Moje podstawy zabezpieczen | zapraszam do dyskusji

[neo_fox]

Zainstalowanie ( kupienie ) komponentu jakim jest RSfirewall

Nie wiem bo nigdy nie używałem ale w moim przekonaniu wystarczy dobrze skonfigurowany serwer.
Przydaje się w moim przekonaniu Akeeba Admin Tools.

Jesli uzywasz komponentow z warezow

W zasadzie to bez komentarza.

i tutaj moze pytanie, o co chodzi dokladnie z ta zmiana ID, czy moge na dowolna zmienic?

Chodzi o to że każdy głupi script kiddie wie że w Joomla! id administratora to 62 względnie 42 więc jak próbuje jakichś SQL-Injection to stara się nadpisać dane (hasło/username) właśnie tego konkretnego użytkownika. Jeśli mu się to uda to zdobędzie w ten sposób dane super admina.

Na ważniejszych stronach korzystam z secret URL parameter (1) bo mi się notorycznie barany próbują na konto dostać.

Ważne jest:
- Dobra nazwa użytkownika. W Joomla! można używać na przykład spacji na co większość włamywaczy nie wpada
- Dobre hasło. Napisałem dawno temu taki skrypt do generowania haseł które w miarę łatwo można zapamiętać: https://pass.sigsiu.net/
- Na ważniejszych stronach blokuje co niektóre próby włamania poprzez .htaccess. Zobacz sobie tu: http://www.sigsiu.net/presentations/...a_website.html (Joomla! .htaccess file example). Tylko ostrożnie z tym bo można sobie zablokować dostęp do części strony.


1) Akeba Admin Tools -> Web Application Firewall -> Administrator secret URL parameter

[dumes]

neo_fox

Jeśli chodzi o ID to moge swobodnie zmienic na jakis inny tak? 62 np. na 232 ?
Tak samo sie tyczy uzytkownikow ktorzy maja dostep do panelu? np. jakis redaktor posiada dostep i pewne prawa admina to tez mozna mu zmienic ID?

Mam pare stron na joomli, stoja one na jednym serwerze, a dokladnie nazwa.pl, czy jesli wylacze Safe mode off i register globals off to niektore komponenty moga mi sie wykrzaczyc?
Mam najnowsza joomle 1,5 i 1,7 ( narazie nie przesiadam sie na 2,5, wole poczekac az zostana zalatane wszelkie niedorobki, nie spieszy mi sie. Ostatnio aktualizowalem jedna strone z 1,7 na 2,5 i w panelu admina mialem ikonki w pionie zamiast w szeregu tak jak jest po zalogowaniu. Nie wiem czy to wina mojego systemu czy po prostu wszelkich niedorobek z nim zwiazanych.

[neo_fox]

Jeśli chodzi o ID to moge swobodnie zmienic na jakis inny tak? 62 np. na 232 ?

Tak

np. jakis redaktor posiada dostep i pewne prawa admina to tez mozna mu zmienic ID?

Można ale po co?

Safe mode off i register globals off to niektore komponenty moga mi sie wykrzaczyc?

Jeśli masz komponenty które wymagają register globals on to od razu je skasuj.
Jeśli masz "Safe mode on" - to poszukaj innego usługodawcy.

Jeśli masz Joomla! 1.7 to zrób update na 2.5
Joomla! 2.5 jest bezpośrednim następcą 1.7 (LTS) także raczej jest bardziej prawdopodobne że jest bardziej stabilny niż 1.7

[dumes]

Na serwerze mam register_globals OFF, tak samo safe_mode: OFF w nazwa.pl masz taka mozliwosc samemu ingerowana w ustawienia, przynajmniej te ;)
Jesli mam php 5.2 i zmienie sobie na php 5.3 to joomla nie powinna sie wysypac? Poniewaz mam mozliwosc wyboru/przejscia na nowsza wersje.

Sprobuje zrobic update z 1.7 do 2.5.1 na dniach zobaczymy czy sie wysypie ;)

---------- Post dodany 08-02-2012 o 00:39 ---------- Poprzedni post był 07-02-2012 o 18:08 ----------

Jeszcze mam do was jedno pytanie, mianowicie chodzi mi o darmowy komponent dodatek do joomli,

Pod adresem:

Kod:

http://blog.elimu.pl/4305-jhackguard-od-siteground/

przeczytalem o jHackGuard moze ktos sie wypowiedziec na temat tego komponentu? Podobno instalowanie Joli jest zbyteczne jak zainstalujemy ten komponent?

Jaka jest roznica pomiedzy jHackGuard a Akeeba Admin Tools Pro ???

[neo_fox]

moze ktos sie wypowiedziec na temat tego komponentu

A mało to komentarzy na JED: http://extensions.joomla.org/extensi...security/13233

Zobacz sobie szczególnie komentarz Brian'a (którego nota bene bardzo szanuje). Chyba mówi on wystarczająco dużo na ten temat.