Branche: Dienstleistungen
Realisiert mit Joomla CMS, PHPBB, PHP, Apache Webserver
Aufbau eines CMS, das zwar auf einem öffentlichen Webserver läuft jedoch ausschliesslich Zugriff für ca. 500 registrierte Mitarbeiter des Kunden erlaubt. Da auch vertrauliche Daten bereit gestellt werden, musste Joomla hier durch einige Sicherheitsvorkehrungen ergänzt werden. Die User-Accounts wurden automatisch erzeugt um den manuellen Aufwand auf Seite des Kunden auf nahezu NULL zu halten. Das System soll mehrere lokale Dateiablagen automatisch im CMS abbilden. Eine Forum-Software soll nahtlos integriert werden. Training der zuständigen Admins und Autoren.
User Import
Eine Excel-Liste mit den Mitarbeiterdaten wird durch ein PHP Script verarbeitet, das Usernamen und sichere Passwörter nach einem bestimmten Schema automatisch generiert und die Daten samt verschlüsseltem Passwort in die Datenbank von Joomla schreibt. Zusätzlich wird eine CSV-Datei generiert, die als Datenquelle für einen Serienbrief mit den Accountdaten dient.
Zusätzliche Sicherheitsmassnahmen
- Joomla wurde für nicht registrierte User komplett gesperrt.
- Über eine .htaccess-Datei werden sämtliche HTTP-Aufrufe in HTTPS umgewandelt.
- Durch einen Core-Hack wurde Joomla so modifíziert, dass nur noch sichere Passwörter akzeptiert werden, sobald ein User sein initiales Passwort ändert.
- Das Admin Backend wurde so abgesichert, welches ein zusätzliches Sicherheitstoken in der URL verlangt. Für diesen Zweck wurde ein Standard-Plugin verwendet.
Beliebig grosse Datenmengen mit nur 1 Zeile Code darstellen !
- Beliebige Teile einer Ordnerstruktur werden automatisch dem Besucher als Verzeichnisbaum präsentiert.
Ein Klick auf einen Eintrag öffnet automatisch die mit dem Dateityp verknüpfte Anwendung (Acrobat Reader, Word, Excel etc.) und lädt die Datei. Um grosse Datenmengen so darzustellen ist lediglich 1 Zeile Code in der Menüverwaltung des CMS notwendig !
PDFs in Inhalte einbetten
PDF können an beliebiger Stelle eingeblendet werden. Dazu ist lediglich 1 Zeile Code im Beitragseditor des CMS einzufügen.
Sichere Dateiablage
- Die Dateiblage wird per FTP vom LAN auf den Webserver in ein .htaccess-geschütztes Verzeichnis gespiegelt.
- In Joomla werden beliebige Teile dieser Ablage als Baustruktur angezeigt, aus der Dateien heruntergeladen werden können. Alle URLs in dieser Struktur sind verschlüsselt.
- Managed Downloads: Um die .htaccess-Passwortabfrage im Browser des Users zu unterdrücken, werden alle Downloads durch ein weiteres PHP Script gemanaged. Das Script liest das entsprechende File und streamed es direkt zum Browser.
- Um PDF-Inhalte aus gesicherten Bereich in Beiträge einbetten zu können wurde ein ähnliches Script verwendet, das jedoch keinen autom. Download im Browser startet.
- Alle diese externen Scripts (es handelt sich hier nicht um Joomla Plugins!) wurden so abgesichert, dass sie nur funktionieren, wenn sie durch einen registrierten Joomla-User aufgerufen wurden, der aktuell eingelogged ist und eine in der URL übermittelte, von Joomla unabhängige Sitzungs-ID übereinstimmt.
Integration Forum-Software
Über einen HTML-Wrapper wurde PHPBB3 in Joomla integriert. Damit die User sich nur 1 x anmelden müssen wird die Userdatenbank von Joomla mit der von PHPBB synchronisiert. Passwortänderungen geschehen ebenfalls synchron. Die Inhalte des Forums können über die Standard-Suchfunktion des CMS durchsucht und die Ergebnisse nahtlos angezeigt werden. Hier kommt ein modifiziertes Standard-Plugin von Joomla zum Einsatz (JFusion).