8 βήματα για ένα ασφαλές Joomla site!

joomla security!

17 Νοεμβρίου 2011, από

 

joomla security!

Σε προηγούμενο post μάθαμε πως μπορούμε να δημιουργήσουμε το Joomla site μας, σε λίγα βήματα.

Πως μπορούμε να το ασφαλίσουμε όμως και να το προστατέψουμε από τυχόν “κακούς” hackers; Εκτός από την επιλογή ενός πολύ καλού (strong) password, παρακάτω θα βρείτε τα σημαντικότερα βήματα που πρέπει να ακολουθήσετε, για να έχετε ένα ασφαλές Joomla site, προστατευμένο από κακόβουλες ενέργειες.

 

8 βήματα για ένα ασφαλές Joomla site

1. Update, update, update.
Όπως είχαμε αναφέρει και στο Post για την ασφάλεια ενός WordPress Blog, θα πρέπει να φροντίζετε να κάνετε update στην τελευταία έκδοση του Joomla, όταν είναι διαθέσιμη. Στα τελευταία updates φροντίζουν να έχουν διορθώσει τυχόν τρωτά σημεία των προηγούμενων εκδόσεων, οπότε και διασφαλίζεται αυτόματα το site σας. Επίσης να κάνετε πάντα update και τα extensions που έχετε εγκαταστήσει!


Μπορείτε να εγγραφείτε στο newsletter του Joomla από την επίσημη σελίδα της πλατφόρμας. Προσοχή: θα πρέπει πάντοτε να έχετε “πάρει” backup του site σας πριν κάνετε οποιοδήποτε Upgrade. Γενικότερα, για να είστε καλυμμένοι ότι, ό,τι και αν συμβεί στο site, θα έχετε τη δυνατότητα να ανακτήσετε τα αρχεία του, απαραίτητο είναι να καθορίσετε μια διαδικασία για backup, ανά τακτά χρονικά διαστήματα (κάθε μέρα, 3 φορές την εβδομάδα κ.ο.κ.)
2. Επιλογή αξιόπιστου hosting provider.
Επιλέξετε μια αξιόλογη και αξιόπιστη εταιρία hosting για τη φιλοξενία του site σας. Δείτε σχετικό post.
3. Αλλαγή username διαχείρισης
Η πλειοψηφία των crackers θα περιμένει ότι το username σας θα είναι admin! Αλλάζοντας το θα σας προστατέψει από αρκετές κακόβουλες προσπάθειες. Ακολουθήστε τα παρακάτω βήματα:
α)Συνδεθείτε στο περιβάλλον διαχείρισης του Joomla site σας και κάντε κλικ στο μενού “User Manager”. (Αν έχετε ξεχάσει το admin κωδικό σας, πατήστε εδώ για να δείτε πως μπορείτε να τον ανακτήσετε/αλλάξετε)
Joomle Log In

β) Κάντε κλικ πάνω στο χρήστη για να επεξεργαστείτε το όνομα.

Joomla edit
γ) Αλλάξτε το Username σε κάτι διαφορετικό από admin και πατήστε save.

Joomla chahe username
4. Αλλαγή default table prefix της βάσης δεδομένων στο Joomla

Η αλλαγή του default προθέματος (prefix) της βάσης δεδομένων θα σταματήσει την πλειοψηφία των αυτόματων επιθέσεων εναντίον της βάσης δεδομένων σας, για εκδόσεις πριν την 1.7. Στην 1,7 αποθηκεύει ένα τυχαίο (random) πρόθεμα, οπότε αν το site σας είναι στημένο με αυτή την έκδοση δεν είναι απαραίτητο να πραγματοποιήσετε αυτό το βήμα.
Μπορείτε να αλλάξετε το prefix (jos_) σε κάτι διαφορετικό, 3-6 χαρακτήρων, εύκολα μέσα από το περιβάλλον διαχείρισης του Joomle site.
Εφόσον συνδεθείτε, πατήστε στο εικονίδιο “Global Configuration” (ή από το μενού “Site” και “Global configuration”, και επιλέξτε το tab “Server.” Αναζητήστε τις “Database Settings” και αλλάξτε το πρόθεμα στο πεδίο “Database Tables Prefix“.\
Ένας ελαφρώς πιο advance τρόπος είναι με τροποποίηση του αρχείου configuration.php. Μέσα απ’το FTP εντοπίστε στον κεντρικό φάκελο (root file) στον οποίο είχατε “ανεβάσει” τα αρχεία κατά την εγκατάσταση του Joomla. “Κατεβάστε” το αρχείο στον υπολογιστή σας, ανοίξτε το με notepad και αλλάξτε το value στην γραμμή var $dbprefix = ‘value’. (Πχ. var $dbprefix = ‘jos_’)
5. Προστασία αρχείων (Password Protect)
Προστατεύσετε τον φάκελο /administrator/ με directory Password protect. Δείτε βήμα βήμα τη διαδικασία στην FAQ του Papaki “Πως εφαρμόζω μέσα από το Plesk 10, προστασία Password Protect (server-side protect) σε ένα φάκελο στο site μου;
Μόλις ολοκληρώσετε αυτή τη διαδικασία, έχετε στο νου σας ότι θα πρέπει να κάνετε 2 φορές Log In. Με αυτόν τον τρόπο ακόμα και αν υποκλέψουν τα στοιχεία σύνδεσης admin, δεν θα μπορούν να εισέλθουν στο περιβάλλον διαχείρισης του site σας!
Προσοχή: Ενδέχεται κάποια κακοσχεδιασμένα Plug ins και componets να μην λειτουργούν σωστά μετά από αυτή τη διαδικασία, επειδή χρησιμοποιούν αρχεία από το φάκελο administrator για το public κομμάτι του site σας. Σε αυτή την περίπτωση είτε αφαιρείτε το plugin/component είτε επιλέγετε να μην χρησιμοποιήσετε το pasword protect στο Joomla site σας.
6. Χρήση .htaccess αρχείου για περισσότερη ασφάλεια

Μέσα στα αρχεία του Joomla τα οποία ανεβάσατε στο hosting σας, κατά την εγκατάσταση θα βρείτε το αρχείο .htaccess (Περισσότερα για το .htaccess αρχείο). Αν δεν υπάρχει, τότε μετονομάστε το htaccess.txt αρχείο σε .htaccess.
Σιγουρευτείτε ότι το site σας “τρέχει” σε PHP 5.2 ή νεότερη έκδοση.
Τέλος μπλοκάρετε την πρόσβαση σε όλα τα αρχεία σας, εκτός των index.php και index2.php. Ίσως χρειαστεί να επιτρέψετε την πρόσβαση και σε άλλα αρχεία εάν τα χρησιμοποιούν extentions που έχετε εγκαταστήσει στο site σας.
Πχ. εάν σταματήσουν να εμφανίζονται διάφορα κομμάτια του site σας, τότε ελέγξτε τα αρχεία με τα οποία συνδέονται και στη συνέχεια προσθέστε τα στον κώδικα του .htaccess αρχείου. Σε πολύ γενικές γραμμές, ένα παράδειγμα κώδικα που θα μπορούσατε να προσθέσετε είναι:


deny from all
<FilesMatch "index.php">
allow from all

<FilesMatch “index2.php”>
allow from all

7. Χρήση σωστού CHMOD (δικαιώματα) για κάθε φάκελο και αρχείο

Σιγουρευτείτε ότι τα δικαιώματα των αρχείων και PHP αρχείων σας είναι 644, τα Config αρχεία 666 και όλοι οι υπόλοιποι φάκελοι 755.
Αρχεία και φάκελοι θα πρέπει να έχουν δικαιώματα 777, ΜΌΝΟ όταν ένα script απαιτεί δικαιώματα εγγραφής επί του αρχείου ή φακέλου.
8. Διαγραφή μη χρησιμοποιημένων αρχείων
Εάν εγκαταστήσατε κάποιο extension που τελικά δεν χρησιμοποιήσατε, μην το κάνετε απλά unpublish, γιατί τα ευάλωτα αρχεία του θα παραμείνουν στο site σας. Οπότε το καλύτερο που έχετε να κάνετε είναι uninstall, για να “ξεφορτωθείτε” για τα καλά το extension.
Σίγουρα τα παραπάνω δεν αποτελούν τα μοναδικά Tips για περισσότερη ασφάλεια, υπάρχουν αρκετά περισσότερα, τα οποία είναι και πιο εξειδικευμένα.
Έχετε να προτείνετε κάποιο επιπλέον tip, για μεγαλύτερη ασφάλεια ενός Joomla site; Συνατήσατε κάποια δυσκολία στην υλοποίηση των παραπάνω; Αφήστε τα σχόλια σας παρακάτω!

Μπες στη συζήτηση

Πες μας τη γνώμη σου!