Spamfallen in Joomla


Joomla ist ein sehr häufig verwendetes CMS und belegt gemäss unserer CMS-Rangliste den zweiten Platz nach WordPress. Aus diesem Grund ist Joomla auch bei Hackern ein beliebtes Ziel. Der Grund sind einige Eigenheiten von älteren Joomla-Version, welche Hacker, ohne grossen Aufwand,ausnützen können. Wir beschreiben Ihnen die Spamfallen in Joomla und was Sie dagegen unternehmen können.

Benutzer-Registrierung

Bei älteren Joomla-Versionen war standardmässig die Benutzerregistrierung aktiviert und über das dafür vorgesehene Formular zugänglich. Dies auch dann, wenn man diese Funktion gar nicht explizit nutzt auf der eigenen Website!

Hat man seine Joomla-Seite also bereits vor längerer Zeit erstellt und diese Funktion nicht manuell deaktiviert, so kann es sein dass ohne Ihr wissen das Formular zugänglich ist über die URL index.php?option=com_users&view=registration.

In unserem Beispiel öffnet der Link oliverorange.ch/index.php?option=com_users&view=registration das im Bild ersichtliche Formular.

Formular zur Benutzerregistrierung in Joomla
Formular zur Benutzerregistrierung in Joomla

Nutzt man dieses auf der eigenen Website nicht, so hat man dies wohl noch nie zuvor gesehen. Das Formular ist also ein gefundenes «Fressen» für Hacker, um darüber Spam-Mails zu senden oder sich sogar Zugriff auf Ihre Seite zu verschaffen.

Bei Neuinstallation in der aktuellen Joomla-Version ist dieses Formular nun standardmässig deaktiviert und man muss es nun explizit freischalten, wenn man die Funktion nutzen möchte.

Benutzerregistrierung deaktivieren

Es ist also wichtig, dass dieses Formular nur zugänglich ist, wenn dies auch wirklich benötigt wird. Ist die Benutzerregistrierung gewünscht, so sollte man das Formular unbedingt gegen Hacker-Angriffe schützen über einen zusätzlichen Sicherheitsmechanismus, wie im Artikel «Captcha» beschrieben.

Wie man prüfen kann, ob das Formular aktiviert ist, oder wie man es deaktivieren kann, das wird in der Anleitung von Joomla beschrieben: https://docs.joomla.org/J3.x:Disabling_user_registration/de

Kontaktformular

Ähnlich verhält es sich mit dem Kontaktformular von Joomla. Wurde für die Website einen Kontakt erstellt, so ist diesem grundsätzlich ein Kontaktformular zugewiesen welches über den Direktlink index.php?option=com_contact&view=contact&id=1 zugänglich ist. Erstellt man also einen Kontakt, so erstellt Joomla im Hintergrund ebenfalls ein Kontaktformular, welches standardmässig aktiv ist, auch wenn man dieses nicht explizit über ein Menü auf der Website einbindet.

Ein Hacker kann also ganz einfach den oben erwähnten Link an Ihre Domain anhängen und dabei verschiedene Zahlen für id=1 ausprobieren. Mit einem Script geht das schnell und falls was gefunden wird, so kann der Hacker versuchen das Formular für seine Zwecke zu missbrauchen.

Kontaktformular deaktivieren oder absichern

Nutzen Sie die Kontakte in Joomla, um diese auf der Website darzustellen, nutzen aber das Kontaktformular nicht so empfiehlt es sich das Formular generell zu deaktivieren.

Gehen Sie dazu in Ihrem Backend in das Menü «System» > «Konfiguration» > «Kontakte» > «Formular» und stellen Sie die Option «Kontaktformular» auf «Verbergen». Somit ist dies standardmässig deaktiviert.

Kontaktformular in den globalen Einstellungen deaktivieren
Kontaktformular in den globalen Einstellungen deaktivieren

Prüfen Sie nun ob bei Ihren Kontakten die Standardeinstellung ausgewählt wurde und das Formular somit effektiv deaktiviert ist. Sie finden die Einstellung, wenn Sie den einzelnen Kontakt unter «Komponenten» > «Kontakte» öffnen und danach in den Tab «Formular» wechseln. Dort sollte im Feld «Kontaktformular» der Wert «Globale Einstellung (Verbergen)» ausgewählt sein.

Kontaktformular für den einzelnen Kontakt deaktivieren
Kontaktformular für den einzelnen Kontakt deaktivieren

Möchten Sie das Kontaktformular nutzen, so ist es wichtig dies entsprechend abzusichern, wie wir das im Artikel «Captcha» beschreiben. Entsprechende Plugins finden Sie auf der Website von Joomla.

Weitere Artikel zum Thema Weitere Artikel zum Thema Scripts & CMS