Spamfallen in Joomla
Joomla ist ein häufig verwendetes CMS und belegt in unserer CMS-Rangliste den zweiten Platz nach WordPress. Aus diesem Grund ist Joomla auch für Hacker*innen ein beliebtes Ziel. Der Grund sind einige Eigenheiten von älteren Joomla-Versionen, welche ohne grossen Aufwand ausgenützt werden können. Wir beschreiben in diesem Artikel einige Tipps, wie du verhindern kannst, dass über deine Joomla-Installation Spam versandt wird.
Benutzerregistrierung überprüfen
Bei älteren Joomla-Versionen war standardmässig die Benutzerregistrierung aktiviert und über das dafür vorgesehene Formular zugänglich. Auch dann, wenn diese Funktion gar nicht explizit auf der Website genutzt wird.
Prüfe zuerst, ob die URL index.php?option=com_users&view=registration erreichbar ist. In unserem Beispiel öffnet der Link oliverorange.ch/index.php?option=com_users&view=registration das im Bild ersichtliche Formular.
Das Formular ist ein «gefundenes Fressen» für Hacker*innen. Es kann missbraucht werden, um darüber Spam zu verwenden oder um sich Zugriff auf deine Website zu verschaffen.
Bei Neuinstallation der aktuellen Joomla-Version ist dieses Formular nun standardmässig deaktiviert. Man muss es explizit freischalten, wenn man die Funktion nutzen möchte. Im nächsten Schritt zeigen wir dir, wie du die Benutzerregistrierung bei älteren Joomla-Versionen deaktivieren kannst.
Benutzerregistrierung deaktivieren
Es ist wichtig, dass das Benutzerregistrierungs-Formular nur zugänglich ist, wenn es auch wirklich benötigt wird. Ist die Benutzerregistrierung gewünscht, so solltest du das Formular unbedingt über einen zusätzlichen Sicherheitsmechanismus gegen Hack-Angriffe schützen, beispielsweise mit einem «Captcha».
In der offiziellen Anleitung von Joomla ist im Artikel «Benutzerregistrierung ausschalten» beschrieben, wie du überprüfen kannst, ob das Formular aktiv ist und wie du es deaktivieren kannst. Konkret findest du die Einstellung unter «System» > «Konfiguration» > «Benutzer» > «Verwalten».
Kontaktformular
Ähnlich verhält es sich mit dem Kontaktformular von Joomla. Wurde für die Website ein Kontakt erstellt, so wird diesem automatisch ein Kontaktformular zugewiesen, welches über den Direktlink index.php?option=com_contact&view=contact&id=1 zugänglich ist. Auch wenn man dieses nicht explizit über ein Menü auf der Website einbindet.
Hacker*innen können ganz einfach den oben erwähnten Link an deine Domain anhängen und dabei verschiedene Zahlen für id=1 ausprobieren. Mit einem Script geht das schnell und falls etwas gefunden wird, so kann das Formular für andere Zwecke missbraucht werden, beispielsweise um Spam darüber zu versenden.
Kontaktformular deaktivieren oder absichern
Nutzt du die Kontakte-Funktion in Joomla, so empfiehlt es sich, das Formular generell zu deaktivieren, wenn dieses nicht benötigt werden.
Gehe dazu im Joomla-Backend in das Menü «System» > «Konfiguration» > «Kontakte» > «Formular» und stelle die Option «Kontaktformular» auf «Verbergen». Somit ist dies standardmässig deaktiviert.
Prüfe nun, ob bei den bereits erstellten Kontakten die Standardeinstellung ausgewählt und das Formular effektiv deaktiviert ist. Die Einstellung findest du, wenn du den einzelnen Kontakt unter «Komponenten» > «Kontakte» öffnest und in den Tab «Formular» wechselst. Dort sollte im Feld «Kontaktformular» der Wert «Globale Einstellung (Verbergen)» ausgewählt sein.
Möchtest du das Kontaktformular nutzen, so ist es wichtig, dieses entsprechend abzusichern, wie wir das im Artikel «Captcha» beschreiben. Entsprechende Plugins findest du auf der Website von Joomla.
- Kategorien
- CMS
