BEZPIECZEŃSTWO OD A DO Z
Wyniki 1 do 6 z 6

Temat: BEZPIECZEŃSTWO OD A DO Z

Widok drzewa

Poprzednia wiadomość Poprzednia wiadomość   Następna wiadomość Następna wiadomość
  1. 21-12-2008, 19:46 #1
    lothus69
    lothus69 jest niepołączony
    Nowicjusz
    Dołączył
    27-03-2008
    Skąd
    z Polski :)
    Wpisy
    12
    Punkty
    9

    BEZPIECZEŃSTWO OD A DO Z

    Witam!

    Wydarzenie jakim było zhackowanie paru moich stronek przez jakiś szemrany element zamieszkujący (najprawdopodobniej) tereny nad Bosforem zainspirowało mnie do stworzenia takowego tematu .

    Przeglądając forum zauważyłem, że temat bezpieczeństwa poruszany jest w różnych postach ale nie ma kompleksowego opracowania dla "zielonych" w Joomli i innych, którzy zamierzają poszerzyć zakres wiedzy w tym obszarze. W angielskich książkach poświęconych Joomli można natrafić na stwierdzenie jakoby zawartość była rzeczą kluczową na stronie. A bezpieczeństwo? To jest klucz.

    TEMAT BĘDZIE AKTUALIZOWANY!!! Wszelkie błędy w składni, uwagi proszę zamieszczać w postach poniżej.

    Chciałbym zwrócić uwagę, iż też jestem zielony w aspekcie bezpieczeństwa ale zależy mi na stworzeniu takiego tematu. Dołożę wszelkich starań aby materiały oraz linki zamieszczone w tym poście były pomocne i aktualne. Wiedzę będę czerpał zarówno od doświadczonych użytkowników jak i z oficjalnych źródeł.

    *********************************************
    WSKAZÓWKI KOMPATYBILNE Z JOOMLĄ WERSJA: 1.5.8



    1. PRAWA DOSTĘPU (tzw CHMODY) DO PLIKÓW JOOMLI NA SERVERZE

    Wszystkie katalogi powinny mieć ustawiony dostęp na 755
    Pliki na 644

    Jednym z darmowych programików który jest świetnym klientem FTP i pozwala edytować prawa dostępu jest FileZilla dostępna TUTAJ

    2. JAK CHRONIĆ DOSTĘP DO ZAPLECZA - podstawowe informacje (tekst zaczerpnięty z posta ZWIASTUNA)

    Chociaż dostęp do zaplecza jest chroniony, zadbaj o silne hasła dla kont administratorów. Silne hasła są różnie definiowane, zawsze jednak winny:
    a) liczyć nie mniej niż 8 znaków,
    b) składać się z mieszaniny przypadkowych liter i cyfr,
    c) być co jakiś czas zmieniane.
    Aby zwiększyć ochronę zaplecza, możesz dodatkowo:
    a) skorzystać z techniki "podwójnej rejestracji" - ochronić wymogiem logowania się dostęp do katalogu /administrator za pomocą pliku .htaccess
    b) ograniczyć za pomocą .htaccess dostęp do zaplecza tylko dla komputerów logujących się z określonych IP.

    3. KANAŁ RSS DOT. NAJNOWSZYCH LUK W JOOMLI I SPOSOBY ICH NAPRAWY

    http://feeds.joomla.org/JoomlaSecurityNews     <--- możliwa subskrypcja; w każdej wiadomości znajduje się opis luki, info dot. tego w jakiej wersji występuje i co trzeba zrobić żeby ją wyeliminować

    4. PLIK .htaccess


    Po instalacji prawie każdej wersji Joomli na serwerze w głównym katalogu generowany jest plik htaccess.txt . Nie wnikając w szczegóły jest on ważny jeśli chodzi o bezpieczeństwo naszej Joomelki. Po instalacji należy nazwę zmienić z "htaccess.txt" na ".htaccess" . Kropka przed plikiem sprawi, że może on być czasami na pozór niewidoczny (jeśli np.: bedziecie łączyli się z serwerem za pomocą przeglądarki) ale będzie działał.

    UWAGA! Plik .htaccess jest plikiem tekstowym, który można otworzyć np: w systemowym Notatniku. Zwróćcie uwagę na ostatnią linię. Po jakiejś komendzie (w zależności co tam macie) nie może wystąpić pusta linia tj. pusty wiersz robiony np.: naciskając ENTER).

    MODELOWY PLIK .htaccess, który sam przygotowałem i przetestowałem możecie znaleźć tutaj:

    Kod HTML:
    http://rapidshare.com/files/179084339/htaccess.rar
    Plik przetestowany, instrukcje są w środku spakowanego pliku. Plik zawiera istrukcje zwiększające bezpieczeństwo gdyż:

    • Blokuje dostęp plikom do skryptów CGI, Perl, Python i plików tekstowych (wykonywanych np. w formularzach do wstrzyknięcia obcego kodu)

    • Nie blokuje dostepu do pliku robot.txt niezbednego dla robotów indeksujących Google

    • W dużym stopniu ogranicza crawlery , boty i inny element łażący po naszych stronkach w celu wykorzystania luk np w formularzach i książkach gości by dopisać np 100 użytkowników lub szukających adresów email.

    NOTA NA TEMAT WIELKOŚCI PLIKU
    Wrzuciłem tam dodatkowego pdfa żeby plik miał więcej niż 5 mega bo tylko za takie dostaje się punkty na Rapidzie. A je mozna później wymienic na normalne konto. sam htaccess zajmuje parę kilo. Więc nie przerażajcie się wielkością


    5. ŹRÓDŁA DOT. BEZPIECZEŃSTWA NA PORTALU WWW.POMOC.JOOMLA.PL

    Częste pytania: Bezpieczeństwo

    Bezpieczeństwo - lista kontrolna
    Ochrona przed włamaniem
    10 najgłupszych tricków administratora
    Jak znaleźć najlepszego dostawcę serwera
    Witryna po włamaniu
    Ostanio edytowane przez lothus69 : 11-01-2009 15:10
    OLE OLE OLE nie damy się!!!
    Cytuj Cytuj
« Poprzedni temat | Następny temat »

Reguły pisania

  • Nie możesz zakładać nowych tematów
  • Nie możesz dodawać wypowiedzi
  • Nie możesz dodawać załączników
  • Nie możesz poprawiać swoich postów
  •  

Zasady forum