Bezpieczeństwo w Joomli - czyli jak postarać się utrudnić życie hakerom

[Goofson]

Chciałem się dzisiaj podzielić z Wami moimi przemyśleniami na temat bezpieczeństwa w Joomli. Moja żyłka poszukiwacza wymusiła na mnie zagłębienie się w ten temat, który notabane jest ostanio bardzo popularny. Postanowiłem zebrać więc to czego udało mi się nauczyć lub dowiedzieć i wyrazić to w formie wideotutoriali (nie wiem czy to dobry dział, ale lepszego nie znalzałem). Część osób nie skorzysta pewnie z informacji w nich zawartych, ale osoby raczkujące w Joomli byćmoże znajdą coś dla siebie

Tutorial I
Pierwszy mój tutorial dotyczy zabezpieczania Joomli juz na etapie instalacji. Większość wideotutoriali z jakimi się spotkałem pokazuje jak prawidłowo zainstalować CMS (z reguły na serwerze lokalnym). Niestety znikoma ich ilość zwraca uwagę na zagadnienia bezpieczeństwa. Nowicjusze tworzą strony www na ich podstawie i niechcący sami zapraszają do włamów (nie powiem sam na to nie zwracałem uwagi). Tworząc następne wiryny powielają te same błędy i wyrabiają sobie złe nawyki bezpieczeństwa (zabezpieczanie powinno byc rutyną). To jest mój pierwszy tutorial więc proszę się nie śmiać - miałem kilka problemów technicznych i stresa lekkiego:

jakość i narracja nie jest pierwsza klasa i generalnie mało mi się podoba, ale pierwsze koty za płoty


Tutorial Ia
Generalnie ten tutorial powinienem zrobić jako pierwszy, ale jak zwykle mądry Polak po szkodzie. Pozwoliłem sobie zrobic tutorial o darmowym programie KeePass. Jest to niewielka aplikacja, dzieki której możemy generować i zachowywać silne hasła do naszych Joomlowych baz danych i kont administracyjnych. Program przechowuje nasze hasła w zaszyfrowanej bazie danych, która notabene jest chroniona hasłem. dodatkowo dostepnośc w wersji PORTABLE pozwala nam mieć mobilne centrum dowodzenia hasłami na pendriv-ie.
Keepass - Jak nie matwić się o silne hasła ( nie mogłem wstawić drugiego wideo )

Planuje stworzenie dalszych tutoriali tego tupu prowadzących użytkownikó dalej w tą tematykę. Mam nadzieję, ze moja praca się komuś przyda No i oczywiście czekam na opinie

[Jola]

Witam,
rozumiem, że przesłanie to skierowane jest głównie do początkujących użytkowników. Moje uwagi.

Zakładanie i konfiguracja bazy danych w Twoim samouczku dotyczy tylko bazy na serwerze lokalnym. Należałoby podkreślić, że na serwerze zewnętrznym inaczej konfigurujemy bazę.
Podczas instalacji bez słowa przechodzisz obok 2 wpisów o ustawieniach świecących się na czerwono (większość użytkowników uważa, że wszystkie powinny być na zielono)
Mówisz o bezpieczeństwie a w przeglądarce masz włączone autouzupełnianie!
Na końcu instalacji - aby przejść do witryny - nie odświeża się strony tylko klika w odpowiedni odnośnik .
Wzmianka o odpowiednim zabezpieczeniu dostępu do serwera (cpanel) i ftp - też by się przydała.

[trzepiz]

Nie do końca zrozumiałem co zabezpieczasz na etapie instalacji ....
Tak czy inaczej, życzę wytrwałości w nagrywaniu kolejnych odcinków.

[Goofson]

Dzięki za uwagi Tak przesłanie skierowane jest głównie do początkujących użytkowników.
Jak każdy popełniam błędy w trakcie pracy. Troszczkę faktycznie podszedłem do tego jak do instalacji lokalnej.
Refresh na końcu był po to by upewnić się, że folder instalacyjny jest na pewno usunięty. Ale faktycznie mogłem to pominąć spokojnie i wejść na witrynę.
Co do tego co zabezpieczam - to głównie chodziło mi o to by zwrócić uwage na nieużywanie prostych loginów, oczywistych haseł. Czyli stworzenie takiej pierwszej bariery dla ataków.

[zwiastun]

Witaj,
Dziękuję, że od pierwszych swoich postów występujesz w roli wspomagającego innych. Dziękuję za zaangażowanie.

Odnośnie filmu:
1. Forum nie jest dobrym miejscem na takie publikacje. Możesz skorzystać z dwu możliwości udostępnianych przez PCJ - publikacji na łamach głównej witryny PCJ (www.joomla.pl) albo w ramach naszej Elektronicznej Biblioteki Dokumentacji Joomla (http://wiki.joomla.pl. Osobiście skłaniałbym się ku pierwszej opcji, ale ....
2. Jak zwykle musi być jakieś "ale"
Ponieważ publikacja na joomla.pl jest dla odwiedzających witrynę świadectwem, że publikowany materiał zawiera treści rzetelne, musiałbyś o tę rzetelność zadbać, np. konsultując treść samouczka wcześniej z kimś, kto potrafi go zrecenzować życzliwie, acz krytycznie. W miarę możliwość czasowych mogę w tej mierze wspomóc, aczkolwiek nie chciałbym stać się przez formułowane oczekiwania "hamulcowym".
3. Moje uwagi dotyczące obu filmów
Jak zabezpieczyć Joomlę przed włamaniami? cz. 1 Instalacja
- drobiazgi: Joomla nie odmieniamy; zamiast niepolskiego "tutorial" - samouczek, poradnik, instrukcja, instruktaż, filmik, film, wideo
- zapowiadasz, ze w Twoim filmie będzie więcej nt. zabezpieczenia niż w innych filmach, gdzie zagadnienia bezpieczeństwa są traktowane po macoszemu. W swoim filmie natomiast zwracasz w gruncie rzeczy uwagę na trzy kwestie - silne hasło do bazy danych, odpowiednią nazwę i hasło administratora oraz raczej niepotrzebne sprawdzanie, czy katalog instalacyjny został usunięty.
Na dodatek film dotyczy lokalnej instalacji Joomla, a w tym przypadku baza zakładana jest przez Joomla (nie trzeba jej zakładać samemu), a login i haslo do witryny nie mają w gruncie rzeczy żadnego znaczenia. Ale rozumiem intencje.

Moim zdaniem film o bezpieczeństwie instalacji Joomla powinien wskazywać na takie kwestie, jak:
- odpowiedni wybór hostingu
- pobieranie oprogramowania do instalacji tylko z zaufanych witryn
- sprawdzenia zgodności dodatkowych ustawień serwera z zalecanymi (pominąłeś w swoim filmie dwie istotne uwagi na "pomarańczowo")
- radzenie sobie w przypadkach serwerów, na których pojawia się problem wynikający z niezgodności praw użytkownika www i użytkownika FTP (sformułowane przez Cię w innym wątku ostrzeżenie przed włączaniem obsługi FTP, bo można odczytać hasła, jest, niestety, mocno wątpliwe - z pliku konfiguracyjnego można również odczytać dane dostępowe do bazy danych, jeśli ktoś się do stanie do katalogu, a hasło do FTP nie musi być podawane)
- zastosowanie silnych haseł
- niepozostawianie katalogu instalacyjnego (np. przez zmianę jego nazwy zamiast usuwania),
- włączenie po instalacji modułu rewrite lub jego windowsowego odpowiednika i zmiana nazw pliku htaccess.txt lub web.conf.txt, które także zawierają wpisy chroniące przed niektórymi botami.
- wybór i zainstalowanie dodatkowego oprogramowania poprawiającego bezpieczeństwo, np. Akeeba Tools czy RSS Firewall lub podjęcie czynności typu: przeniesienie poza główny katalog witryny pliku konfiguracyjnego, katalogu logów, dodatkowego zabezpieczenia katalogu zaplecza administracyjnego (dostęp chroniony dodatkowo przez .htaccess, jeśli to możliwe)

Podobnie jak @trzepiz, życzę wytrwałości i powodzenia. W razie co, służę pomocą konsultacyjną.
Startowe filmiki pokazują, że stać Cię na wykonanie czegoś rzeczywiście sensownego i pomocnego.

[Goofson]

Dzięki za opinię. Kwestię komponentów bezpieczeństwa i bezpiecznych komponentów miał poruszyć poradnik... ale zanim go tutaj dorzucę to zwyczajnie poproszę o pomoc konsultacyjną i ewentualne rozjaśnienie niejasności Co do ewentualnych wymagań lubię wyzwania i wysoko postawione poprzeczki