Stephan Brandon schrijft:
"Het was gebruikelijk om bij het opzetten van een website die database-backend is ten minste een serverbeheerder, een databasebeheerder, een programmeur en een ontwerper te hebben. Joomla! en andere moderne CMS systemen hebben de deur geopend naar de niet-beheerders. En deze in staat gesteld om volledige e-commerce of informatieve sites, met behulp van veel gratis software en van gemakkelijk te vinden van commerciële hosting, op te zetten. Maar hoe zit het dan met de veiligheid? Een nieuw boek van Tom Canavan, Joomla Web Security, beoogt een brug te slaan tussen de kennis en introduceert de Joomla! beheerders een tal van gereedschappen voor de veiligheid en vaardigheden die soms ontbreeken in de Joomla! gemeenschap."

Joomla! Web Security is Packt Publishing’s achtste Joomla! titel, en daarmee worden ze gefeliciteerd voor het voorzien van de vele nodige documentatie voor Open Source projecten. Geschreven door Tom Canavan en gepubliceerd in oktober 2008, kan het gevonden worden onder het ISBN nummer 1847194885 en 978-1-847194-88-6.

Volgens de achterkant van het boek, is dit boek geschreven voor “iedereen die serieus gebruik maakt van Joomla! Voor elk tak van sport. Met dit boek kunnen ze hun sites beveiligen, de aanvallers verstaan en meer. En dit zonder de moeite om in forums te kijken, waardoor men alleen maar oververhit word of zelfs het antwoord niet wee te vinden.”
Enige kennis van Joomla wordt aangenomen. Daarnaast is er geen kennis over het beveiligen van websites noodzakelijk.

Waarom vervelen met een boek over Joomla! beveiliging?
In mijn ervaring, komen vele mensen naar Joomla! voor een ontwerp en inhoud perspectief.
Zij zijn geen server goeroes maar gewoon mensen die genoeg weten over het ontwerpen en het selecteren van een goed uitziende website. Met daarnaast de kennis om passende inhoud en de informatie en marketing benodigdheden van de organisatie of zaak voor wie ze werken te organiseren.

Template – inhoud – web host – de nieuwe site is online in een korte tijd. Maar de eerste keer dat de site down gaat of de site is gehackt, dan kan een site ontwerper/administrateur tegen een probleem aan lopen; zo wordt er op de achterzijde van het boek suggereert.

Hoewel deze versie de enige huidige is dat ik kon vinden die zich concentreert op Joomla! Beveiliging, heeft het Joomla! team een toegewijd Security Task Force met een redelijk aantal beveiliging informatie gestart vanaf http://docs.joomla.org/.
De zeker ook complete informatie op joomla.org, gaat niet gelijk op met het niveau van de informatie dat in Joomla! Web Security staat.

Geschreven in de spreek vorm, makkelijk te lezen stijl van de auteur, heeft hoofdstuk 1 betrekking op de basiskennis van Joomla! Beveiliging. Het controleren dat aan de installatie bestanden nog niet geknoeid is, het kiezen van de hosting, sommige PHP en Apache instellingen, machtigingen, en het opzetten van veiligheid statistieken.

Met het gegeven dat de keuze van hosting, gezien de beveiliging en de bereikbaarheid van de website, één van de meest cruciale beslissingen is, heeft de auteur ervoor gekozen om zich te concentreren op sommige onverwachte zaken.
De controlelijst van psychische beveiliging is omvangrijk, “Is er water ontdekt onder deze verhoogde vloer? Hebt u toegang tot het gebouw met een trap?” daargelaten, zal de doelgroep beter gediend zijn door een evenzo uitgebreide controlelijst hoe te kiezen voor veilige gedeelde hosting.


Opvallend is dat enige vermelding ontbreekt van suPHP en PhpSuExec (zie tutorial) of een soortgelijke schema voor het draaien van PHP bestanden onder de gebruikersnaam in plaats van de standaard httpd of nobody gebruiker.
Zonder dit zal een andere cliënt op uw gedeelde hosting uw database kunnen lezen en bijna zeker lees- en schrijfrechten krijgen voor uw database — met dit, zijn cliënten op gedeelde hosting meer efficiënt gescheiden, waardoor gedeelde hosting een meer haalbare optie is voor minder veiligheid kritische installaties.

De FTP-laag van Joomla! 1.5 werd ook niet genoemd. Terwijl je in Joomla! 1.0 bestandsrechten nog op 777 moest zetten om extensies te installeren of bestanden te uploaden, zorgt de nieuwe FTP- laag ervoor dat Joomla de bestanden naar zichzelf kan uploaden. Op die manier ontstaat er een strakkere rechten structuur, zonder dat je suPHP of PhpSuExec nodig hebt.

De sectie “Het opzetten van beveiliging statistieken” laat de kracht van de auteur zien.
Hoofdstuk 2 “Test en Ontwikkeling” en hoofdstuk 10 , “Gebeurtenis Management”, beschrijven een methodieken aanpak voor beveiliging en zorgt ervoor dat je goed voorbereid bent op elke mogelijke gebeurtenis.
Voor de meer missie kritische site die ik beheer, heeft dit mij gevraagd om mijn procedures te herzien, maar ik vermoed dat deze hoofdstukken glanzend overgenomen zullen worden door een meerderheid van de doelgroep.

Het is dit soort van tweeheid dat licht werpt op dit boek. Wat ik wil meegeven aan de Joomla! Webmasters, die ik ondersteun als deel van mijn dagelijkse werk, is een boek waarin duidelijk uit gelegd word over veelvoorkomende kwesties in de installatie en administratie van Joomla!.

Joomla! Web Security lijkt dit te beloven, maar is niet in staat alle details te geven die nodig zijn bij de minder ervarene (geen woord over wat numerieke bestand premissies zijn, noch hoe er een MD5 checksum van een bestand dat u download wordt verkregen). En het lijkt een beetje te popelen om naar een hoger niveau management kwestie te springen, zo waardig als deze onderwerpen zijn. En waarom is er een mini snelcursus over hoe gebruik te maken van het software ontwikkeling management systeem Lighthouse, terwijl er amper stap voor stap instructies zijn te vinden in dit boek met scherm afdrukken voor specifieke Joomla! onderwerpen?

Een positieve notitie, hoofdstuk 3 “Gereedschappen” introduceert me op sommige vorige onbekende pakketten alsook sommige oude vrienden. Iedere Joomla! administrateur zou bekend moeten worden met deze: HISA (werkt alleen in J! 1.0 ), de Joomla! Tools Suite (alleen voor J!1.5 in legacy mode), Joomla! Diagnostics (heeft problemen in J!1.5), JCheck (alleen voor J!1.5 en werkt enkel in cron mode). Een voor de hand liggend probleem is dat vele van deze niet volledig of helemaal niet functioneren op alle Joomla! 1.5 sites. De secties op NMAP, Wireshark, Metasploit en Nessus echter zijn goed geschreven en relevant.

Wanneer iemand ervan overtuigd moet worden dat de bedreigingen aan een Joomla! site echt zijn, verwijs deze dan naar het centrale hoofdstuk van dit boek. Hier legt Tom Canavan uit “Hoe de slechte jongens het doen”, en detailleert de anatomie van de aanvaller. Dit is een echte blikvanger en vereist te worden gelezen voor enige veelbelovende site administrateurs. Het is goed om te zien dat een controlelijst van verdere onderwerpen voor verdere studie aanwezig is (p. 144).

Als laatste keren we terug naar meer specifieke Joomla! onderwerpen. Een sectie van recepten voor .htaccess en php.ini bestanden bestrijkt deze bruikbare onderwerpen als apache’s mod_redirect, wachtwoord bescherming en toegangscontrole.
Het “Log Bestanden” hoofdstuk is behaaglijk Joomla!-specifiek en heeft ook betrekking op sommige analyse gereedschappen voor log bestanden.


Achter in het boek Joomla! Web Security vindt u een samenvatting van de belangrijkste onderwerpen van het boek en een overzicht van poortnummers, apache status codes en TLD domeincodes. De lijst van belangrijke instellingen voor .htaccess en php.ini is een handig naslagwerk.

Toen ik deze recensie schreef kwam ik erachter dat de auteur eerder een boek heeft geschreven over een soortgelijk onderwerp. Dodging the Bullets — A Disaster Preparation Guide for Joomla! Based Websites gaat over het voorkomen van problemen bij het maken van een website met Joomla!.

Kritische recensies suggereerden dat het boek zich richt op grotere bedrijven die gebruik maken van Joomla!, en veel minder op de Joomla! beheerder die gewoon wil weten welke instellingen en instrumenten nodig zijn voor het beveiligen van een website. Met dit nieuw boek wordt dat enigszins goedgemaakt. Er staan meer praktische tips in en mijn advies aan de gemiddelde Joomla! beheerder is om te werken met Joomla! Web Security, in plaats van met Dodging de bullets.


Hoewel Joomla! Web Security een interessant boek is voor de Joomla! liefhebber, zou ik liever een nog praktischer boek zien waarin specifiek aandacht wordt besteed aan ontwikkelingen binnen Joomla! 1.5 en dat dieper ingaat op het kiezen van de juiste hosting aanbieder. Hoewel dit boek deze onderwerpen niet uitgebreid aan de orde stelt, bevat het een schat aan informatie en beveel ik aan het te lezen.

Op de website van de uitgever vindt u de inhoudsopgave, een algemene beschrijving van het boek, een link naar het voorbeeld hoofdstuk, downloadcodes, en mogelijkheden om het boek on-line aan te schaffen. Diverse aanbiedingen en pakketkortingen (o.a. met Adobe e-boek) worden aangeboden op de site. Het boek is ook verkrijgbaar bij Barnes en Noble en andere boekhandels en via Amazon.com. Op Slashdot zijn recensies van lezers van harte welkom. Wilt u zelf een recensie plaatsen, lees dan de aanwijzingen op de website en voeg uw mening over het boek toe.

Stephen Brandon is auteur van de populaire MetaMod Joomla! module en web manager bij een internationale non-profit organisatie."

Bron: recentie geplaatst op Slashdot door Stephan Brandon en vertaald door Karina