Sicherheit ist für eine Joomla! Website essenziell, insbesondere wenn man sich vor Angriffen (z.B. Clickjacking/Man in the Middle/MitM Angriffe) schützen will. Es gibt verschiedene Möglichkeiten und bewährte Praktiken, die man implementieren kann, um sicherzustellen, dass die Joomla! Website geschützt ist.
Wie funktioniert Clickjacking?
Am besten versteht man Clickjacking anhand eines Beispiels. Dabei erstellt man eine statische Site (Angreiferseite) mit einem iFrame, in welchem deine Joomla! Seite (Opferseite) geladen wird. Mithilfe von etwas CSS und Javascript kann ich jetzt irgendwo in der geladenen Website Buttons platzieren. Damit kann ich vom Besucher eine ganz bestimmte Aktion entlocken.
Mit einem solchen Hack kann ich an beliebiger Stelle Objekte überlagern und so mit dem Klick des Benutzers eine vom Hacker bereitgestellte Funktion auslösen. Verstanden? Hier ein Beispiel:
Bauen der Angreiferseite (Hack)
Ich lege auf einem Server zwei Dateien an. In meinem Fall eine test.html und eine test.css. Hier platziere ich einen zusätzlichen Button im gleichen Stil wie auf der Opferwebsite (in meinem Beispiel: joomlaclub.ch) und platziere ihn unterhalb eines bestehenden Buttons. So fällt es nicht auf, dass ich diesen Button «Gewinne ein Smartphone» hinzugefügt habe.
Dieses Beispiel soll nur die Funktionsweise zeigen, damit du das Prinzip verstehen kannst. Den zusätzlichen Button könnte ich jetzt mit irgendwelchen Javascript Funktionen versehen, die dann durch das Anklicken des Besuchers ausgeführt werden.
Natürlich sind da Angreifer viel kreativer und können auf perfide Art und Weise Benutzer in die Falle locken.
Wie schützt man sich?
Als Erstes stelle sicher, dass deine Joomla!-Seite über die gesamte Installation ausschliesslich SSL (https) verwendet. So ist die Verbindung zwischen deinem Webserver, wo sich die Joomla! Installation befindet und dem Benutzer der die Seite aufruft, verschlüsselt.
Ein weiterer Punkt ist das Setzen der X-Frame-Options «SAMEORIGIN». Dieser verhindert genau diese Angriffe über Clickjacking, Man-in-the-Middle-Angriffe (MitM) und Cookie-Hijacking.
X-Frame-Options in Joomla! 3.x einrichten
In Joomla gibt es verschiedene Wege, den X-Frame-Options zu aktivieren und damit das Clickjacking zu verhindern. Falls du Akeeba Admin Tools Pro installiert hast, genügt ein Klick im .htaccess-Maker. Dabei wird eine entsprechende Zeile in der .htaccess Datei hineingeschrieben.
Falls du kein Admin Tools Pro installiert hast, kannst du die Zeile auch manuell in der .htaccess ergänzen. Gehe via cPanel oder FTP auf deinen Webserver und bearbeite die .htaccess Datei. Ergänze am Schluss der Datei folgende Zeile:.
Header always set X-Frame-Options "SAMEORIGIN"
Joomla 4 bringt den X-Frame-Options Schutz mit einem Core-Plugin
In Joomla! 4 brauchst du für die Aktivierung des X-Frame-Options Schutzes kein Admin Tools Pro oder manueller Code für die .htaccess Datei. Joomla! 4 hat dafür ein eigenes System-Plugin standardmässig im Core drin. Du kannst einfach in der Plugin-Liste nach «HTTP Headers» suchen und dort die gleichen Einstellungen machen. X-Frame-Options -> Aktiviert und CSP «same-origin»:
Kommen wir zum Schluss auf mein Beispiel am Anfang dieses Artikels zurück. Wie du gesehen hast, habe ich joomlaclub.ch als Beispiel genommen. Das ist bereits eine Joomla! 4 Testseite. Aktiviere ich jetzt das Plugin und richte den X-Frame-Options Schutz ein, geschieht mit der Angreiferseite folgendes:
Die Domain joomlaclub.ch weigert sich nun, eine Verbindung zur Angreiferseite in dessen iFrame zuzulassen. So steht mein zusätzlich eingebauter Button ganz allein da. Damit habe ich dem Angreifer einen Vektor genommen, den er möglicherweise für einen Angriff hätte anwenden können.
Falls du deine Seite auf weitere Verwundbarkeiten prüfen willst, kann ich dir den Dienst von Siwecos empfehlen. Da bekommst du noch weitere Hinweise auf mögliche Angriffsmöglichkeiten auf deine Joomla!-Seite. Wie du siehst, manchmal braucht es keine Raketentechnik oder teure Plugins, ums seine Joomla!Seite vor bestimmten Angriffen zu schützen.
Quelle: joomla-and-more.com
Eine Antwort
Hi, besagtes Core Plugin aus Joomla 4 gibt’s auch für Joomla 3.x hier:
https://github.com/zero-24/plg_system_httpheader/releases