Sicherheitsproblem

  • Hi,
    ich habe für eine Bekannte einen Shop erstellt.
    Der Shop ist nur für ein Kleingewerbe, von dem man kaum leben kann.
    Alles lief auch 10 Monate problemlos.
    Im Dezember hat Sie dann eine Mail bekommen, dass ein Script von Joomla oder Virtuemart SPAM versenden würde.
    Ich habe inzwischen alles abgeschottet, was ich finden konnte, aber heute kam wieder so eine e-Mail.
    Ganz abschalten kann ich den E-Mail Versand leider nicht.
    Ist ja ein Shop.


    Hier mal ein Teil der Mail.
    Sehr geehrte Damen und Herren,

    unser System hat eine SPAM-E-Mail blockiert, die von Ihrem Webserver (Absender: "unsere email" an "unsere email" versendet wurde.


    X-Priority: 3
    X-Mailer: PHPMailer 5.2.9 (https://github.com/PHPMailer/PHPMailer/)
    MIME-Version: 1.0
    Content-Type: text/html; charset=utf-8
    Content-Transfer-Encoding: 8bit


    Ich habe noch virtuemart 4.0.13, werde aber gleich versuchen auf den neusten Stand upzudaten.
    Beim letzten Versuch lief der halbe Shop nicht mehr. :(
    Aber muss ja...


    Hat jemand eine Idee, was ich noch machen kann ?
    Das Admin-dir hat ein Passwort mit htaccess datei.
    Benutzerregistrierung in Joomla habe ich de-aktiviert.


    Nachtrag:
    Wie vermutet Probleme beim Updaten.
    Aber da mache ich mal nen neuen Tread auf...

  • OK habe ein Backup von 9-2016 eingespielt.
    Alles auf den neuesten Stand gebracht.


    Ich habe die Google Authentifizierung eingeschaltet.
    Admin Dir mit Passwort geschützt.
    Wie kann ich denn mal prüfen, ob alle Benutzerregistrierungen abgestellt sind ?


    Gibt es ein Howto wie ich meinen Shop sicher machen kann ?

  • OK habe ein Backup von 9-2016 eingespielt.
    Alles auf den neuesten Stand gebracht.


    Ich habe die Google Authentifizierung eingeschaltet.
    Admin Dir mit Passwort geschützt.
    Wie kann ich denn mal prüfen, ob alle Benutzerregistrierungen abgestellt sind ?


    Gibt es ein Howto wie ich meinen Shop sicher machen kann ?


    Das sind schonmal die besten Grundvoraussetzungen. Eine 100 Prozentige Sicherheit gibt es natürlich nicht. Aber, mann kann diesen anstreben. Das wichtigste ist, alle Sicherheitsupdates immer Zeitnah einzuspielen und alle benutzen Extensions aktuell zu halten. Das war es auch schon im großen und ganzen.


    Ob deine Benutzerregistrierung abgeschalten ist, kannst Du in deiner Benutzer Verwaltung nachsehen. Aber, brauchst Du diese nicht auch für deinen Schop, wenn Käufer sich registrieren sollen, müssen?


    Gruß Faro

  • Nein.
    Brauche ich nicht.
    Man gibt seine Daten ein (Versand + Rechnung) und gut ist.
    Benutzer müssen sich nicht einloggen
    Ich habe diese Google 2 Faktor Authentifizierung eingebaut.
    Da gibt es ein schönes Windows Programm.
    WinAuth... Dann kann man das auch ohne Smartphone
    Und ich habe den JoomlaChecksumScanner installiert.
    Genial...
    Benutzerregistrierung in Joomla abgeschaltet.
    Und den hier
    RewriteRule component/users/ index.php [F]
    RewriteCond %{REQUEST_URI} !^/administrator/.*
    RewriteCond %{QUERY_STRING} (^|&)option=(com_users)
    RewriteRule ^(.*) - [F]
    in der .htaccess
    Aber reicht das ?

  • Wenn Du deine Benutzerregistrierung deaktiviert hast, brauchst Du keine Google 2 Faktor Authentifizierung, da deine Login Menü ja nicht mehr sichtbar ist.


    Die htaccess vor dem Admin reicht völlig aus. Mit einem guten Passwort gibt es kaum eine Chance durchzubrechen, da das Script nicht mehrmals hintereinander ausgeführt werden kann. Es sei denn, Du hast dein Passwort auf deinem Rechner gespeichert. ;)


    Dennoch musst Du dein Joomla und deine Erweiterungen aktuell halten. Denn wenn diese Erweiterungen Sicherheitslücken aufweisen, kann deine Seite durch diese auch über das Frontend gehackt werden.


    Gruß Faro