Backendschutz mit EasyCalcCheck Plus

Geschätzte Lesezeit: 1 Minute

Erik Krämer hatte auf seiner Webmaster-Zentrale in seinem Beitrag „Das perfekte CMS“ die Sicherheit von Joomla insbesondere dessen Erweiterungen mit denen von WordPress verglichen und stellte bei Joomla diesbezüglich Sicherheitsdefizite fest. Diese Feststellung unterstrich er in seinem Kommentar mit Hinweis auf die Joomla-Security-Seite.

Auf meiner Rebus-Seite (Joomla) habe ich wesentlich weniger Plugins als hier auf meinem Blog (WordPress) installiert. Aber welches Plugin ich fast als absolutes „Must-have“ empfehlen kann ist eines, das den Backendbereich gegen unerlaubten Zugriff schützt. Solch ein Plugin vermisse ich derzeit bei WordPress. Aber vielleicht kann mich ja jemand eines Besseren belehren.

Als Schutz des Backendbereiches hatte ich unter der Joomla Version 1.5 das Plugin JSecure verwendet. Nach Aufruf der Extensions-Seite von Joomla ist dieses für Joomla 1.6 nun kommerziell. Aber das ist nicht tragisch, denn EasyCalcCheck Plus bietet ebenfalls die Möglichkeit durch Festlegung eines Token, den Backendbereich vor unerlaubten Zugriff zu schützen.

Ich hatte bereits über den umfangreichen Spamschutz durch ECC+ in diesem Beitrag berichtet. Und da mich dieses Plugin so sehr überzeugt hat, freue ich mich umso mehr, dass ich auf ein weiteres Plugin verzichten kann. Mit diesem Zusatzfeature bietet es derzeit für meine Seite einen Rundum-Schutz.

Das Einrichten ist wirklich einfach. Unter Erweiterungen >> Plugins >> System – EasyCalcCheck PLUS – ECC+ klickt ihr auf Schutz des Backends. Nun tragt dort eine Zeichenkette unter Token ein (notieren nicht vergessen ;-)).

Beispiel:

Bei Joomla ist der Backendbereich in der Regel unter der Adresse zu erreichen. Gebt ihr unter den Einstellungen des Plugins als Token 12ab34cd56 ein, gelangt ihr nun über die Adresse dorthin.

Bei der Eingabe der Umleitungsadresse habt ihr nun mehrere Möglichkeiten. Wenn ihr es leer lasst, wird man bei der Eingabe der Standard-Backend-Url auf die Startseite umgeleitet. Eine andere Möglichkeit wäre auch, den Eindringling per https://www.google.de/?gws_rd=ssl zu Google weiter zu leiten.

Ich habe für die Umleitungsadresse eine Grafik erstellt, in ein html-Dokument eingefügt und beides per FileZilla in ein Verzeichnis hochgeladen. Das html-Dokument sieht bei mir so aus:

Diese Verzeichnisadresse habe ich in das Feld eingegeben, z. B. . Als Test klickt doch einfach mal auf diesen Link.


Die Autorin:

Sylvi

Meine Beiträge beinhalten eigene Erfahrungen, sei es über Soft- und Hardware, Social Media und die ich als WordPress-Bloggerin und Joomlanerin gesammelt habe. Zudem widme ich mich dem schönen Hobby "Fotografie".

11 Kommentare

Kommentare hinzufügen
  • Hi Sylvi,

    tolle Sache das neue Plugin. Da ich noch mit Joomla 1.5 unterwegs bin, nutze ich im Moment auch noch das Plugin JSecure. Es ist aber gut zu wissen, dass es was adäquates für 1.6 gibt.
    Danke fürs Vorstellen, das spart mir ja schon wieder viel Zeit und Sucherei, wenn ich dann mal umstelle auf die aktuelle Joomla-Version :-)

    Liebe Grüße,
    Pauli

    • Hallo Hansen,

      hm…das ist komisch. Ich verwende IE 9 und dort wird der Code angezeigt. Könnte es sein, dass in Deinem IE das Java Addon deaktiviert ist? Sowohl mit Firefox als auch IE9 und Chrome kann ich den html-Code erkennen.

      Hej Pauli,

      bitte schön :-). Ich denke mit ECC+ bist Du gut bedient und kannst getrost auf JSecure verzichten.

      Lieben Gruß
      Sylvi

  • Hallo Sylvi,

    Java Addon ist aktiviert, aber der IE 8 scheint immer noch Probleme mit
    png-Dateien zu haben, wie die Vorgängerversionen. Bei IE 9 ist das offensichtlich nicht mehr so.

    Gruß
    hansen

    • Hej hansen,

      oh entschuldige, ich hatte Dich missverstanden. Ich dachte, Du könntest den Beispiel-Code nicht sehen. Du hast recht, auch im IE 9 konnte ich das Bild des Beispiel-Links nicht sehen. Das lag (mal wieder) an den fehlenden Höhen- und Breitenangaben zum Bild. Das hatte auch nichts mit der png-Datei zu tun, jpg hatte er ohne diese Angaben ebenfalls nicht umgesetzt.
      Jetzt müsste es aber funktionieren. Den html-Code habe ich ergänzt und habe es bei dem jpg-Bild belassen, mit dem ich ohne Größenangaben die Anzeige im IE getestet hatte.

      Danke für Deinen Hinweis,
      lieben Gruß
      Sylvi

  • Hallo Sylvi,

    noch ein kleiner Hinweis zu deinem Artikel:

    Der Administrator-Ordner wird von ECC+ nicht umbenannt, bzw. es geschieht keine Umleitung. Du musst für den Aufruf des Backends den Token so übergeben:

    ?token=xxx (xxx steht für das gewählte Token)

    Das wird an die normale URL für den Backendaufruf angehängt.

    Gruß und noch viel Erfolg mit dem Plugin!

    • Hallo Viktor,

      herzlichen Dank für Deinen ergänzenden Hinweis. Ich hatte die Backend-Adresse nicht ganz richtig dargestellt und werde das Beispiel im Beitrag abändern.

      Lieben Gruß
      Sylvi

  • Hi Silvi,

    was hältst du von einem .htaccess-Schutz für den Backendbereich. Damit sperrst du nicht nur diejenigen aus, die mal „probieren wollten“, ob man an dein Backend kommt, sondern auch viele potentielle Angriffe auf Erweiterungen, oder? In meinen Augen wäre bzw. ist das ein wirksamerer Schutz, als eine – durchaus hübsche – Umleitung :)

    Evlt. kann man beides kombinieren?
    Gruß
    JamFX

  • Hallo JamFX,

    um jeglichen Aufruf zu unterbinden, ist natürlich eine .htaccess die beste Möglichkeit.

    Im Grunde unterbindet nur eine schlampige Programmierung den Schutz der ECC+. Wenn keine Überprüfung der Login-Session erfolgt, dann kann der Backendschutz natürlich auch nicht viel anrichten. Mir ist jedoch keine Erweiterung bekannt, die so gravierende Sicherheitslücken aufweist.

    Ansonsten werden alle Aufrufe einer php-Datei erfolgreich umgeleitet.

    Gruß
    Viktor

  • @Viktor Danke schön :-D

    Hallo jamfx

    ehrlich gesagt habe ich mir noch keine Gedanken über einen (zusätzlichen) Schutz über die .htaccess gemacht. Da ich eh ECC+ installiert habe, war es für mich der bequemere Weg über dieses Plugin mein Backend zu schützen. Ich habe auf meiner Rebusseite auch nicht viele Plugins installiert (im Gegensatz hier zu meinem WordPress-Blog). Was ich allerdings über meine .htaccess noch geregelt habe ist eine Art „Bildklau“-Schutz. Sollte sich jemand meiner Rebusse ungefragt bedienen, wird er auf seiner Seite denunziert ;-)

    Gruß Sylvi

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du kannst diese HTML-tags und attribute verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Copyright © Sylvis Blog • 2018. Alle Rechte vorbehalten. •   Impressum   •    Datenschutzerklärung

%d Bloggern gefällt das: