Top 10 Joomla-tietoturvaongelmaa (ja kuinka korjata ne)

Kymmenen suosituinta Joomla-turvallisuusongelmaa ... ja miten niitä voidaan välttää

Joomla-tietoturva-asiat ovat aina kuuma kysymys :) Valitettavasti on joitain virheitä, jotka toistuvat yhä uudelleen ja luovat turvallisuusongelmia, jotka voidaan helposti välttää. Tässä ovat ongelmat - Joomlan tietoturvaongelmat ja mitä sinun on tehtävä niiden välttämiseksi. 

Kymmenen joomla-tietoturvaongelmaa ja niiden korjaaminen

 

Sisällys[show]

10 Joomlan turvallisuusongelmat

10. Halpa isännöintipalvelujen tarjoaja

Älä koskaan etsi halvinta hosting-palvelujen tarjoajaa.

Tyypillisesti halvat isännöintipalvelujen tarjoajat käyttävät jaettuja palvelimia, jotka isännöivät satoja muita sivustoja, joista osa on heikkolaatuisia roskapostisivustoja, jotka voidaan helposti hakkeroida. Koska sivustot ovat yleensä samalla IP-osoitteella, sivustosi on hidas, se on huonolla maineella sijaitsevassa "huonossa naapurustossa" ja saattaa vaarantua, jos muita sivustoja hakkeroidaan.

Tarkista tämän verkkosivuston suosittelemien ja Joomlan hyväksymien isännöintipalvelujen luettelo varten CollectiveRay tätä.

9. Ei varmuuskopioita

Varmista, että sinulla on säännöllinen Joomla varmuuskopiot. Jos sivustoosi murtautuu tai jotain tapahtuu, pystyt rakentamaan sen uudelleen tyhjästä. Suosittelemme yhdistelmää hosting-pohjaisiin varmuuskopioihin, kuten InMotionin tarjoama (isäntä, jota käytämme ja johon luotamme - linkki edellisessä kappaleessa) ja sitten kolmannen osapuolen laajennuksen, kuten AkeebaVarmuuskopio.

8. PHP: n karkaisun ohittaminen (säätämisen asetukset turvallisuuden vuoksi) ja suojattu Joomla! asetukset

PHP: n ja Joomla! -Säätöjen unohtaminen tai ohittaminen Lisäasetukset turvallisuudelle ovat valtava ei-ei.

Voit tehdä monia PHP-palvelimen ja Joomla! -Sovelluksen asetuksia ja muutoksia. turvallisempi ja estää useimpien Joomla-tietoturvaongelmien esiintymisen ja välttää kaikenlaisia ​​turvallisuusongelmia.

Meillä on luettelo asioista, jotka sinun tulisi tehdä asennuksesi "kovettamiseksi", jäljempänä tässä artikkelissa.

7. Heikkojen salasanojen käyttö tai salasanojen uudelleenkäyttö

Käyttämällä samaa käyttäjätunnusta ja salasanaa verkkopankkitilillesi, Joomla! järjestelmänvalvojan tili, Amazon-tili, Yahoo-tili, Gmail-tili ja muualla on toinen virhe, jota sinun tulisi välttää, kuten rutto.

Käytä aina vahvoja salasanoja, jotka poikkeavat muiden tiliesi salasanoista.

Muista myös muuttaa aina järjestelmänvalvojan tilin nimi muuksi kuin "admin". Lisäksi on erittäin suositeltavaa asentaa laajennus, kuten Admineksiili joka suojaa järjestelmänvalvojan taustaa hakkerointiyrityksiltä.

6. Asenna ja unohda

Kun olet asentanut upean uuden kauniin Joomla! -Virtasivuston, tarkista se säännöllisesti varmistaaksesi, ettei mikään ole mennyt pieleen.

Paljon asioita voi mennä pieleen ja voit saada kaikenlaisia ​​Joomla-ongelmia, jos et ylläpidä kaikkia Joomla-asennusten osia.

Autetaan sinua hallitsemaan Joomlaasi paremmin

joomla

Ilmainen Joomla-vihjeiden e-kirja-painike

5. Ei kehityspalvelinta

Kaikki päivitykset ja laajennusasennukset tulisi ensin kokeilla kehityspalvelimella, ennen kuin ne tehdään suoralla sivustolla.

Jos jokin menee pieleen kehityspalvelimessa, voit välttää saman ongelman luomisen palvelimelle ja varmista, että live-sivustosi pysyy puhtaana. Voit käyttää yksinkertaisia ​​palvelimia, jotka voidaan asentaa paikallisesti, kuten XAMPP tai MAMP.

4. Luota kaikkiin kolmansien osapuolten laajennuksiin

Jos haluat optimoida Joomla-suojauksen, asenna vain vaaditut vähimmäislaajennukset.

Jos voit välttää kolmannen osapuolen moduulin asentamisen, vältä sitä. Kaikissa kolmansien osapuolien laajennuksissa ei ole ongelmia, ja jotkut ovat yksinkertaisesti kauhistuttavia, bugisia ja sisältävät haavoittuvuuksia.

Jokainen kolmannen osapuolen laajennus on toinen komponentti, joka saattaa altistaa sinut haavoittuvuuksille, ja se on pidettävä ajan tasalla. Ole varovainen asentamiesi kolmansien osapuolten laajennusten suhteen. Käytä mieluiten hyvämaineisten yritysten ammattimaisia ​​komponentteja. 

Asennamme laajennuksia tyypillisesti vain suuremmilta myyjiltä, ​​kuten RegularLabs, Tassos Marinos, Akeeba jne.

3. Unohdat säilyttää Joomla! sivusto päivitetty

Kun olet asentanut upean uuden kauniin Joomla! -Pohjaisen sivuston, pidä itsesi ajan tasalla kaikista vakaista julkaisuista ja päivitä jokaisella vakaalla julkaisulla.

Vakaa julkaisu korjaa ongelmat ja haavoittuvuudet.

Päivityksen unohtaminen jättää sivustosi alttiiksi kaikenlaisille Joomla-ongelmille. Tämä koskee myös kaikkia kolmansia osapuolia Joomla laajennukset asennat. On tapa Pidä Joomla aina ajan tasalla - haluat ehkä katsoa sitä täällä.

Joomlan tietoturvaongelmat - muista pitää Joomla päivitettynä2. Tietojen puute apua pyydettäessä

Jos sivustosi murtautuu tai murtuu, siirry Joomla-foorumeille ja ennen kuin aloitat hullun lähettämisen, varmista, että sinulla on kaikki asiaankuuluvat tiedot, kuten asentamasi Joomlan versio, mikä versio kolmannen osapuolen laajennuksista sinulla on asennettu.

Nämä tiedot auttavat tunnistamaan, mikä on saattanut aiheuttaa hakkeroinnin, ja kuinka korjata ja välttää sen toistuminen.

1. Korjaa murtuneet tiedostot ja unohda se

Kun sivustosi on murtunut, vioittuneen tiedoston korjaaminen ei riitä.

Tarkista sivustosi lokit, vaihda vanhat salasanat, poista koko hakemisto ja rakenna se uudelleen puhtaista varmuuskopioista ja tee kaikki varotoimet!

Vakavat Joomla -tietoturvaongelmat voivat toistua, jos et palauta niitä puhtaasta varmuuskopiosta, koska asennuksessasi voi olla takaovia. reacthakkerit, kun poistat mielestäsi ainoan tartunnan saaneen tiedoston.

Tämä on tarkistettu versio Kymmenen parhain järjestelmänvalvoja Temppuja, ilman sarkasmia ja suosituksia Joomlan kymmenen parhaan turvallisuusongelman korjaamiseksi :)

Kaikki tehtävät Joomla-verkkosivustosi suojaamiseksi 

Vaikka oletusarvoisesti Joomla! ydinkehitystiimi toteuttaa suuria toimenpiteitä varmistaakseen, että koodissa on vain vähän tai ei lainkaan haavoittuvuuksia. On olemassa joukko asetuksia, jotka saattavat jättää verkkosivustosi alttiiksi hyökkäyksille, jos niitä ei huomioida riittävästi.

Tässä artikkelissa on luettelo toimenpiteistä, jotka on toteutettava turvallisemman Joomla! asennus. Nämä ovat kaikki vinkkejä, joita käytämme omassa web -suunnittelublogissamme, CollectiveRay, joten tiedämme, että nämä toimivat hienosti!

1. Nimeä Joomla! admin tili

Tämä yksinkertainen vaihe kovettaa verkkosivustosi merkittävästi. taas, jos olet vainoharhainen, sinun tulee käyttää satunnaisia ​​merkkejä sekä käyttäjänimessä että salasanassa järjestelmänvalvojalle

2. Varmista, että kokoonpano.php ei ole kirjoitettavissa!

Tämä vaihe on kriittinen, ja maailmassa kirjoitettava configuration.php-tiedosto on kutsu hakkerointiin.

Voit tehdä tämän kirjoittamattomaksi Joomlasta. Tämän Joomlan uudet versiot tekevät automaattisesti, mutta voit tarkistaa, onko tiedostojen käyttöoikeuksissa ongelmia käymällä Järjestelmä> Järjestelmätiedot> Kansion oikeudet. Configuration.php tulee merkitä kirjoittamattomaksi.

3. Yritä pitää Joomla-asennuksesi aina päivitettynä uusimpaan versioon

Jokainen Joomla-päivitys tai uudet versiot lisäävät yleensä turvallisuutta sulkemalla kaikki tietoturva-aukot ja hyväksikäytöt tai muut löydetyt haavoittuvuudet. Jos ohitat päivityksen, jätät "aukon" auki sivustosi turvallisuuteen ja olet vaarassa murtautua.

Kaikkia tietoturvakeskeisiä päivityksiä ei saa KOSKAAN ohittaa. Jokainen päivitys nimetään nimellä "Ylläpito", ja se korjaa virheet tai pienet ongelmat ja "Tietoturva", joka yleensä korjaa tietoturva-aukkoja. Tietoturvapäivitykset on asennettava välittömästi, koska se tarkoittaa, että hakkerit tietävät haavoittuvuuden ja he alkavat heti käyttää sitä hyväkseen.

4. Päivitä uusimpaan PHP-versioon

Jos isäntäsi sallii sen, vaihda uusimpiin suojattuihin PHP-versioihin.

Jokainen seuraava PHP-julkaisu tuo lisää turvallisuutta (suorituskyvyn parantamisen lisäksi). Valitettavasti PHP: n vanhempia versioita ei tyypillisesti päivitetä, vaikka tietoturvaongelmia löydettäisiin.

Tämä tarkoittaa, että havaituilla tietoturvaongelmilla EI ole ratkaisua ja sivustosi altistuu tällaisille hyökkäyksille.

5. Varmista oikeat tiedostojen ja kansioiden oikeudet

Kun sinulla on vakaa sivusto, sinun tulisi muuttaa kaikki tiedostojen käyttöoikeudet kirjoitussuojatuiksi käyttämällä CHMODia (644 tiedostoille, 755 hakemistoille).

Kaikkien hyvien FTP-ohjelmistojen pitäisi antaa sinun tehdä tämä ilman komentosarjoja, tai voit tehdä tämän CPanelin tai File Explorerin kautta.

Voit käyttää yleistä kokoonpanoa myös oletusoikeuksien käyttämiseen kaikkiin tiedostoihin ja kansioihin.

Joomlan vanhemmat versiot sallivat vaihdon suoraan järjestelmänvalvojalta alla olevien ohjeiden mukaisesti, mutta uudemmat Joomlan versiot tekevät sen automaattisesti. Varmista kuitenkin, ettet muuta niitä itse korjataaksesi jonkin muun ongelman.

Valitse Sivusto> Yleiset määritykset> Palvelin-välilehti. Selaa alaspäin, kunnes löydät Tiedoston luominen. Napsauta kohtaa CHMOD uudet tiedostot numeroon 0644 ja CHMOD uudet hakemistot numeroon 0755 ja napsauta Käytä olemassa oleviin tiedostoihin -valintaruutua, jos haluat suorittaa tämän asetuksen kaikissa nykyisissä tiedostoissasi. Kun tämä on tehty, varmista, että configuration.php -tiedosto on edelleen kirjoittamaton. Jos se on kirjoitettava, napsauta Muuta kirjoitettavaksi tallennuksen jälkeen, jotta se ei ole kirjoitettavissa

Käyttöoikeuksien käyttäminen FTP-asiakkaan avulla

Voit käyttää laajennusta, kuten eXtplorer, jolla on helppo tapa muokata käyttöoikeuksia. Sen avulla voit tehdä tämän rekursiivisesti, välttäen siten sinun käydä läpi jokaisen hakemiston. Voit myös käyttää komponentteja, kuten Järjestelmänvalvojan työkalut Joomla! Akeeba, joka voi tarkistaa ja korjata tällaiset ongelmat automaattisesti. 

Järjestelmänvalvojan työkalut suorittaa myös useita muita suorituskyky- ja tietoturvakorjauksia. Tarkista se täältä.

6. Tarkista sivustosi haavoittuvuuksien varalta

On olemassa useita työkaluja, jotka testaavat Joomlaasi vioittuneiden ja haavoittuvien tiedostojen varalta. Nämä ovat tyypillisesti tunkeutumistestaajia, jotka testaavat yleisiä ongelmia.

Voit käyttää myös Joomla-haavoittuvia laajennuksia -luetteloa. Tämä on live-luettelo kaikista haavoittuvista laajennuksista. Joka kerran niin usein (noin kuukausittain), tarkista uusin luettelo varmistaaksesi, ettei mikään nykyisistä Joomla-laajennuksistasi ole luettelossa.

Jos jokin laajennuksistasi on tässä luettelossa, muista päivittää se uusimpaan (korjaustiedostoon) suojattuun versioon.

7. Älä koskaan jätä ylimääräisiä tiedostoja käyntiin

Varmista, että Web-palvelimessasi ei ole tarpeettomia tiedostoja.

Poista asennuksesta jäljellä olevat tiedostot. Poista asennus kansio ja kaikki pakatut tiedostot, jotka olet saattanut ladata palvelimellesi Joomla! ydin. Poista kaikki komponentit / moduulit / mallit, joita et käytä.

Pidä sivustosi aina mahdollisimman laihana. Mahdollisista ylimääräisistä tiedostoista voi tulla vastuu. 

8. Suojaa määritystiedostot ja arkaluonteiset hakemistot

  • Kaikkia asetustiedostoja ei saa laittaa julkiseen HTML-hakemistoon. Jotkut verkkoisännät (esim. GoDaddy - tarkista miten pääset GoDaddy-sähköpostikirjautumiseen) ei ehkä salli sinun tehdä tätä, joten seuraavaksi paras tapa on luoda salasanalla suojattu hakemisto .htaccess-tiedoston avulla. Jos et ole varma htaccess-tiedoston toiminnasta, on hyvä idea lukea se ennen kuin jatkat. Luo hakemisto, on hyvä idea antaa sille jokin satunnainen nimi, esim ehxum3jq pikemminkin kuin konfiguroida Joomla! hakemistoon.
  • Luo .htaccess-tiedosto hakemiston suojaamiseksi. Käytä .htaccess-generaattoria tiedoston luomiseen. Yllä olevan esimerkin perusteella sinulla pitäisi olla samanlainen .htaccess-tiedosto tätä. Muista, että suojattava hakemisto on kotihakemisto (jos et ole varma, että löydät sen alkuperäisen configuration.php-tiedoston absoluuttiselta polulta) ja liittämällä hakemiston nimeen laitat suojatut tiedostosi esim. / Home / content / a / b / c / abccompany / html / ehxum3jq /
  • Huom: Tämä antaa vain perustodennuksen, joka ei tarjoa tiukkaa suojausta. Apache.org-sivuston sanoilla:

Perustodennusta ei tule pitää suojattuna suojauksen erityisen tarkan määritelmän suhteen.

Vaikka salasana on tallennettu palvelimelle salatussa muodossa, se välitetään asiakkaalta palvelimelle pelkkänä tekstinä verkon yli. Jokainen, joka kuuntelee mitä tahansa erilaista pakettinäkijää, pystyy lukemaan käyttäjänimen ja salasanan selkeästi, kun se kulkee.

Parametri .htaccess-tiedoston luomiseksi

Luotu .htaccess-tiedosto ja .htpasswd

Turvallisuuden tarjoamiseksi sinun on lähetettävä salasana SSL: n kautta (missä se salataan matkan varrella).

  • Käytä vahvoja salasanoja tai salasanoja tai satunnaisia ​​merkkejä .htpasswd-tiedostossa, jonka pitäisi olla jotain tätä. Voit suojata hakemistoa entisestään käyttämällä IP-osoitteita .htaccess-tiedostossa, kuten kohdassa on mainittu tämä FAQ
  • Testaa, että hakemisto on suojattu. Laita tiedosto siihen ja yritä käyttää esim. Https://www.omayritys.com/ehxum3jq/myfile.txt. Sinua pyydetään antamaan salasana. Luomisen yhteydessä määritetyn käyttäjänimen ja salasanan antaminen antaa sinulle pääsyn tiedostoon, muuten saat 401-virheen (käyttö estetty).

Perustodennuksen ikkuna

  • Käytä seuraavaa Joomla-foorumin UKK auttaa siirtämään asetustiedostot julkisesta HTML-koodista luomallesi salasanasuojattuun hakemistoon. Ole kuitenkin erityisen varovainen, kun päivität yleistä määritystiedostoa, koska tämä korvaa luomasi tiedoston. Kirjoitussuojaa configuration.php-tiedosto, ja kaikki tarvittavat muutokset tehdään manuaalisesti FTP-asiakkaalla. Ja lisää seuraava rivi niin, että kuka tahansa, joka yrittää käyttää php-tiedostoa, saa "Rajoitettu käyttö" -virheen. Yleensä kaikkien verkkosivustosi PHP-tiedostojen tulisi sisältää tämä rivi. Kaikki PHP-tiedostot, jotka eivät sisällä tätä riviä, ovat turvallisuusriski.

 

määritelty ('_ JEXEC') tai kuolla;

määritelty ('_VALID_MOS') tai kuolla ('rajoitettu pääsy'); // Joomlan vanhemmille versioille

 

9. Pidä kolmannen osapuolen laajennukset ajan tasalla

Kolmannen osapuolen laajennukset ovat yksi parhaista asioista Joomla!

Laajennuksia on niin laaja valikoima, että löydät todennäköisesti jotain jo kirjoitettua sinulle. 3D-juhlien laajennuksia on kuitenkin kaikenlaisia ​​ja kokoja, eikä ydintiimi seuraa niitä.

Tämä tarkoittaa, että on olemassa haavoittuvuus, joka voi vaarantaa asennuksesi. Sinun on oltava erittäin varovainen laajennusten asentamisessa. Seuraa haavoittuvien kolmansien osapuolten / muiden kuin Joomla-laajennusten luetteloa. Jos asennat laajennuksia, varmista, että seuraat niiden julkaisuja ja että noudatat niiden tietoturvasuosituksia.

Lisätietoja on osoitteessa Joomla! Tietoturvakysymykset.

10. Varmuuskopioi! Varmuuskopioida! Varmuuskopioida!

Vaikka olisit toteuttanut KAIKKI vaiheet varmistaaksesi, että verkkosivustosi on 100% turvallinen, haavoittuvuudet saattavat silti piiloutua ja odottaa löytämistä ja hyödyntämistä. Jos sivustoosi murtaudutaan, TÄYTYY varmistaa, että se palaa takaisin verkkoon mahdollisimman pian mahdollisimman pienellä sisällön menetyksellä. Tätä varten sinun on varmistettava, että sinulla on hyvät (päivittäin tai useammin tarpeen mukaan) varmuuskopiot.

AkeebaBackup on avoimen lähdekoodin komponentti Joomla! CMS, joka sallii täydelliset varmuuskopiot sivustosta (tiedostot ja tietokanta). Sen avulla voit luoda täydelliset varmuuskopiot ja sillä on kaikki toiminnot sivuston palauttamiseksi, jos asiat menevät vatsaan.

Onko sinulla muita Joomlan turvallisuusvinkkejä?

Se on toistaiseksi. Jos sinulla on lisää Joomla-turvaehdotuksia, haluaisimme kuulla ne alla olevissa kommenteissa.

kirjailijasta
David Attard
Kirjoittaja: David AttardVerkkosivu: https://www.linkedin.com/in/dattard/Sähköposti: Tämä sähköpostiosoite on suojattu spamboteilta. Javascript nähdäksesi osoitteen.
David on työskennellyt verkko- / digitaalialalla tai sen ympäristössä viimeiset 18 vuotta. Hänellä on laaja kokemus ohjelmisto- ja verkkosuunnitteluteollisuudesta WordPressin, Joomlan ja niitä ympäröivien markkinarakojen käytöstä. Digitaalisena konsulttina hän keskittyy auttamaan yrityksiä saamaan kilpailuetua käyttämällä verkkosivustonsa ja tänään saatavilla olevien digitaalisten alustojen yhdistelmää.

Yksi asia vielä... Tiesitkö, että ihmiset, jotka jakavat hyödyllisiä juttuja, kuten tämä viesti, näyttävät myös mahtavilta? ;-)
Ole hyvä Jätä hyödyllinen kommentoi ajatuksiasi ja jaa tämä sitten Facebook-ryhmissäsi (ryhmissä), jotka pitävät tätä hyödyllisenä, ja hyödynnetään yhdessä. Kiitos jakamisesta ja mukavuudesta!

Disclosure: Tämä sivu voi sisältää linkkejä ulkoisille sivustoille tuotteille, joita rakastamme ja kannatamme sydämestämme. Jos ostat suosittelemiamme tuotteita, saatamme ansaita viittausmaksun. Tällaiset maksut eivät vaikuta suosituksiimme, emmekä hyväksy maksuja positiivisista arvosteluista.

 

keitä me olemme?

CollectiveRay on David Attardin johtama - työskennellyt web -suunnittelualalla ja sen ympärillä yli 12 vuotta, tarjoamme toimivia vinkkejä ihmisille, jotka työskentelevät verkkosivustojen kanssa ja niillä. Meillä on myös DronesBuy.net - sivusto drone -harrastajille.

David Attard

 

 

Kirjoittaja (t) esillä:  Inc-lehden logo   Sitepoint-logo   CSS Tricks -logo    webdesignerdepot-logo   WPMU DEV -logo   ja paljon muuta ...