Jak się zabezpieczyć
Strona 1 z 3 123 OstatniOstatni
Wyniki 1 do 10 z 28

Temat: Jak się zabezpieczyć

  1. #1
    Opiekun forum
    Dołączył
    19-09-2005
    Wpisy
    3 743
    Punkty
    131

    Domyślny Jak się zabezpieczyć

    Na oficjalnym forum J! są dwa tematy, które są niezwykle istotne dla wszystkich pracujących z J!.

    Pierwszy dotyczy zabezpieczenia od strony użytkownika
    http://forum.joomla.org/index.php/topic,81058.0.html

    Durgi dotyczy bezpiecznego pisania dodatków do J!
    http://forum.joomla.org/index.php/topic,78781.0.html

    Jak widać oba są na razie dostępne jedynie w języku angielskim, a na pewno przydały by się też po polsku. I stąd gorąca prośba, jeżli ktoś ma czas i chciałby pomóc społecznościm niech przetłumaczy ile da radę i wklei w ten temat, potem to złożymy w całość.

    Serdecznie dzięki.

  2. Pani Reklamowa
    Pani Reklamowa jest aktywna
    Avatar Panny Google

    Dołączył
    19-08-2010
    Skąd
    Internet
    Postów
    milion
    Pochwał
    setki
  3. #2
    Przeglądacz
    Dołączył
    26-04-2007
    Wpisy
    56
    Punkty
    -6

    Domyślny

    jak to wylaczyc?

    PHP register_globals
    szukalem w PA hostingu i niema nigdzie nic o tym
    a czytalem gdzies ze przez to mozna sobie napykac biedy

    znalazlem w sieci to
    Należy utowrzyć na serwerze plik .htaccess (lub dodać wpis jeśli plik już istnieje) z wpisem:
    php_flag register_globals off

    W Joomla! standardowo po intalacji znajduje się już htacces.txt - wystarczy za pomocą klienta FTP np. FileZilla - zmienić jego nazwę na .htaccess (ważne jest wstawienie kropki przed nazwą) i dodać na końcu podaną linię.

    Jeżeli po zmianie nazwy na .htaccess witryna przestanie działać, należy zmienić mu nazwę na pierwotną htaccess.txt - oznacza to, że serwer nie umożliwia indywidualnych ustawień za pośrednictwem tego pliku.
    ale niestety lipa nie dziala dodałem to: php_flag register_globals off na koncu tekstu w pliku .htaccess ale niestety po zmianie nazwy witrybna znika, czy jest jakis inny sposob?
    Ostanio edytowane przez trytyt : 13-05-2007 17:53

  4. #3
    Ten Niedobry Rybik awatar
    Dołączył
    26-09-2005
    Skąd
    Gliwice
    Wpisy
    2 180
    Punkty
    70

    Domyślny

    napisać do serwerowni

  5. #4
    Przeglądacz
    Dołączył
    26-04-2007
    Wpisy
    56
    Punkty
    -6

    Domyślny

    pisalem ale to jest banda idiotow nieodpowiadaja nikomu na maile musze zmienic hosting ale narazie nimam kaski

  6. #5
    Przeglądacz daresh awatar
    Dołączył
    18-12-2005
    Wpisy
    50
    Punkty
    11

    Domyślny

    Możesz jeszcze sprawdzić czy zadziała utworzenie w katalogu Joomli pliku php.ini a w nim:

    register_globals = 0
    www.psychologia-spoleczna.pl

  7. #6
    Przeglądacz
    Dołączył
    26-04-2007
    Wpisy
    56
    Punkty
    -6

    Domyślny

    doszlem napisalem do admina codem odpisal i w menu PA pojawila sie opca on/off przestawilem i samo dziala nic niemusialem na ftp zmieniac
    ale dzieki

  8. #7
    Przeglądacz
    Dołączył
    08-06-2007
    Skąd
    DC
    Wpisy
    50
    Punkty
    20

    Domyślny

    Witam!

    Zabralem sie za tlumaczenie pierwszego z dwu polecanych watkow na temat bezpieczenstwa. Nie wiem czy o takie cos Wam mniej wiecej chodzi ? (wlasciwie teskt jest naszpikowany linkami z ktorych kazdy prowadzi do dalszych, nie mniej ciekawych materialow - w sumie nalezaloby je przelozyc wszystkie...)

    oto link do czesci mojego tlumaczenia (najpierw oryginal potem leci polski)
    http://markooff.net/pliki/tlumaczenie.doc

    Pozdrawiam

  9. #8
    Senior zwiastun awatar
    Dołączył
    20-09-2005
    Wpisy
    26 833
    Punkty
    1096

    Domyślny

    Częśc od pkt. 1:

    1. Read Me First! -

    do końca pkt 4

    4. Development

    jest przetłumaczona (tekst w jednym z następnych postów),

    Żeby było jasne, co pozostało do przetłumaczenia, usunąłe m ten fragment

  10. #9
    Senior zwiastun awatar
    Dołączył
    20-09-2005
    Wpisy
    26 833
    Punkty
    1096

    Domyślny

    5. Installing, Upgrading, and Configuring Joomla! Core and Apache Server
    Always upgrade to the latest stable Joomla! version.

    Download Joomla! from official sites, such as the Joomla! Forge, and check the MD5 hash.

    Delete left over files. The installation process will require you to deleted the installation directory and all its contents. Do this! If you upload files to your site as compressed archives (xxxx.zip for example), don't forget to remove the compressed file when finished with it. In general, do not leave any files, compressed or otherwise, on a public server unless they are required for the functioning of your site.

    Increase the security of the all-critical configuration.php file by moving it outside of public_html. [FAQ]

    Change the user name of the default admin user. This simple step greatly increases the security of this critical account. [FAQ]

    Block typical exploit attempts with .htaccess files. [FAQ]

    Password protect sensitive directories, such as administrator, with .htaccess files. [FAQ]

    Restrict access to sensitive directories by IP Address, using .htaccess. [FAQ]

    Depending on your host, you may be able to increase security by switching to PHP5. [FAQ]

    Follow the "Least Privilege" principle for running PHP using tools such as PHPsuExec, php_suexec or suPHP.

    Configure Apache mod_security and mod_rewrite filters to block PHP attacks.
    Google Search Example: http://www.google.com/search?q=apache%20mod_security
    Google Search Example: http://www.google.com/search?q=apache%20mod_rewrite

    Be sure MySQL accounts are set with limited access. The initial install of MySQL is insecure; careful configuration is required.
    MySQL Documentation

    Currently, both PHP4 and PHP5 are maintained. Before PHP4 becomes obsolite, upgrade your code to PHP5. By the way, you don't worry about Joomla! Core. It's already PHP 5 compatible. PHP News

    Avoid the use of PHP safe_mode. [FAQ]
    Turn Joomla! Register Globals Emulation OFF by editing the file, globals.php. (Found in the root directory of your Joomla! site.) Although Joomla! emulation is safer than PHP register_globals, it's best not to allow register_globals at all. Beginning with PHP 6, this will not even be an option. Note that poorly-written extensions may fail with register_globals OFF. Best advise: Don't use such extensions! Here's the correct setting for your globals.php file:

    define( 'RG_EMULATION', 0 );

    Related Forum Discussion

    Ensure that all configurable paths to world writable directories (document repositories, image galleries, caches) are outside web_root. Check third party extensions, such as DOCMan and Gallery2, for editable settings. Note that there is currently no easy way to move the standard Joomla image directory.

    Once your site is configured and stable, write-protect directories and files by changing directory permissions to 755, and file permissions to 644. There is a feature in Site --> Global Configuration --> Server to set all folder and file permissions at once. Test third party extensions afterwards. Note: You'll need to reset write permissions to install more extensions.
    Post: Shell script for setting file and directory permissions

    Remove all design templates not needed by your site. Do not put security logic in template files.
    Post: Suggest Ability to turn off/on template change

    If you use a VPS or dedicated server, run TripWire or SAMHAIN (GNU/GPL) . They perform exhaustive file checking and reporting functionality, and can be installed in a stealthy manner to help protect themselves in the event of a serious infiltration.

    Hire a professional Joomla! security consultant to review your configurations.
    ----
    5 Instalacja. Uaktualnienie i konfiguracja silnika Joomla! i serwera Apache

    Zawsze instaluj uaktualnioną najnowszą stabilną wersję Joomla!

    Zawsze ściągaj Joomla! tylko z oficjalnych serwisów takich jak Joomla! Forge, sprawdzaj też sumy kontrolne MD5

    Zawsze usuwaj zbędne/pozostawione pliki. W trakcie procesu instalacji instalator zażąda od Ciebie usunięcia katalogu instalacyjnego oraz całej jego zawartości. Zrób to! Jeśli wgrywałeś na serwer Joomla! jako skompresowane archiwum (np. xxxx.zip), nie zapomnij usunąć po instalacji oryginalnego pliku archiwum Ogólnie – nie pozostawiaj na serwerze żadnych zbędnych plików, skompresowanych czy nie – dopóki Twój Portal nie będzie ich potrzebować do funkcjonowania.

    6. Installing, Upgrading, and Configuring Joomla! Extensions (Components, Modules, Bots, and Plugins)
    6.1: BEFORE installing new extensions backup your site and your site's database.

    6.2: BEFORE installing third party extensions, check: Official List of Vulnerable 3rd Party/Non Joomla! Extensions

    6.3: Only download extensions from trusted sites. The official definition of a "trusted site" is one that YOU trust.

    6.4: User beware! Third party extensions come in all flavors of quality and age. Although Joomla! coding standards exist, extensions listed on the official Joomla! site are not reviewed for compliance. Test all extensions on a development site before installing on a production site. [FAQ (Part 1)] [FAQ (Part 2)]

    6.5: Most security vulnerabilities are caused by third party extensions. In fact there's an entire forum dedicated to this subject. Subscribe to it using the Notify button.

    6.6: Remove unused extensions, and double check that all related folders and files were removed by the uninstall scripts. Note that many third party extensions leave files on your server, and many leave the related database tables untouched. This is either a feature or a bug, depending on your point of view.

    6.7: Remove or fix any Joomla! extension that require register_globals ON.
    How to fix an extension that requires register_globals ON
    =================
    6. Instalacja, aktualizacja i konfiguracja rozszerzeń Joomla! (komponentów, modułów, botów i wtyczek)
    6.1. PRZED instalacją nowego rozszerzenia wykonaj kopię zapasową witryny i kopię zapasową bazy danych.
    6.2. PRZED instalacją rozszerzeń innych zespołów, sprawdź: Official List of Vulnerable 3rd Party/Non Joomla! Extensions
    6.3. Pobieraj rozszerzenia tylko z zaufanych witryn. Jest jedna oficjalna definicja "zaufanej witryny": TY ufasz!
    6.4: Użytkownik rozsądny (strzeżony, bezpieczny)! Rozszerzenia innych projektantów są różnej jakości, powstaly w różnym czasie (starzeją się). Chociaz istnieją standardy kodowania w Joomla!, rozszerzenia umieszczane w katalogu zasobów na oficjalnej stronie Joomla! nie są przeglądane pod kątem zgodnosci ze tandardmi kodowania. Testuj każde rozszerzenie na testowej witrynie PRZED instalacją na witrynie produkcyjnej.
    6.5: Najwięcej zagrożeń bepieczeństwa niosą ze sobą rozszerzenia opracowane przez innych projektantów. Rzeczywiscie, to fakt. Istnieje całe forum dedykowane temu tematowi. Zaprenumeruj je, kliknij przycisk Notify/Powiadomienia
    6.6 Usuwaj nieużywane rozszerzenia i dwuktrotnie sprawdzaj, czy wszystkie foldery i pliki zostały usunięte po deinstalacji. Zauważ, że wiele rozszerzeń innych projektantów po odinstalowaniu pozostawia na Twoim serwerze dużą ilość plików i dużą ilość tabel w bazie danych. To jest albo zaleta, albo błąd - zależy od Twojego punktu widzenia!
    6.7. Usuń lub napraw wszystkie rozszerzenia, któe wymagają włączonych register_globals.
    (How to fix an extension that requires register_globals ON)
    Jak naprawić rozszerzenie wymagajace włączonych register_globals
    ===========

    7. Configuring php.ini
    7.1: Understand how PHP configurations are controlled by reading the well-documented default php.ini file included with every PHP install.
    Latest default php.ini file

    7.2: Understand how to work with the php.ini file.

    7.3: Study the Official List of php.ini Directives at www.php.net

    7.4: On shared servers you can't edit the main php.ini file, but you may be able to add a custom file. If so, you'll need to copy that file to every sub-directory that requires the custom php.ini settings. Luckily a free set of scripts do the hard work for you:
    B&T's Tips and Scripts

    7.5: Read the following post, by Beat, Q&T Workgroup Member, for a list of php.ini methods sorted in order of preference:
    Secure it with php.ini

    7.6: Set register_globals OFF. This directive determines whether or not to register the EGPCS (Environment, GET, POST, Cookie, Server) variables as global variables. This is an important setting to turn OFF. If you can't gain access to php.ini, see the switch to PHP5 using .htaccess techique above.
    ZEND Chapter 29. Using Register Globals
    ==== robocze, rozszerzone info
    7.6. Ustaw register_globals na OFF. Ta dyrektywa decyduje, czy zmienne otrzymywane z formularzy, ciastek, sesji lub serwera będą traktowane jako zmienne globalne. Używając zmiennych globalnych, nie można stwierdzić, czy dana wartość pochodzi z sesji czy może została podana w URL-u metodą GET. W przypadku źle napisanych skryptów, można obejść zabezpieczenia.
    Dlatego ważne jest, aby wyłączyć rejestrowanie zmiennych globalnych. Jeśli nie masz dostępu do pliku php.ini przełącz się na PHP5 i użyj techniki .htaccess omówioonej powyżej.

    ====
    7.7: Use disable_functions to disable dangerous PHP functions that are not needed by your site.

    7.8: Disable allow_url_fopen. This option enables the URL-aware fopen wrappers that enable accessing URL object like files. Default wrappers are provided for the access of remote files using the ftp or http protocol, some extensions like zlib may register additional wrappers. Note: This can only be set in php.ini due to security reasons.



  11. #10
    Senior zwiastun awatar
    Dołączył
    20-09-2005
    Wpisy
    26 833
    Punkty
    1096

    Domyślny

    7.9: Adjust the magic_quotes_gpc directive as needed for your site. The recommended setting for Joomla! 1.0.x is ON to protect against poorly-written extensions. Joomla! 1.5 ignores this setting and works fine either way.
    PHP Manual, Chapter 31. Magic Quotes.
    ==== robocze, rozszerzone info
    7.9: Poprawienie ustawienia magic_quotes_gpc jest konieczne dla Twojej witryny. Zalecanym ustawieniem dla Joomla 1.0.x jest ON, aby chronić przed źle napisanymi skryptami rozszerzeń. Joomla 1.5 ignoruje to ustawienie i działa poprawnie w każdym przypadku. [magic_quotes_gpc ustawia stan stan magic_quotes dla operacji GPC (Get/Post/Cookie). Jeśli jest włączona, wszystkie znaki ' (apostrof), " (cudzysłów), \ (backslash) i znaki NULL są zamieniane na sekwencje escape przez dodanie przed te znaki znaku lewego ukośnika].
    ====
    7.10: open_basedir (should be enabled and correctly configured)
    Limit the files that can be opened by PHP to the specified directory-tree. This directive is NOT affected by whether Safe Mode is ON or OFF. The restriction specified with open_basedir is a prefix, not a directory name. This means that "open_basedir = /dir/incl" also allows access to "/dir/include" and "/dir/incls" if they exist. To restrict access to only the specified directory, end with a slash.
    PHP Security and Safe Mode Configuration Directives

    7.11: Example php.ini directives for the above suggestions:
    Quote
    register_globals = 0
    disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open
    allow_url_fopen = 0
    magic_quotes_gpc = 1
    safe_mode = 1
    open_basedir = /dir/to/include/change/me
    8. Joomla! Hardening for Maximum Security
    8.1: Don't use a shared server. Some experts differ here. The point is, no matter how your server is configured, make sure you and the vendors you trust are the only organizations with access. [FAQ]

    8.2: Use an SSL server for confidential transactions. Read this enlightening discussion on the need for SSL any time security is important. (Note that Joomla! version 1.0.11 does not allow you to assign an SSL server to individual sub-directories. Can someone tell me if 1.0.12 changes this?) [FAQ]

    8.3: For an additional layer of password protection, use .htaccess files in critical directories. [FAQ]
    9. Ongoing Site Administration
    9.1: Use Well-Formed Passwords: Change passwords regularly and keep them unique. Use a random combination of letters, numbers, or symbols and avoid using single names or words found in a dictionary. Never use the names of your relatives, pets, etc. Wizzie has supplied a script that automatically changes passwords. This is a great tool for administrators or multiple sites. Automatic Admin PW Generator

    9.2: Follow a Password Leveling Scheme
    Most users may not need more than three levels of passwords and webmasters no more than five. Each level must be completely unrelated to the others in terms of which usernames and passwords are used. [FAQ]

    9.3: Maintain a Strong Site Backup Process: Never rely on others' backups. Take responsibility for your backup procedures. Many ISPs state in their contract that you can not rely solely on their backups.

    9.4: Perform Automated Intrusion Detection: Use an Intrusion Prevention/Detection Systems to block/alert on malicious HTTP requests.
    Google Search Example: http://www.google.com/search?q=Intrusion+Prevention

    9.5: Perform Manual Intrusion Detection: Regularly check raw logs for suspicious activity. Don't rely on summaries and graphs. There is a good discussion of creative ways to automatically check log files in this topic.

    9.10: Stay Current with Security Patches and Upgrades Apply vendor-released security patches ASAP.

    9.11: Proactively Seek Web Vulnerabilities: Perform frequent web scanning.
    Google Search Example: http://www.google.com/search?q=%22web+scanning%22

    9.12: Proactively Seek SQL Injections Vulnerabilities: Use tools such as Paros Proxy for conducting automated SQL Injection tests against your PHP applications.
    Google Search Example: http://www.google.com/search?q=%22SQL+Injection%22
    Wikipedia: http://en.wikipedia.org/wiki/SQL_injection

    9.13: Use Shell Scripts to Automate Security Tasks: If you're comfortable with shell scripts (and you should be), you may want to try the following scripts supplied for free to the community by Wizzie
    Joomla! Version Checking
    Joomla! Component/Module Version Checking
    Exploit Checking

    9.14: Learn all you can about security software: Sadly, there's no one tool that you can install to protect your site. If there were, it would be so heavily targeted that it would probably become a liability. Related topic.

    9.15: If you're a developer, prepare for the approaching release of Joomla! 1.5, the most significant upgrade in Joomla!'s history.
    - Monitor 1.5 development status.
    - Start playing with the beta version.
    - Learn about Model, View, Control (MVC).
    - Develop a conversion plan for extensions you've written.
    - Develop a conversion plan for your existing sites.


    10. Site Recovery
    10.1: Know how to hack free when your site's been compromised. [FAQ]

    10.2: Know how to find exploit attempts using the *NIX shell. [FAQ]


    11. Your Turn...
    11.1: Please post critical security issues with the Joomla! core here.

    11.2: Please post any correction/additions to this document here.

Strona 1 z 3 123 OstatniOstatni

Reguły pisania

  • Nie możesz zakładać nowych tematów
  • Nie możesz dodawać wypowiedzi
  • Nie możesz dodawać załączników
  • Nie możesz poprawiać swoich postów
  •