Joomla beveiligen: bescherm je website tegen veelvoorkomende aanvallen

De meeste gehackte Joomla-websites waren te voorkomen. Aanvallers maken misbruik van bekende zwakke plekken: standaard beheerdersnamen, ontbrekende tweefactorauthenticatie, niet-bijgewerkte extensies en verkeerd geconfigureerde servers. Deze gids behandelt de beveiligingsmaatregelen die er werkelijk toe doen.

Voor de volledige beveiligingsgids over end-of-life-risico's, extensiebeveiliging en herstel na een hack lees je onze Joomla Security Hub.

De vijf belangrijkste dingen om nu te doen

1. Werk alles bij. De Joomla-core. Elke extensie. Je PHP-versie. Is je Joomla-versie end of life, ga dan upgraden — geen enkele hardeningmaatregel repareert een CMS dat geen ondersteuning meer krijgt.

2. Zet tweefactorauthenticatie aan. Joomla 5 en 6 hebben standaard 2FA ingebouwd. Schakel het in voor elk beheerdersaccount. Deze ene maatregel houdt het merendeel van de brute-force- en credential-stuffing-aanvallen tegen.

3. Wijzig de standaard beheerdersnaam. Heet je Super Administrator-account nog steeds "admin"? Verander het vandaag nog. Geautomatiseerde aanvalstools richten zich juist op deze gebruikersnaam.

4. Verwijder ongebruikte extensies. Elke geïnstalleerde extensie vergroot het aanvalsoppervlak. Gebruik je een extensie niet actief, verwijder hem dan volledig — niet alleen uitschakelen, maar echt deïnstalleren.

5. Controleer of je back-ups werken. Geautomatiseerde back-ups zijn onmisbaar. Maar wanneer heb je voor het laatst getest of een herstel ook echt lukt? Een ongeteste back-up is een hoop, geen vangnet.

Hardening op serverniveau

Overal HTTPS. SSL/TLS op alle pagina's, afgedwongen via .htaccess of je serverconfiguratie. Zonder uitzondering.

Bestandsrechten. Mappen: 755. Bestanden: 644. configuration.php: 444. Deze instellingen voorkomen ongeoorloofde wijzigingen aan bestanden.

Bescherming van de beheermap. Voeg wachtwoordbeveiliging op serverniveau, IP-beperkingen of een geheime URL-parameter toe aan je /administrator-map. Dat vermindert het aantal brute-force-pogingen drastisch.

Web Application Firewall. ModSecurity, LiteSpeed WAF of een cloud-WAF zoals Cloudflare beschermt je op serverniveau tegen SQL-injectie, XSS en file-inclusion-aanvallen.

Foutrapportage uit. Zet de foutrapportage van Joomla op "None" of "System Default" op productiesites. "Maximum" toont serverpaden en configuratiedetails waar aanvallers dankbaar gebruik van maken.

Doorlopende beveiliging

Beveiliging is geen eenmalige configuratie. Het vraagt om voortdurende monitoring, updates en aandacht. Onze onderhoudspakketten omvatten beveiligingsmonitoring, updatebeheer en back-upcontrole.