogte blijven van alle artikelen, updates, tips en trucs die verschijnen op ons blog? Dat kan! Rechts bovenin via RSS, e-mail, het liken op Facebook, het +1’en op Google+ of het volgen op Twitter.
Hallo Marieke,
Via de website (Joomla) komen iedere dag veel aanvragen binnen.
Echter deze aanvragen komen via landen uit de Oostblok.
Die hebben waarschijnlijk andere bedoelingen.
Hoe kan ik mails uit de Oostblok blokkeren ?
Met vriendelijke groet,
Martin
Hallo Martin,
De aanvragen komen binnen via een contactformulier op je website? Indien nog niet gedaan, zou dan een eerste maatregel zijn om een reCAPTCHA in te stellen: https://www.antagonist.nl/blog/2017/03/recaptcha/
Je kunt eventueel ook verder gaan en op basis van landen bepalen of je website mag worden bezocht. Meer daarover lees je in dit artikel: https://www.antagonist.nl/blog/2019/08/htaccess-tips/
Met vriendelijke groet,
Het Antagonist-team