—————-

Steeds meer particulieren en bedrijven gebruiken Joomla: 2,5 procent van alle websites draait al op dit open source cms. De veiligheid van Joomla blijft echter een zorgenkindje.

Joomla is gratis en er zijn ruim 8.600 extensies beschikbaar waarmee alle mogelijkheden van een cms worden benut. Daarnaast is de opmars van het platform niet te stuiten vanwege de grote community van gebruikers. Die populariteit van Joomla heeft echter ook een keerzijde: kwaadwillende hackers loeren op je data.

Oude versies en extensies

Hackers kunnen op allerlei manieren proberen om je site over te nemen of plat te leggen: van remote file inclusion (RFI) tot cross-site scripting (XSS) en de nog immer populaire sql-injectie. Het beveiligen van je site is een volledige dagtaak geworden. Een correct geconfigureerde Joomla-applicatie op een correct beheerde server is ongeveer even veilig als andere kant-en-klare oplossingen. Waarom geniet Joomla dan zo’n slechte reputatie als kwetsbaarste oplossing? Om hierop antwoord te geven kun je het beste in de spiegel kijken.

Iedere infrastructuur is zo veilig als de zwakste schakel. Bij de meeste veiligheidsincidenten met Joomla is dat niet de broncode. De meeste problemen zijn te wijten aan oude, ongepatchte versies van Joomla of onveilige, gedateerde en slecht geschreven extensies van derde partijen.

Als systeembeheerder heb je de taak om je cms goed te patchen, te updaten en te beveiligen. Om dit doel te bereiken en de veiligheid van je Joomla-cms te verbeteren, kun je de volgende tips navolgen.

1. Servers en hosting

Besluiten over hosting en servers kunnen cruciaal zijn voor je beveiliging. Veel serverfouten worden veroorzaakt door ongepatchte servers, open poorten of zwakke shared hosting. Bij shared hosting kan je website goed zijn ingesteld maar alsnog worden gehackt via andere sites op de gedeelde server. Als je huidige host problemen heeft met de standaard serverinstellingen, dan kun je beter op zoek naar een vervanger. Stap 1 is dus: zorg voor een betrouwbare, veilige host en houd je server patches goed bij.

Host je site op een server die PHP 5.2 draait of liever nog in CGI mode met Su_PHP. Su_PHP is voor PHP scripts wat Su_Exec is voor Perl-bestanden: je kunt er scripts mee uitvoeren onder je eigen specifieke gebruikersaccount in plaats van het standaard Apache account. Hierdoor is het eenvoudiger veiligheidslekken te vinden en identificeren.

Zorg ervoor dat je de meest recentte Apache-versie hebt en dat je Apache-configuratie browsing/indexing onmogelijk maakt. IT-beheerders moeten ook de correcte instellingen vastleggen voor de .htaccess, serverconfig en php.ini-bestanden.

2. Gebruik het htaccess-bestand

Standaard is het htaccess-bestand niet in gebruik. Zorg ervoor de naam .htaccess.txt eerst te veranderen in .htaccess. Zet het bestand vervolgens in je root-map. Je kunt ook enkele rewrite rules toevoegen om de meest gangbare lekken te voorkomen. Hier kun je aanwijzingen vinden om het htaccess-bestand te bewerken en zo een extra veiligheidslaag voor je systeem te creëren.

3. Gebruikersaccounts en toegangsrechten

Joomla functioneert meteen uitstekend als je het installeert op een behoorlijk geconfigureerde webserver. Zet voor de zekerheid al je bestanden CHMOD op 644 en je mappen op 755. Er zijn echter uitzonderingen op deze regel, zoals configuration.php waarvan CHMOD op 640 moet staan. Niets mag op 777 worden ingesteld.

De standaard gebruikersnaam voor de systeembeheerder is “admin”. Wijzig dit in iets anders. Hierdoor wordt het al lastiger voor hackers om gegevens over accounts te achterhalen.

4. Back-ups en incident management

Je moet je incident management (IM) plan natuurlijk opstellen voordat je site is gekraakt en niet achteraf. Neem dus de tijd om uit te vinden wat er kan gebeuren als je site ten prooi valt aan hackers. Denk aan het gezegde: ‘Back-up vroeg en vaak’. Als deze stap goed is uitgevoerd, valt er een last van je schouders indien je site wordt gekraakt. Zorg ervoor dat er dagelijks back-ups worden gemaakt zodat je de site kunt herstellen zonder al teveel downtime of dataverlies. Hierdoor kun je je aandacht volledig richten op het werkelijke probleem: op welke manier was je site aangevallen?

5. Beheer je extensies zorgvuldig

Mede vanwege de extensies van derde partijen is Joomla een groot succes. Toch zijn het meestal diezelfde extensies waardoor je site kan worden aangevallen. Iedere extensie moet je updaten en patchen, zodat het van belang is alleen de extensies te installeren die je echt nodig hebt. Neem de volgende stappen:

- Voer voor al je extensies een code review uit.

- Draai een testversie, waarvan er veel beschikbaar zijn, en evalueer de resultaten.

- Update of patch je code als dat nodig is.

En onthoud: zelfs van één onveilige extensie kan je site plat gaan.

6. Verwijder versienummers van extensies

Dikwijls zijn exploits gericht op een bepaalde versie van een extensie. Daarom is het een goed idee om het versienummer van alle geïnstalleerde extensies te verwijderen. Dit kan een aanval op je site verijdelen.

Met een tool als Dreamweaver kun je je extensies bewerken en alleen de naam tonen. Doe een algemene zoek- en vervangopdracht in de extensiemap. Daarna kun je alle versienummers uit je code verwijderen.

7. Verwijder ongebruikte bestanden

Hoe vaak heb je een extensie geïnstalleerd en vervolgens nooit hebt gebruikt? Op een ongebruikte extensie zul je minder goed letten. Hierdoor kunnen er onvoorziene zwakke plekken in de beveiliging zitten. Haal deze extensies dus helemaal van je systeem af.

8. Wachtwoordbescherming

Aanvallen met brute kracht zijn zeer gebruikelijk en gericht op zwakke wachtwoorden. Joomla wachtwoorden zijn standaard MD5 versleuteld + SALTED, maar bedroevend weinig bedrijven hebben vaste regels voor het toekennen van wachtwoorden. Verzin een wachtwoord met cijfers, hoofd- en kleine letters en symbolen en wijzig dit maandelijks.

Alle belangrijke bedrijfsinformatie staat in je database. Een sql-injectie of andere kraak van je database kan je humeur grondig bederven. Zorg dat je database daarom is beschermd op MySQL niveau. Probeer eens tools als Nikto of NMap om je systeem te controleren op kwetsbare plekken. Op basis van deze informatie kun je de veiligheid van je database vergroten.

De beheerskant van Joomla moet je op mapniveau beveiligen met een wachtwoord. Dit geeft extra bescherming. Zorg dan wel dat je een andere gebruikersnaam en een verschillend wachtwoord instelt dan bij je Joomla waarmerkingkenmerken, anders verdoe je je tijd. Als beheerder moet je nu weliswaar twee keer inloggen, maar dat is de prijs van een goede beveiliging.

9. Verander de standaard prefix van je database table

De meeste sql-injecties dringen binnen via de jos_users database table. Zodra hackers dit bestand hebben gekraakt, dan kunnen ze al je gebruikersnamen en wachtwoorden achterhalen. Door een meer willekeurige naam te gebruiken, kun je de meeste database aanvallen al voorkomen.

Securityprofessionals zullen dit allang gedaan hebben bij het installeren van Joomla. Zo niet, dan moeten gebruikers van Joomla 1.5 dit doen met de DB admin component. Voor gebruikers van Joomla 1.6 is het minder eenvoudig. Meer details zijn te vinden in de SnagJag blog Change Joomla Table Prefix { http://www.snapjag.com/2009/07/change-joomla-table-prefix/}.

Bij andere Joomla-versies, waaronder Joomla 1.7, worden willekeurige table-namen gebruikt tijdens het installeren, ter bescherming tegen dergelijke aanvallen.

10. Gebruik ssl-certificaten

Gebruik ssl op je site en zet Joomla in de ssl-mode voor alle logins. Let er wel op dat je een goed geconfigureerd ssl-certificaat hebt voor je sitedomein, anders is het onmogelijk ssl probleemloos in Joomla te gebruiken. Gedeelde ssl-certificaten zullen bijvoorbeeld niet werken.

11. Schakel de Joomla ftp layer uit

De ftp layer moet meestal toch al worden uitgeschakeld, omdat bepaalde extensies van derde partijen anders niet functioneren. Bovendien gebruiken veel servers suEXEC, zodat de ftp layer niet meer nodig is. Schakel Joomla’s ftp layer dus uit en let erop dat er geen inloggegevens zijn opgeslagen.

12. Register_globals uitschakelen

Zet ook register globals uit, maar let op dat je daarmee ook bepaalde php-scripts kunt uitschakelen, wat van invloed is op andere programma’s. Om dit te doen, moet je het php.ini bestand van je site bewerken, te vinden in the rootdirectory van je domein.

13. Zoekmachine vriendelijke url’s

Gebruik altijd zoekmachine vriendelijke url’s. Dit helpt niet alleen voor je Google ranking, maar zal voorkomen dat hackers lekken vinden via Google search en ander tools.

Wees alert

Zoals je ziet, is de veiligheid van Joomla afhankelijk van verschillende factoren. Security is niet statisch maar continue in beweging. Een aantal zaken moet regelmatig worden geüpdate en onderhouden. Je kunt het programma niet simpelweg installeren en verder vergeten. Om overzicht te houden, moet je je site kennen en patches en extensies in de gaten houden en nu en dan grote schoonmaak houden. Veel succes en blijf altijd alert.

Publicatie van Webwereld.nl
Gepubliceerd: Maandag 23 april 2012
Auteur: Richard Hein

———

Eén van onze servers wordt in de nacht van 31 Januari op 1 Februari verhuisd naar een ander datacenter, hierbij wordt de server fysiek verhuist van locatie waardoor downtime niet is te voorkomen. De server wordt tussen 22.00 en 06.00 uur gemigreerd. Wij realiseren ons dat deze verhuizing overlast met zich mee kan brengen waarvoor onze excuses. De netwerkleverancier en het IP adres blijven hierbij ongewijzigd.

Als u meerdere websites bij ons host heeft deze verhuizing alleen betrekking op uw websites met server ip-adres 91.218.125.~
Omdat onze naamservers elders zijn gehost wordt mail nagestuurd zodra de betreffende server weer online is.

De betrokken klanten zijn hierover apart geïnformeerd.

De dagen dat u problemen ondervond met bestandsrechten of het verwijderen van bestanden behoren hiermee tot het verleden. Met de installatie van suPHP wordt voorkomen dat processen de eigenaar van een bestand worden waardoor het voor de gebruiker niet meer mogelijk is om deze bestanden te bewerken of te verwijderen.

Een veiliger bestandssysteem
Bestanden hoeven niet langer op 777 te staan om beschrijfbaar te zijn.
Onder suPHP mogen de schrijfrechten voor bestanden maximaal op 755 staan, voor mappen op 711.
Beschrijfbare bestanden mogen op 644 staan en “alleen lezen” bestanden op 444.

Dit verbeterd de veiligheid aanzienlijk doordat het voor externe gebruikers niet meer mogelijk is om zich toegang tot de beschrijfbare bestanden te verschaffen. Waar mogelijk zetten wij de bestandsrechten voor u op de juiste waardes. Mocht u hier toch problemen mee ondervinden dan kunt u hiervoor een ticket openen in het support systeem.

Hoe weet ik of de server waar mijn hostingpakket op staat gebruik maakt van suPHP?
De servers met ip serie 79.~ en 141.~ zijn geconverteerd. Via een domain lookup kunt u zien welk ip-adres uw domeinnaam heeft.

Nog enkele aandachtspunten voor gevorderde gebruikers
PHP flags werken niet meer vanuit het .htaccess bestand. Als u bijvoorbeeld een functie als register globals wilt gebruiken, dan kunt u onderstaande beschrijving volgen.

In het .htaccess bestand van public_html, kunt u het volgende toevoegen:

suPHP_ConfigPath /home/gebruiker/public_html

order allow,deny
deny from all

Let op: Verander gebruiker naar uw gebruikersnaam.

Maak een php.ini bestand in de map public_html en zet daar de instellingen in die u nodig heeft:

register_globals = On
upload_max_filesize = 30M
post_max_size = 30M
memory_limit = 30M
upload_tmp_dir = 30M
max_execution_time = 180

Het gebruik van php.ini kan problemen veroorzaken met Zend optimizer of Ioncube. U kunt het volgende toevoegen aan php.ini om dit probleem te voorkomen:

Dit is wellicht niet nodig, test even of het mogelijk al werkt voordat u dit gaat gebruiken.

[Zend]
zend_extension=/usr/local/ioncube/ioncube_loader_lin_5.2.so
zend_optimizer.optimization_level=15
zend_extension_manager.optimizer=/usr/local/Zend/lib/Optimizer-3.3.3
zend_extension_manager.optimizer_ts=/usr/local/Zend/lib/Optimizer_TS-3.3.3
zend_extension=/usr/local/Zend/lib/ZendExtensionManager.so
zend_extension_ts=/usr/local/Zend/lib/ZendExtensionManager_TS.so

MIMEtypes

Als u een Mimetype heeft gebruikt om html bestanden als php script te kunnen draaien, dient u deze te verwijderen en onderstaande op te nemen in Customapache via Directadmin:

Extension: .html
Handler: application/x-httpd-php

Mogelijke problemen
Als u een 500 error krijgt heeft u oftewel code in het .htaccess bestand staan dat daar niet hoort, of u heeft de bestandsrechten van uw bestanden of mappen niet goed staan. Bestanden op max. 755. Mappen op max. 711.

Drupal en andere Content Management Systemen:
In oudere versies kunt u fouten verwachten zoals “Call to undefined function: user_access()”.
Hoewel het verstandiger is om te upgraden naar een nieuwere versie, kunt u dit probleem verhelpen door de volgende code in uw php.ini bestand op te nemen:

session.save_handler = files
session.cache_limiter = nocache

Hierna is het wachten totdat uw domeinnaam naar uw webruimte verwijst. Dit duurt doorgaans enkele uren en kan verschillen per gebied. Dit komt doordat de naamservers van de verschillende Internet aanbieders (KPN, Ziggo etc) niet allemaal gelijktijdig worden bijgewerkt.

Directadmin beheerpaneel 

Zodra uw domeinnaam naar het hosting pakket verwijst, verschijnt er een pagina van Quicklyhosted wanneer u de domeinnaam in de adresbalk van uw Internet browser invoert. U kunt nu inloggen in het Directadmin controlepaneel door naar het volgende adres te surfen http://uwdomeinnaam.nl:2222

In het Directadmin controlepaneel kunt u klikken op filemanager om uw bestanden te beheren. Uw website bestanden dienen in de map public_html geplaatst te worden. In deze map bevinden zich reeds enkele bestanden:  index.html  en logo.jpg  dit zijn de bestanden die worden gebruikt voor de tijdelijke Quicklyhosted pagina. Deze bestanden kunt u verwijderen of overschrijven met uw eigen bestanden. Meer informatie over het gebruik van Directadmin kunt u vinden op onze FAQ pagina.

U kunt uw website bestanden ook uploaden via FTP, dit heeft de voorkeur wanneer u veel bestanden of een grote website wilt uploaden, hiervoor heeft u een FTP Client nodig. Een eenvoudige en gratis verkrijgbare FTP Client is CoreFTP
Maak hiermee verbinding met onze FTP server en upload uw bestanden naar de map public_html.

Als u meerdere domeinen op één hosting account beheert dient u eerst het juiste domein te kiezen in de map Domains.

Een website maken

U kunt een website maken door hiervoor een programma aan te schaffen of een van de vele vrij verkrijgbare open source programma’s te gebruiken. U maakt dan een website op uw computer en als deze klaar is kunt u deze uploaden naar uw webruimte.

U heeft bij ons ook de mogelijkheid om gebruik te maken van Installatron, hiermee kunt u snel een website met een bepaalde functie, of een website op basis van een CMS maken. Binnen Installatron zijn diversen applicaties beschikbaar zoals:  een forum, fotoalbums, shops (Magento, Oscommerce) en diversen Content Management Systemen waaronder WordPress, Joomla en Drupal.

WordPress wordt vaak gebruikt als basis, en stelt u in staat om snel een complete website te bouwen.
Een filmpje over hoe u snel en eenvoudig WordPress kunt installeren met Installatron kunt u vinden op deze pagina.

Om binnen CentOS te controleren of de tijd goed is ingesteld kun je het volgende commando uitvoeren:

[ ~]# date
Tue Aug 30 21:50:43 CET 2011

Hier staat CET voor de tijdzone “Central European Time”, dit is de tijdzone voor de wintertijd. In de zomertijd zal CEST zijn, wat staat voor “Central European Summer Time”. Mocht de tijd bij jou niet correct staan dan kun je hier voor NTP installeren.

Dit kun je doen door het volgende commando uit te voeren:

[ ~]# yum install ntp

Als het goed is wordt nu NTP geïnstalleerd of krijg je de melding “Nothing to do” als dit pakket al op je machine staat. Vervolgens kun je het volgende commando uitvoeren om de tijd te synchroniseren:

[ ~]# ntpdate ntp.xs4all.nl

Als je de melding krijgt dat de NTP socket al in gebruik is dan is er waarschijnlijk al een NTP proces (daemon) actief. Dat zou betekenen dat NTP al is ingesteld op de server. Eventueel kun je deze uitschakelen door het volgende commando uit te voeren:

[ ~]# /etc/init.d/ntpd stop

Als het goed is moet je vervolgens wel het ntpdate commando kunnen uitvoeren.

[ ~]# ntpdate ntp.xs4all.nl
30 Aug 22:05:57 ntpdate[24291]: adjust time server 91.218.125.138 offset -0.010934 sec

Vervolgens kun je de NTP deamon weer starten door het volgende commando uit te voeren:

[ ~]# /etc/init.d/ntpd start

Processen worden normaal gesproken niet automatisch gestart. Als je het NTP proces automatisch wilt laten starten dan dien je het volgende commando uit te voeren:

[ ~]# chkconfig ntpd on

Het kan overigens ook zijn dat de tijdzone niet correct staat ingesteld op je machine. Voor het instellen van de tijdzone moet je een symlink maken naar een zoneinfo bestand. Voor de Nederlandse tijdzone zal dat er zo moeten uitzien:

/etc/localtime -> /usr/share/zoneinfo/Europe/Amsterdam

Je kunt deze symlink aanmaken door het volgende commando uit te voeren:

[ ~]# ln -sf /usr/share/zoneinfo/Europe/Amsterdam /etc/localtime

Quicklyhosted streeft er naar dat uw website altijd bereikbaar is!

Verschillende soorten webhosting 

Shared webhosting (of shared hosting) is de meest voorkomende variant. Dit is voordelig omdat er meerdere websites op één webserver worden geplaatst. Een nadeel is dat wanneer één gebruiker op de server het systeem zwaar belast de andere gebruikers hiervan hinder kunnen ondervinden.

Reseller hosting is bestemd voor mensen die meerdere websites willen beheren of webruimte willen doorverkopen aan hun eigen klanten. Reseller hosting voorziet in meer schijfruimte en bandbreedte die verdeeld kan worden over alle websites die de gebruiker er op wil plaatsen. De achterliggende techniek is te vergelijken met shared hosting.

VPS hosting (of Virtual Private Server) hierbij wordt één fysieke server onderverdeeld in meerdere virtuele servers. Een virtuele server bezit alle eigenschappen die een dedicated server heeft maar de processor capaciteit en de bandbreedte worden gedeeld door de virtuele servers die op de fysieke server zijn geplaatst. Een VPS heeft als voordeel dat deze naar eigen inzicht ingericht en geconfigureerd kan worden.

Dedicated hosting is eigenlijk een verkeerde term, men spreekt dan van een dedicated server. Daarbij krijgt men daadwerkelijk een eigen server ter beschikking die naar eigen inzicht geconfigureerd kan worden.

Managed hosting is een van bovenstaande vormen waarbij men het beheer en onderhoud volledig uit handen geeft.

Quicklyhosted levert alle bovenstaande vormen van hosting echter hebben we er voor gekozen om niet alle vormen actief aan te bieden. Wanneer u geïnteresseerd bent in een dedicated server of managed hosting kunt u uiteraard contact met ons opnemen.

De klanten op wie dit betrekking heeft zijn tevens via mail geïnformeerd.

Nu onze blog geïntegreerd is in de rest van onze website hebben we ook meer mogelijkheden om artikelen te plaatsen, zodat we u beter kunnen informeren over de ontwikkelingen van Quicklyhosted.

Onderaan de pagina vindt u nu ook onze social media links. Via Twitter posten we regelmatig nieuwe berichten, en status meldingen wanneer er zich onverhoopt een storing zou voordoen. Voeg ons toe aan uw account en blijf nog sneller op de hoogte van de laatste nieuwtjes. Op Youtube zullen we op korte termijn instructie filmpjes plaatsen over hoe u onze diensten het makkelijkst kunt gebruiken, zoals het werken met Directadmin en het installeren van scripts via Installatron.
Natuurlijk mag een Google +1 knop niet ontbreken, we waarderen het zeer als u door hier op te klikken kenbaar maakt dat u onze website de moeite waard vindt.

Heeft u vragen of suggesties? we horen het graag!