Top ti Joomla-sikkerhedsproblemer ... og hvordan man undgår dem
Joomla Sikkerhedsproblemer er altid et varmt problem :) Desværre er der nogle fejl, der gentages igen og igen, hvilket skaber sikkerhedsproblemer, der let kan undgås. Her er problemerne - Joomla-sikkerhedsproblemerne, og hvad du skal gøre for at undgå dem.
10 Joomla-sikkerhedsproblemer
10. Billige hostingudbydere
Gå aldrig efter den billigste hostingudbyder, du kan finde.
Typisk bruger billige hostingudbydere delte servere, der er vært for hundredvis af andre websteder, hvoraf nogle er spam-websteder af lav kvalitet, der let kan hackes. Da de typisk har samme IP-adresse, vil dit websted være langsomt, være i et "dårligt kvarter" med et lavt omdømme og muligvis blive kompromitteret, hvis andre steder bliver hacket.
Tjek listen over dette websteds anbefalede og Joomla-godkendte hostingudbyder forum CollectiveRay link..
9. Ingen sikkerhedskopier
Sørg for, at du har regelmæssig Joomla sikkerhedskopier. Hvis dit websted bliver hacket, eller der sker noget, kan du genopbygge fra bunden. Vi vil anbefale at gå til en kombination af hostingbaserede sikkerhedskopier som dem, der tilbydes af InMotion (den vært, vi bruger og stoler på - link i forrige afsnit) og derefter bruge en tredjepartsudvidelse som f.eks. AkeebaBackup.
8. Spring over hærdning (tilpasning af indstillinger for sikkerhed) af PHP og sikker Joomla! indstillinger
Glemmer eller springer over justeringen af PHP og Joomla! indstillinger for øget sikkerhed er et stort nej-nej.
Der er mange små indstillinger og tweaks, du kan gøre for at oprette din PHP-server og Joomla! sikrere og forhindre, at de fleste Joomla-sikkerhedsproblemer opstår i første omgang og undgår alle typer sikkerhedsproblemer.
Vi har en liste over de ting, du skal gøre for at "hærde" din installation længere nede i denne artikel.
7. Brug af svage adgangskoder eller genbrug af adgangskoder
Brug det samme brugernavn og adgangskode til din online bankkonto, Joomla! administratorkonto, Amazon-konto, Yahoo-konto, Gmail-konto og overalt ellers er en anden fejl, du skal undgå som pesten.
Brug altid stærke adgangskoder, der adskiller sig fra dem til dine andre konti.
Husk også altid at ændre navnet på admin-kontoen til noget andet end "admin". Det er også meget tilrådeligt at installere et plugin som f.eks Adminexil der beskytter din administrator-backend fra hackingforsøg.
6. Installer og glem
Når du har installeret dit helt nye smukke Joomla! -Drevne websted, skal du kontrollere det regelmæssigt og sørge for, at intet er gået galt.
Mange ting kan gå galt, og du kan få alle mulige Joomla-problemer, hvis du ikke vedligeholder alle komponenterne i dine Joomla-installationer.
5. Har ingen udviklingsserver
Alle opgraderinger og udvidelsesinstallationer skal først afprøves på en udviklingsserver, inden de udføres på live-webstedet.
Hvis noget går galt på udviklingsserveren, kan du undgå at oprette det samme problem på serveren, og du vil sikre dig, at dit live-site forbliver rent. Du kan bruge enkle servere, der kan installeres lokalt, f.eks XAMPP eller MAMP.
4. Stoler på alle tredjepartsudvidelser
Hvis du vil have optimal Joomla-sikkerhed, skal du kun installere de mindst mulige udvidelser, du har brug for.
Hvis du kan undgå at installere et tredjepartsmodul, skal du undgå det. Ikke alle tredjepartsudvidelser er fri for problemer, og nogle er bare forfærdelige, buggy og indeholder sårbarheder.
Hver tredjepartsudvidelse er en anden komponent, der kan udsætte dig for sårbarheder og skal holdes opdateret. Vær forsigtig med de tredjepartsudvidelser, du installerer, vælg helst de professionelle komponenter fra velrenommerede virksomheder.
Vi installerer typisk kun udvidelser fra de større leverandører såsom RegularLabs, Tassos Marinos, Akeeba osv.
3. Glemmer at beholde din Joomla! websted opdateret
Efter installation af dit helt nye smukke Joomla! -Drevne websted, skal du holde dig opdateret med eventuelle stabile udgivelser og opdatere med hver stabile udgivelse.
De fleste stabile udgivelser løser problemer og sårbarheder.
Hvis du glemmer at opgradere, bliver dit websted udsat for alle mulige Joomla-problemer. Dette gælder også for enhver 3. part Joomla udvidelser du installerer.
2. Mangel på information, når man beder om hjælp
Hvis dit websted bliver hacket / krakket, skal du gå til Joomla-fora, og inden du begynder at sende dig væk som en skør, skal du sørge for at have alle relevante oplysninger tilgængelige, såsom den version af Joomla du har installeret, hvilken version af tredjepartsudvidelser du har installeret.
Disse oplysninger hjælper med at identificere, hvad der kunne have forårsaget dit hack, og hvordan man løser og undgår, at det sker igen.
1. Ret enhver revnet fil, og glem den
Når dit websted er blevet revnet, er det ikke nok at rette den beskadigede fil.
Tjek dit websteds logfiler, skift dine gamle adgangskoder, fjern hele biblioteket og genopbyg det fra rene sikkerhedskopier, og foretag alle forholdsregler!
Alvorlige Joomla-sikkerhedsproblemer kan opstå igen, hvis du ikke gendanner fra en ren sikkerhedskopi, fordi bagdøre kan være til stede i din installation, som vil blive genaktiveret af hackere, når du fjerner, hvad du tror er den eneste inficerede fil.
Dette er en revideret version af Top ti dummeste administrator Tricks uden sarkasme og med anbefalinger til, hvordan man løser de ti største Joomla Security-problemer i stedet :)
Alle de ting, du skal gøre for at sikre dit Joomla-websted
Selvom som standard Joomla! kerneudviklingsteam tager store forholdsregler for at sikre, at der er få eller ingen sårbarheder i koden, der er et antal indstillinger, som, hvis de ikke får behørig opmærksomhed, kan lade dit websted være sårbart over for angreb.
Denne artikel vil give en liste over foranstaltninger, der skal træffes for at sikre en mere sikker Joomla! installation. Dette er alle tips, som vi bruger på vores egen webdesignblog, CollectiveRay, så vi ved, at disse fungerer pænt!
1. Omdøb Joomla! admin-konto
Dette enkle trin hærder dit websted betydeligt. igen hvis du er paranoid, skal du bruge tilfældige tegn både til brugernavnet og adgangskoden til administratoren
2. Sørg for, at din configuration.php-fil ikke kan skrives!
Dette trin er kritisk, og en verdensbeskrivelig configuration.php-fil er en invitation til hacking.
Du kan gøre dette ikke-skrivbart fra Joomla. Dette er noget, som nye versioner af Joomla gør automatisk, men du kan bekræfte, om der er problemer med filtilladelser ved at gå til System> Systeminformation> Mappetilladelser. Configuration.php skal markeres som Uskrivbar.
3. Forsøg altid at holde din Joomla-installation opgraderet til den nyeste version
Hver Joomla-opdatering eller nye versioner tilføjer typisk sikkerhed ved at lukke sikkerhedshuller og udnyttelser eller andre opdagede sårbarheder. Hvis du springer enhver opdatering over, forlader du det "hul" åbent i dit websteds sikkerhed og risikerer at blive hacket.
Enhver sikkerhedsfokuseret opdatering bør ALDRIG springes over. Hver opdatering vil blive navngivet som "Vedligeholdelse" og løser fejl eller små problemer og "Sikkerhed", som typisk løser sikkerhedssårbarheder. Sikkerhedsopdateringer skal installeres med det samme, fordi det betyder, at sårbarheden nu er kendt af hackere, og de vil straks begynde at udnytte den.
4. Opgrader til den nyeste PHP-version
Hvis din vært tillader det, skal du skifte til de nyeste sikre versioner af PHP.
Hver efterfølgende udgivelse af PHP introducerer yderligere sikkerhed (udover forbedring af ydeevnen). Desværre opdateres ældre versioner af PHP typisk ikke, selvom der findes sikkerhedsproblemer.
Dette betyder, at eventuelle opdagede sikkerhedsproblemer IKKE har en løsning, og dit websted vil blive udsat for sådanne bedrifter.
5. Sørg for korrekte fil- og mappetilladelser
Når du har et stabilt websted, skal du ændre alle filtilladelser til skrivebeskyttet ved hjælp af CHMOD (644 for filer, 755 for mapper).
Enhver god FTP-software skal give dig mulighed for at gøre dette uden at skulle bruge nogen scripts, eller du kan gøre dette via CPanel eller File Explorer.
Du kan også bruge den globale konfiguration til at anvende standardtilladelserne til alle filer og mapper.
Ældre versioner af Joomla bruger til at tillade ændringer direkte fra administratoren i henhold til nedenstående instruktioner, men de nyere versioner af Joomla gør dette automatisk. Sørg dog for ikke at ændre dem selv for at løse et andet problem.
Gå til Websted> Global konfiguration> Server-fanen. Rul ned, indtil du finder File Creation. Klik på CHMOD nye filer til 0644 og CHMOD nye mapper til 0755, og klik på afkrydsningsfeltet Anvend på eksisterende filer for at køre denne indstilling på alle dine nuværende filer. Når dette er gjort, skal du sikre dig, at filen configuration.php stadig ikke kan skrives. Hvis det er skriveligt, skal du klikke på Make Unwriteable efter at have gemt for at gøre det ikke skriveligt
Du kan bruge en udvidelse som eXtplorer, som har en nem måde at redigere tilladelser på. Det giver dig mulighed for at gøre dette rekursivt og dermed undgå at skulle gå gennem hver eneste mappe. Du kan også bruge komponenter såsom administratorværktøjer til Joomla! af Akeeba, som automatisk kan kontrollere og løse sådanne problemer.
Admin Tools udfører også en række andre præstations- og sikkerhedsrettelser. Tjek det her.
6. Tjek dit websted for sårbarheder
Der er et antal værktøjer, der tester din Joomla for korrupte filer og sårbare filer. Disse er typisk penetrationstestere, der tester for almindelige problemer.
Du kan også bruge listen Joomla Sårbare udvidelser. Dette er en direkte liste over eventuelle udvidelser, der har en sårbarhed. Hvert så ofte (hver måned eller deromkring) skal du kontrollere den seneste liste for at sikre, at ingen af dine nuværende Joomla-udvidelser er på listen.
Hvis nogen af dine udvidelser er på denne liste, skal du sørge for at opdatere den til den nyeste (patchede) sikre version.
7. Lad aldrig ekstra filer køre rundt
Sørg for, at der ikke er unødvendige filer på din webserver.
Slet eventuelle filer, der er tilbage fra installationen. Slet din installation mappe og eventuelle komprimerede filer, som du muligvis har uploadet til din webserver for at installere Joomla! kerne. Fjern eventuelle komponenter / moduler / skabeloner, som du ikke bruger.
Hold altid dit websted så magert som muligt. Eventuelle ekstra filer kan blive en forpligtelse.
8. Beskyt dine konfigurationsfiler og følsomme mapper
- Alle konfigurationsfiler bør ikke placeres i den offentlige HTML-mappe. Nogle webværter (f.eks. GoDaddy - tjek ud hvordan du får adgang til GoDaddy e-mail login) tillader dig muligvis ikke at gøre dette, så det næstbedste er at oprette en adgangskodebeskyttet mappe ved at bruge en .htaccess-fil. Hvis du ikke er sikker på funktionen af htaccess-filen, er det en god idé at læse om det, før du fortsætter. Opret en mappe, det er en god idé at navngive det noget tilfældigt f.eks ehxum3jq snarere end at konfigurere i din Joomla! vejviser.
- Opret en .htaccess-fil for at beskytte biblioteket. Brug en .htaccess-generator til at hjælpe dig med at generere filen. Baseret på eksemplet ovenfor skal du have en .htaccess-fil svarende til denne. Husk, at det bibliotek, du vil beskytte, er hjemmekataloget (hvis du ikke er sikker på, at du kan finde det i den absolutte sti til din oprindelige konfiguration. Php-fil) og tilføje biblioteksnavnet, vil du placere dine beskyttede filer i f.eks / home / indhold / a / b / c / abcompany / html / ehxum3jq /
- NB: Dette giver kun grundlæggende godkendelse, som ikke tilbyder streng sikkerhed. Med ordene fra Apache.org:
Grundlæggende godkendelse bør ikke betragtes som sikker for nogen særlig streng definition af sikker.
Selvom adgangskoden er gemt på serveren i et krypteret format, overføres den fra klienten til serveren i almindelig tekst på tværs af netværket. Enhver, der lytter med en hvilken som helst række af pakkesniffer, kan læse brugernavnet og adgangskoden i det klare, når det går over.
For virkelig at tilbyde sikkerhed skal du sende adgangskoden via SSL (hvor den ville blive krypteret undervejs).
- Brug stærke adgangskoder eller adgangssætninger eller tilfældige tegn til .htpasswd-filen, som skal være noget lignende denne. Du kan beskytte din mappe endnu mere ved at bruge IP'er i .htaccess-filen som angivet i denne ofte stillede spørgsmål
- Test for at sikre, at biblioteket er beskyttet. Sæt en fil i den, og prøv at få adgang til f.eks. Https://www.yourcompany.com/ehxum3jq/myfile.txt. Du skal blive bedt om et kodeord. Hvis du angiver det brugernavn og den adgangskode, der er angivet under genereringen, skal du give adgang til filen, ellers skulle du få en 401-fejl (Adgang nægtet).
- Brug følgende Joomla Forum Ofte stillede spørgsmål for at hjælpe dig med at flytte konfigurationsfiler fra den offentlige HTML til den adgangskodebeskyttede mappe, du har oprettet. Vær dog ekstra forsigtig, når du opdaterer den globale konfigurationsfil, da dette overskriver den fil, du har oprettet. Skrivbeskyt filen configuration.php, og eventuelle ændringer, du har brug for, gør dem manuelt ved hjælp af en FTP-klient. Og tilføj følgende linje, så enhver, der forsøger at få adgang til php-filen, får en "Begrænset adgang" -fejl. Som hovedregel skal alle PHP-filer på dit websted indeholde denne linje. Enhver PHP-fil, der ikke indeholder denne linje, er en sikkerhedsrisiko.
defineret ('_ JEXEC') eller die;
defineret ('_VALID_MOS') eller die ('Begrænset adgang'); // til ældre versioner af Joomla
9. Hold udvidelser fra tredjepart opdateret
Tredjepartsudvidelser er en af de bedste ting ved Joomla!
Der er så mange forskellige udvidelser, at du sandsynligvis kan finde noget, der allerede er skrevet til dig. Udvidelser til 3D-partier findes dog i alle former og størrelser og overvåges ikke af kerneteamet.
Dette betyder, at der findes sårbarhed, som kan kompromittere din installation. Du skal være yderst forsigtig med at installere eventuelle udvidelser. Overvåg listen over sårbare tredjeparts / ikke-Joomla-udvidelser. Hvis du installerer udvidelser, skal du sørge for at overvåge deres udgivelser og sikre, at du følger deres sikkerhedsanbefalinger.
For mere information gå til Joomla! Ofte stillede spørgsmål om sikkerhed.
10. Sikkerhedskopiering! Backup! Backup!
Selv hvis du har taget ALLE skridt for at sikre, at dit websted er 100% sikkert, kan sårbarheder stadig lure og vente på at blive fundet og udnyttet. Hvis dit websted bliver hacket, SKAL du sikre, at det kommer tilbage online hurtigst muligt med så lidt tab af indhold som muligt. Til dette skal du sikre dig, at du har god sikkerhedskopiering (dagligt eller oftere efter behov).
AkeebaBackup er en open source-komponent til Joomla! CMS, der giver mulighed for fuld sikkerhedskopiering af websteder (filer og database). Det giver dig mulighed for at oprette fulde sikkerhedskopier og har fuld funktionalitet til at gendanne dit websted, hvis ting går i mave.
Har du andre Joomla-sikkerhedstip?
Det er lige nu. Hvis du har yderligere Joomla-sikkerhedsforslag, vil vi meget gerne høre dem i kommentarerne nedenfor.
Vær venlig at forlade a nyttigt kommenter med dine tanker, så del dette på din Facebook-gruppe (r), der ville finde det nyttigt, og lad os høste fordelene sammen. Tak fordi du delte og var god!
Afsløring: Denne side kan indeholde links til eksterne websteder for produkter, som vi elsker og helhjertet anbefaler. Hvis du køber produkter, vi foreslår, tjener vi muligvis et henvisningsgebyr. Sådanne gebyrer påvirker ikke vores anbefalinger, og vi accepterer ikke betalinger for positive anmeldelser.