Backendschutz mit EasyCalcCheck Plus
Erik Krämer hatte auf seiner Webmaster-Zentrale in seinem Beitrag “Das perfekte CMS” die Sicherheit von Joomla insbesondere dessen Erweiterungen mit denen von WordPress verglichen und stellte bei Joomla diesbezüglich Sicherheitsdefizite fest. Diese Feststellung unterstrich er in seinem Kommentar mit Hinweis auf die Joomla-Security-Seite.
Auf meiner Rebus-Seite (Joomla) habe ich wesentlich weniger Plugins als hier auf meinem Blog (WordPress) installiert. Aber welches Plugin ich fast als absolutes “Must-have” empfehlen kann ist eines, das den Backendbereich gegen unerlaubten Zugriff schützt. Solch ein Plugin vermisse ich derzeit bei WordPress. Aber vielleicht kann mich ja jemand eines Besseren belehren.
Als Schutz des Backendbereiches hatte ich unter der Joomla Version 1.5 das Plugin JSecure verwendet. Nach Aufruf der Extensions-Seite von Joomla ist dieses für Joomla 1.6 nun kommerziell. Aber das ist nicht tragisch, denn EasyCalcCheck Plus bietet ebenfalls die Möglichkeit durch Festlegung eines Token, den Backendbereich vor unerlaubten Zugriff zu schützen.
Ich hatte bereits über den umfangreichen Spamschutz durch ECC+ in diesem Beitrag berichtet. Und da mich dieses Plugin so sehr überzeugt hat, freue ich mich umso mehr, dass ich auf ein weiteres Plugin verzichten kann. Mit diesem Zusatzfeature bietet es derzeit für meine Seite einen Rundum-Schutz.
Das Einrichten ist wirklich einfach. Unter Erweiterungen >> Plugins >> System – EasyCalcCheck PLUS – ECC+ klickt ihr auf Schutz des Backends. Nun tragt dort eine Zeichenkette unter Token ein (notieren nicht vergessen ;-)).
Beispiel:
Bei Joomla ist der Backendbereich in der Regel unter der Adresse zu erreichen. Gebt ihr unter den Einstellungen des Plugins als Token 12ab34cd56 ein, gelangt ihr nun über die Adresse dorthin.
Bei der Eingabe der Umleitungsadresse habt ihr nun mehrere Möglichkeiten. Wenn ihr es leer lasst, wird man bei der Eingabe der Standard-Backend-Url auf die Startseite umgeleitet. Eine andere Möglichkeit wäre auch, den Eindringling per https://www.google.de/?gws_rd=ssl zu Google weiter zu leiten.
Ich habe für die Umleitungsadresse eine Grafik erstellt, in ein html-Dokument eingefügt und beides per FileZilla in ein Verzeichnis hochgeladen. Das html-Dokument sieht bei mir so aus:
<html> <head> <title>bloed gelaufen</title> </head> <body text="#000000" bgcolor="#FFCC66" > <p align="center"><img src="images/bloede_gelaufen.jpg"alt="" border="0" width="750" height="550"></p> </html>
Diese Verzeichnisadresse habe ich in das Feld eingegeben, z. B. . Als Test klickt doch einfach mal auf diesen Link.
Hallo Sylvi,
leider sieht man Dein Beispiel im IE 8 nicht.
Opera – FF – Chrom zeigen Dein Bild an.
Gruß
hansen
Hi Sylvi,
tolle Sache das neue Plugin. Da ich noch mit Joomla 1.5 unterwegs bin, nutze ich im Moment auch noch das Plugin JSecure. Es ist aber gut zu wissen, dass es was adäquates für 1.6 gibt.
Danke fürs Vorstellen, das spart mir ja schon wieder viel Zeit und Sucherei, wenn ich dann mal umstelle auf die aktuelle Joomla-Version :-)
Liebe Grüße,
Pauli
Hallo Hansen,
hm…das ist komisch. Ich verwende IE 9 und dort wird der Code angezeigt. Könnte es sein, dass in Deinem IE das Java Addon deaktiviert ist? Sowohl mit Firefox als auch IE9 und Chrome kann ich den html-Code erkennen.
Hej Pauli,
bitte schön :-). Ich denke mit ECC+ bist Du gut bedient und kannst getrost auf JSecure verzichten.
Lieben Gruß
Sylvi
Hallo Sylvi,
Java Addon ist aktiviert, aber der IE 8 scheint immer noch Probleme mit
png-Dateien zu haben, wie die Vorgängerversionen. Bei IE 9 ist das offensichtlich nicht mehr so.
Gruß
hansen
Hej hansen,
oh entschuldige, ich hatte Dich missverstanden. Ich dachte, Du könntest den Beispiel-Code nicht sehen. Du hast recht, auch im IE 9 konnte ich das Bild des Beispiel-Links nicht sehen. Das lag (mal wieder) an den fehlenden Höhen- und Breitenangaben zum Bild. Das hatte auch nichts mit der png-Datei zu tun, jpg hatte er ohne diese Angaben ebenfalls nicht umgesetzt.
Jetzt müsste es aber funktionieren. Den html-Code habe ich ergänzt und habe es bei dem jpg-Bild belassen, mit dem ich ohne Größenangaben die Anzeige im IE getestet hatte.
Danke für Deinen Hinweis,
lieben Gruß
Sylvi
Hallo Sylvi,
noch ein kleiner Hinweis zu deinem Artikel:
Der Administrator-Ordner wird von ECC+ nicht umbenannt, bzw. es geschieht keine Umleitung. Du musst für den Aufruf des Backends den Token so übergeben:
?token=xxx (xxx steht für das gewählte Token)
Das wird an die normale URL für den Backendaufruf angehängt.
Gruß und noch viel Erfolg mit dem Plugin!
Hallo Viktor,
herzlichen Dank für Deinen ergänzenden Hinweis. Ich hatte die Backend-Adresse nicht ganz richtig dargestellt und werde das Beispiel im Beitrag abändern.
Lieben Gruß
Sylvi
Hallo Sylvi,
deine Umleitungsseite gefällt mir! :-)
Viele Grüße
Hi Silvi,
was hältst du von einem .htaccess-Schutz für den Backendbereich. Damit sperrst du nicht nur diejenigen aus, die mal “probieren wollten”, ob man an dein Backend kommt, sondern auch viele potentielle Angriffe auf Erweiterungen, oder? In meinen Augen wäre bzw. ist das ein wirksamerer Schutz, als eine – durchaus hübsche – Umleitung :)
Evlt. kann man beides kombinieren?
Gruß
JamFX
Hallo JamFX,
um jeglichen Aufruf zu unterbinden, ist natürlich eine .htaccess die beste Möglichkeit.
Im Grunde unterbindet nur eine schlampige Programmierung den Schutz der ECC+. Wenn keine Überprüfung der Login-Session erfolgt, dann kann der Backendschutz natürlich auch nicht viel anrichten. Mir ist jedoch keine Erweiterung bekannt, die so gravierende Sicherheitslücken aufweist.
Ansonsten werden alle Aufrufe einer php-Datei erfolgreich umgeleitet.
Gruß
Viktor
@Viktor Danke schön :-D
Hallo jamfx
ehrlich gesagt habe ich mir noch keine Gedanken über einen (zusätzlichen) Schutz über die .htaccess gemacht. Da ich eh ECC+ installiert habe, war es für mich der bequemere Weg über dieses Plugin mein Backend zu schützen. Ich habe auf meiner Rebusseite auch nicht viele Plugins installiert (im Gegensatz hier zu meinem WordPress-Blog). Was ich allerdings über meine .htaccess noch geregelt habe ist eine Art “Bildklau”-Schutz. Sollte sich jemand meiner Rebusse ungefragt bedienen, wird er auf seiner Seite denunziert ;-)
Gruß Sylvi