Vorab: XAMPP ist nicht für den Einsatz als Produktivsystem (z. B. als öffentlicher Webserver) gedacht, sondern für Entwickler, die möglichst schnell ein kompaktes Testsystem aufsetzen möchten!
Das System ist umfassend vor Angriffen zu schützen:
Serverseitig:
- Auto IP-Blacklisting
- SSH Login über Key-Authentification (um Brutforces (Durchprobieren von Passwörtern) auszuschließen)
- Chroot für Projekte (Trennen unserer Joomla-Installationen (DEV, TEST, LIVE) = Root-Verzeichnis pro Installation ist NICHT wie derzeit htdocs in dem dann drei Ordner mit wegtext, weglive usw. liegen) sondern das Root.Verzeichnis pro Installation ist der Order wegdev oder weglive! Damit bleibt eine infizierte Installation (zB über Webshells) im entsprechenden Verzeichnis!!!
- SFTP statt FTP (FTP ist veraltet und unsicher -> Passwort wird im Klartext übertragen!!!)
- Eigene SQL-Benutzer pro Projekt (nicht wie derzeit dass EIN SQL Benutzer auf alle DEV, LIVE und Test-Tabellen zugreifen kann!!!)
- Monitoring (Last, Prozesse, Netzwerk)
- Laufende Updates (Security-Patches immer zeitnah einspielen!)
Joomla
- Keine unnötigen Erweiterungen installieren
- Administrator-Verzeichnis zusätzlich mit .htaccess absichern!
- Erweiterungen, für die es vom Entwickler lange keine Updates gab, entfernen (ist davon auszugehen, dass diese nicht mehr sicher sind)
- Regelmäßig auf Infektionen prüfen:
- Regelmäßige Backups und und SQL-Dumps
- Akeeba
- Backups länger aufheben (da z.B. Cookie-Bombs erst nach 2-3 Wochen erkannt werden!!!)
- Regelmäßig Updaten (Joomla und Extensions)!!!
- Updates vorher in der Testversion prüfen!!!