Als vielgenutztes Content-Management-System ist Joomla (wie jedes andere Content-Management-System auch) leider auch ein beliebtes Ziel für Hacker. Dabei wird meist eines der folgenden Ziele verfolgt:

  • es wird eine oder mehrere zusätzliche Datei(en) eingeschleust, die es den Hackern ermöglichen, den Server für den Versand von Spam-Mails zu missbrauchen
  • es wird eine oder mehrere Seiten so manipuliert, dass neben den gewünschten Inhalten noch ein Virus auf den Rechner des Nutzers geladen wird.

In beiden Fällen ändert sich das Aussehen der Webseiten nicht - der Angriff soll möglichst lange unerkannt bleiben. Ab dem Moment, in dem der Betreiber aber von dem Angriff erfährt, ist er dazu verpflichtet, die Gefahr unverzüglich abzustellen. Damit es soweit gar nicht erst kommt, ist es wichtig, das System stest aktuell zu halten. Gerade in den letzten Wochen gab es bei Joomla einige hektische Updates, die kritische Sicherheitslücken geschlossen haben. Diese sollten schnellstmöglich installiert werden.

Welche Version habe ich?

Welche Version von Joomla gerade aktuell ist, erfährt man z.B. auf der Downloadseite von Joomla https://www.joomla.org/download.html. Die Joomla-Version der eigenen Website ist im Backend unter System->Systeminformationen zu sehen:

Außerdem sollte das Joomla gleich nach dem Login eine Meldung anzeigen, wenn das System nicht mehr aktuell ist:

Bei kritischen Sicherheitslücken ist zügiges Handeln angesagt, da die Lücken bekannt sind und Hacker meist sehr schnell die ersten Angriffe starten.

EyeSite

Um zu erkennen, ob eine Joomla-Installation verändert wurde, hat sich die kostenlose Komponente EyeSite (http://www.lesarbresdesign.info/extensions/eyesite) bewährt. Nach der Installation generiert es von jeder Datei des Joomla-Systems eine Prüfsumme. Bei jedem weiteren Durchlauf wird die Prüfsumme neu berechnet und mit der zuvor gespeicherten verglichen. Auf diese Weise lässt sich erkennen, ob Hacker Systemdateien verändert haben. Mit einem kostenpflichtigen Plugin lassen sich die Scans auch zeitgesteuert ausführen und der Administrator erhält eine Mail, wenn Dateien verändert wurden.

Major und Minor Updates

Vorsicht ist geboten, wenn Joomla noch in Version 1.x oder 2.x installiert ist. Hier versagt nämlich das automatische Update häufig, weil ein sog. Major-Update auf die nächste große Version gemacht werden muss. Es muss auf jeden Fall geprüft werden, welche Zusatzmodule (Bildergalerie, Kalender, usw.) installiert sind. Diese müssen meist "per Hand" über den Versionssprung hinweg aktualisiert werden, d.h. sie werden vor dem Versionssprung zunächst deinstalliert und nach dem Update in einer neuen Version wieder installiert (sofern es eine Version für die neue Joomla-Version überhaupt gibt). Bei einer solchen Operation an der Datenbank ist auf jeden Fall ein Backup Pflicht, denn eine Garantie, dass auf Anhieb alles glatt geht, gibt es nicht. Insbesondere der doppelte große Sprung von Joomla 1.x auf Joomla 3.x ist schwierig und es kann durchaus sein, dass ein sauber aufgesetztes neues Joomla 3 besser läuft als ein zweifach upgedatetes Joomla 1.x.

Hilfe vom Experten

hueddersen.de hat einige Erfahrung bei der Betreuung und dem Update von Joomla-Websites. Wenn Sie sich nicht selbst an ein Update herantrauen, nehmen Sie Kontakt zu uns auf:

Besonders Nutzern von Joomla 1.x und Joomla 2.x ist dringend zu raten, ihre Seiten upzudaten, bevor es zu spät ist und Hacker eingedrungen sind.

 

Titelbild: Hacker Stock Photo by Adam Thomas, Lizenz CC BY 2.0