02. Oktober 2009
Die htaccess-Datei im Hauptverzeichnis von Joomla! hat schon einige Funktionen eingebaut, um Angriffe abzuwehren. Aber man kann mehr machen...
Download: htaccess-joomla.zip
Da die überarbeitete htaccess-Datei über 250 Zeilen hat, hier nur kurz die wichtigsten Verbesserungen:Allgemein
- Unterdrückt die Serversignatur
- Erlaubt keine Dateilisten bei Ordnern, die manche Server automatisch anzeigen, wenn keine Datei angefragt wurde, sondern nur ein Verzeichnis
- Blockiert verschiedene Anfragen („Requests“) die nicht gebraucht werden
- Blockiert verschiedene IP-Adressen
- Blockiert einige klassische Methoden fremden Inhalt in die Website einzuschleusen (sog. „Exploits“)
Joomla! spezifisch
- Verhindert die Anzeige der Modulpositionen über die URL („/index.php?tp=1“)
- Verhindert das Ändern des Templates über die URL („/index.php?template=template_name“)
- Verhindert den direkten Zugriff auf die configuration.php
- Verhindert den direkten Zugriff auf eine .htaccess-Datei
Extras
- Eigene Fehlermeldungen (Es wird, außer beim Fehler 500, „Site not found!“ zurückgegeben)
Hinweis:
Diese Nachricht soll den Angreifer verwirren.Achtung!:
Im sog. Header dieser Fehlerseite steht immer noch der richtige Fehler!
Um die Verwirrung perfekt zu machen müssen Sie eigene Fehlerseiten definieren, die einen falschen Header zurückgeben! - Cachefunktion
Hinweis:
Eine Cachefunktion ermöglicht das schnellere Anzeigen der Website, wenn der Besucher den Browsercache aktiviert hat oder einen Proxy benutzt der dies unterstützt.
