Beveiliging Joomla website

Joomla is een prachtig en compleet systeem. Maar het is open source wat niet betekent dat het gratis is (wat het wel is) maar dat de broncode vrij toegankelijk is. Dat is natuurlijk interessant voor hackers en spammers. Daar moet je wat aan doen als je een Joomla website onderhoudt. Dewebmeester.nl onderhoudt namens klanten enkele tientallen Joomla websites en beveiliging moet dan ook extra aandacht krijgen. Hier wat aandacht voor een aantal zaken die aandacht verdienen. Aan al deze zaken hoeft u overigens geen aandacht te geven als u kiest voor een onderhouds contract via dewebmeester.nl voor 9,90 Euro per maand. Dan zorgt dewebmeester.nl voor het onderstaande (en voor backup opties).

Gebruik niet “admin” als gebruikersnaam

Toegang tot de Joomla CMS een tot de website verkrijg je standaard via de gebruikersnaam “admin”. Ja, gebruiker heeft zelf een wachtwoord moeten bedenken maar het wordt hackers gewoon te makkelijk gemaakt als alleen het wachtwoord nog geraden moet worden. Het is tenslotte een kleine moeite om de gebruikersnaam van “admin” te veranderen in een andere naam. Ga daartoe naar gebruikersbeheer en klik op de gebruiker (superadministrator) met de naam admin en pas de naam aan.

Gebruik van een component: Incapsula

Incapsula dashboard voor ontdekken hackers en spammers
Incapsula dashboard voor ontdekken hackers en spammers

Incapsula is niet als eerste een Joomla component maar een systeem dat ook los van Joomla functioneert. Maar het makkelijkste is om het Incapcula pakket te downloaden (gratis) en te installeren. Ga vervolgens naar de Incapsula component en daar wordt je gevraagd je email in te vullen en wordt er een account aangemaakt binnen Incapsule.com ; Vervolgens moet je dit account via email activeren en volg je de instructies tot het aanpassen van de DNS records. Dat blijkt ingewikkelder te zijn dan ik dacht. Via AdminDirect kan dit vrij eenvoudig maar de verwarring is bijvoorbeeld dat er een A record bestaat voor dewebmeester.nl. (let op de laatste punt) en niet voor dewebmeester.nl ; Gewoon negeren. De A records voor dewebmeester.nl. (inclusief punt) moeten worden aangepast. Er moet ook een CNAME record (alias) worden aangemaakt en dat lijkt het beste te kunnen via de “Domain Pointing” optie in Admin Direct en niet via het aanmaken van een extra CNAME voor www.dewebmeester.nl ; Binnen DNS beheer wordt hier overigens www gebruikt om aan te geven dat het om domein dewebmeester.nl gaat en om subdomein www.dewebmeester.nl ;

Vervolgens ga ik terug naar de component Incapsula waar ik een eigen dashboard heb waarmee ik spammers en hackers in de gaten kan houden. Ook heb ik een dashboard binnen Incapsule.com waar ik de status van de website kan bijhouden en ook andere websites kan toevoegen.