Joomla! beveiligen

Het is belangrijk dat uw Joomla! website veilig is. Hoe zou u het vinden als iemand uw huis binnen dringt en er een rotzooi van maakt, of dingen meeneemt of kapotmaakt? Of misschien zelfs uw sloten vervangt zodat u er zelf niet meer in kan? Met uw website kan namelijk hetzelfde gebeuren. Wanneer dit gebeurt, is dat natuurlijk geen fijn gevoel. Om precies deze reden wil ik u graag informeren hoe u het deze onverlaten zo moeilijk mogelijk maakt om op uw website in te breken.

Gebruikersnaam aanpassen

Men zal zoveel mogelijk proberen te werken met standaard gegevens. Zo is de admin inlognaam bij veel Joomla! websites standaard ‘admin’. Wanneer deze gebruikersnaam wordt gehanteerd weet iemand eigenlijk al 50% van uw inlogcode. Door de gebruikersnaam ‘admin’ te wijzigen naar een andere naam, neemt u die 50% direct af. Om het inlognaam van een Joomla! gebruiker aan te passen kunt u de volgende stappen volgen vanuit het Administrator menu:

  • Klik in het administrator menu op ‘Gebruikers’;
  • Klik vervolgens op ‘Gebruikersbeheer’;
  • Klik de naam aan van de gebruiker waarvoor de inlognaam veranderd moet worden;
  • Vul bij ‘Inlognaam’ de nieuwe inlognaam in en klik op ‘Opslaan & sluiten’.

Het wachtwoord

De eerste stap naar een veilige Joomla! is een veilig wachtwoord. Een veilig wachtwoord bestaat uit minimaal 8 karakters waarin hoofdletters, cijfers en leestekens worden gecombineerd. Een veilig wachtwoord zorgt ervoor dat men er langer over doet om het juiste wachtwoord bij een gebruikersnaam te vinden. Voor het kiezen van een veilig wachtwoord kunt u ook kijken op een blogpost van Frederique.

Om het wachtwoord van een Joomla! gebruiker aan te passen kunt u de volgende stappen volgen vanuit het Administrator menu:

  • Klik in het administrator menu op ‘Gebruikers’;
  • Klik vervolgens op ‘Gebruikersbeheer’;
  • Klik de naam aan van de gebruiker waarvoor het wachtwoord veranderd moet worden;
  • Vul twee keer een nieuw, veilig wachtwoord in en klik op ‘Opslaan & sluiten’.

Captcha

Indien u bezoekers toelaat om te registreren op uw website, dan is het verstandig om een captcha aan te zetten voor het registratie formulier. Een captcha is een afbeelding die voor computers moeilijk leesbaar is. Door de tekst in de afbeelding in te typen worden de automatische programma’s voor het registreren op Joomla! websites bijna onbruikbaar.

Joomla heeft als standaard al een goede captcha en u hoeft hier geen extra extensies voor te downloaden. Voor het gebruik van ReCaptcha dient u wel een sleutel te laten maken. Om ReCaptcha goed in te stellen kunt u de volgende stappen volgen:

  • Ga in het administrator menu naar ‘Extensies’ en klik op ‘Pluginbeheer’;
  • Zoek de plug-in ‘ReCaptcha’ en klik op de gevonden plug-in;
  • Zet in het eerste tabblad de status op ‘Ingeschakeld’;
  • In het ‘Basis opties’ tabblad dient er een Publieke en Prive sleutel te worden ingevuld. De sleutels kunnen verkregen worden door te registreren via de volgende link: http://www.google.com/recaptcha/whyrecaptcha. Hier wordt gebruik gemaakt van uw Google account. Voer de domeinnaam in en kopieer de sleutels naar de bijbehorende velden binnen Joomla!;
  • Sla de instellingen op door te klikken op ‘Opslaan en sluiten’;
  • Ga via ‘Systeem’ naar ‘Algemene instellingen’ en zet de standaard captcha op ‘ReCaptcha’.

Vanaf dit moment wordt er een captcha afbeelding bij het registreren van een gebruiker weergegeven die ingevuld moet worden om door te gaan.

Gebruikersaccount activatie

Als het voor bezoekers is toegestaan om zich te registreren op uw website, bijvoorbeeld voor een ingebouwd forum of commentaar op artikelen, dan is het verstandig om gebruikers een activatie link te sturen die aangeklikt moet worden voordat de gebruiker kan inloggen. Onverlaten en bots zullen meestal registreren met niet bestaande e-mail adressen waardoor een activatie zal uitblijven en een heleboel spam op uw website wordt bespaard.

Deze instelling is standaard ingebouwd in Joomla! en kunt u instellen door de volgende stappen te volgen vanaf het administrator menu:

  • Ga naar ‘Algemene instellingen’;
  • Klik in de linker balk op ‘Gebruikersbeheer’;
  • Zet de optie ‘Accountactivatie voor nieuwe gebruikers’ op ‘Zelf’ of ‘Admin’;

Door de accountactivatie op ‘Zelf’ te zetten zal er een e-mail worden gestuurd naar het opgegeven e-mail adres met de activatielink. Op deze manier is er een controle of het e-mail adres juist is.

Door de accountactivatie op ‘Admin’ te zetten zal er bij elke registratie een activatie e-mail worden verzonden naar het admin e-mail adres van de website. Zo kan de admin bepalen welke gebruiker er geactiveerd wordt.

In hetzelfde instellingen scherm staat de optie ‘Notificatie e-mail aan administrators’. Wanneer deze op ‘Ja’ wordt gezet zal een e-mail worden verzonden aan de admin zodra er een gebruiker registreert.

Altijd updaten naar de laatste versie

Joomla! brengt geregeld nieuwe updates uit. In deze updates worden veiligheidslekken gedicht, functionaliteiten verbeterd of toegevoegd. Om deze redenen is het belangrijk om uw website geregeld te controleren voor updates en deze installeert.

Om naar updates te zoeken en deze te installeren klikt u bovenaan op ‘Componenten’ en daarna op ‘Joomla! Update’.

Niet alleen Joomla!, maar ook de extensies krijgen updates. Veel extensies zijn ook via het control panel te controleren op updates. Omdat niet alle extensies deze mogelijkheid hebben is het verstandig om de website van de extensie geregeld te bezoeken om te bekijken of er updates beschikbaar zijn. Om voor extensies te controleren op updates kunt u de volgende stappen volgen:

  • Klik op de bovenste balk op ‘extensies’;
  • Klik op ‘Extensiebeheer’;
  • Klik links op ‘Updaten’.

Wilt u op de hoogte gehouden worden van alle belangrijke beveiligingsupdates van Joomla!? Dan kunt u de RSS feed terugvinden op http://feeds.joomla.org/JoomlaSecurityNews. Een volledig overzicht van alle Joomla! RSS feeds kunt u vinden op http://www.joomla.org/rss.html.