Witam!
Wydarzenie jakim było zhackowanie paru moich stronek przez jakiś szemrany element zamieszkujący (najprawdopodobniej) tereny nad Bosforem zainspirowało mnie do stworzenia takowego tematu .
Przeglądając forum zauważyłem, że temat bezpieczeństwa poruszany jest w różnych postach ale nie ma kompleksowego opracowania dla "zielonych" w Joomli i innych, którzy zamierzają poszerzyć zakres wiedzy w tym obszarze. W angielskich książkach poświęconych Joomli można natrafić na stwierdzenie jakoby zawartość była rzeczą kluczową na stronie. A bezpieczeństwo? To jest klucz.
TEMAT BĘDZIE AKTUALIZOWANY!!! Wszelkie błędy w składni, uwagi proszę zamieszczać w postach poniżej.
Chciałbym zwrócić uwagę, iż też jestem zielony w aspekcie bezpieczeństwa ale zależy mi na stworzeniu takiego tematu. Dołożę wszelkich starań aby materiały oraz linki zamieszczone w tym poście były pomocne i aktualne. Wiedzę będę czerpał zarówno od doświadczonych użytkowników jak i z oficjalnych źródeł.
*********************************************
WSKAZÓWKI KOMPATYBILNE Z JOOMLĄ WERSJA: 1.5.8
1. PRAWA DOSTĘPU (tzw CHMODY) DO PLIKÓW JOOMLI NA SERVERZE
Wszystkie katalogi powinny mieć ustawiony dostęp na 755
Pliki na 644
Jednym z darmowych programików który jest świetnym klientem FTP i pozwala edytować prawa dostępu jest FileZilla dostępna TUTAJ
2. JAK CHRONIĆ DOSTĘP DO ZAPLECZA - podstawowe informacje (tekst zaczerpnięty z posta ZWIASTUNA)
Chociaż dostęp do zaplecza jest chroniony, zadbaj o silne hasła dla kont administratorów. Silne hasła są różnie definiowane, zawsze jednak winny:
a) liczyć nie mniej niż 8 znaków,
b) składać się z mieszaniny przypadkowych liter i cyfr,
c) być co jakiś czas zmieniane.
Aby zwiększyć ochronę zaplecza, możesz dodatkowo:
a) skorzystać z techniki "podwójnej rejestracji" - ochronić wymogiem logowania się dostęp do katalogu /administrator za pomocą pliku .htaccess
b) ograniczyć za pomocą .htaccess dostęp do zaplecza tylko dla komputerów logujących się z określonych IP.
3. KANAŁ RSS DOT. NAJNOWSZYCH LUK W JOOMLI I SPOSOBY ICH NAPRAWY
http://feeds.joomla.org/JoomlaSecurityNews <--- możliwa subskrypcja; w każdej wiadomości znajduje się opis luki, info dot. tego w jakiej wersji występuje i co trzeba zrobić żeby ją wyeliminować
4. PLIK .htaccess
Po instalacji prawie każdej wersji Joomli na serwerze w głównym katalogu generowany jest plik htaccess.txt . Nie wnikając w szczegóły jest on ważny jeśli chodzi o bezpieczeństwo naszej Joomelki. Po instalacji należy nazwę zmienić z "htaccess.txt" na ".htaccess" . Kropka przed plikiem sprawi, że może on być czasami na pozór niewidoczny (jeśli np.: bedziecie łączyli się z serwerem za pomocą przeglądarki) ale będzie działał.
UWAGA! Plik .htaccess jest plikiem tekstowym, który można otworzyć np: w systemowym Notatniku. Zwróćcie uwagę na ostatnią linię. Po jakiejś komendzie (w zależności co tam macie) nie może wystąpić pusta linia tj. pusty wiersz robiony np.: naciskając ENTER).
MODELOWY PLIK .htaccess, który sam przygotowałem i przetestowałem możecie znaleźć tutaj:
Kod HTML:
http://rapidshare.com/files/179084339/htaccess.rar
Plik przetestowany, instrukcje są w środku spakowanego pliku. Plik zawiera istrukcje zwiększające bezpieczeństwo gdyż:
- Blokuje dostęp plikom do skryptów CGI, Perl, Python i plików tekstowych (wykonywanych np. w formularzach do wstrzyknięcia obcego kodu)
- Nie blokuje dostepu do pliku robot.txt niezbednego dla robotów indeksujących Google
- W dużym stopniu ogranicza crawlery , boty i inny element łażący po naszych stronkach w celu wykorzystania luk np w formularzach i książkach gości by dopisać np 100 użytkowników lub szukających adresów email.
NOTA NA TEMAT WIELKOŚCI PLIKU
Wrzuciłem tam dodatkowego pdfa żeby plik miał więcej niż 5 mega bo tylko za takie dostaje się punkty na Rapidzie. A je mozna później wymienic na normalne konto. sam htaccess zajmuje parę kilo. Więc nie przerażajcie się wielkością
5. ŹRÓDŁA DOT. BEZPIECZEŃSTWA NA PORTALU WWW.POMOC.JOOMLA.PL
Częste pytania: Bezpieczeństwo
Bezpieczeństwo - lista kontrolna
Ochrona przed włamaniem
10 najgłupszych tricków administratora
Jak znaleźć najlepszego dostawcę serwera
Witryna po włamaniu