Topp 10 Joomla öryggismál (og hvernig á að laga þau)

Tíu helstu öryggisvandamál Joomla ... og hvernig á að forðast þau

Joomla öryggismál eru alltaf heitt mál :) Því miður eru nokkur mistök sem eru endurtekin aftur og aftur og skapa öryggisvandamál sem auðveldlega er hægt að forðast. Hér eru vandamálin - Joomla öryggismálin og hvað þú ættir að gera til að forðast þau. 

Topp tíu joomla öryggismál og hvernig á að laga þau

 

10 Joomla öryggisvandamál

10. Ódýrir hýsingaraðilar

Aldrei fara í ódýrustu hýsingaraðilann sem þú finnur.

Venjulega nota ódýrir hýsingaraðilar sameiginlega netþjóna sem hýsa hundruð annarra vefsvæða, þar af sumir eru ruslpóstsíðir af litlum gæðum sem auðvelt er að brjótast inn í. Þar sem þeir eru venjulega á sömu IP-tölunni mun vefsvæðið þitt vera hægt, vera í „slæmu hverfi“ með lítið mannorð og gæti orðið í hættu ef brotist er inn á aðrar síður.

Athugaðu listann yfir ráðlagða og Joomla viðurkennda hýsingaraðila þessarar vefsíðu fyrir CollectiveRay hér.

9. Engin öryggisafrit

Gakktu úr skugga um að þú hafir reglulega Joomla afrit. Ef vefsvæðið þitt verður brotist inn eða eitthvað gerist geturðu endurbyggt frá grunni. Við mælum með því að fara í sambland af hýsingu sem byggir á öryggisafritum eins og þeim sem InMotion býður upp á (gestgjafinn sem við notum og treystum - hlekkur í fyrri málsgrein) og notar síðan viðbót frá þriðja aðila eins og AkeebaBackup.

8. Slepptu herslumun (lagfæringarstillingar til öryggis) á PHP og tryggðu Joomla! stillingar

Gleymt eða sleppt aðlögun PHP og Joomla! stillingar fyrir aukið öryggi er mikið nei.

Það eru margar litlar stillingar og lagfæringar sem þú getur gert til að gera PHP netþjóninn þinn og Joomla! öruggara og koma í veg fyrir að flest Joomla öryggismálin komi fram í fyrsta lagi og forðist allar tegundir öryggisvandamála.

Við höfum lista yfir það sem þú ættir að gera til að "herða" uppsetningu þína neðar í þessari grein.

7. Notkun veikra lykilorða eða endurnotkun lykilorða

Notaðu sama notendanafn og lykilorð fyrir netbankareikninginn þinn, Joomla! stjórnandareikningur, Amazon reikningur, Yahoo reikningur, Gmail reikningur og alls staðar annars staðar eru önnur mistök sem þú ættir að forðast eins og pestin.

Notaðu alltaf sterk lykilorð sem eru frábrugðin þeim fyrir aðra reikninga þína.

Mundu líka að breyta alltaf nafninu á admin reikningnum í eitthvað annað en „admin“. Einnig er mjög ráðlegt að setja upp viðbót eins og Adminexile sem ver stjórnanda bakenda þína gegn reiðhestartilraunum.

6. Settu upp og gleymdu

Eftir að þú hefur sett upp glænýju fallegu Joomla! -Knúnu síðuna skaltu athuga hana reglulega og ganga úr skugga um að ekkert hafi farið úrskeiðis.

Margt getur farið úrskeiðis og þú getur fengið alls konar Joomla vandamál ef þú heldur ekki við öllum íhlutum Joomla uppsetninganna þinna.

Við skulum hjálpa þér að stjórna Joomla þínum betur

Joomla

Ókeypis Joomla ráð ebook hnappur

5. Að hafa engan þróunarþjón

Fyrst ætti að prófa allar uppfærslur og viðbyggingar á þróunarnetþjóni áður en þær eru gerðar á beinni vefsíðu.

Ef eitthvað fer úrskeiðis á þróunarþjóninum geturðu forðast að búa til sama vandamál á þjóninum og þú munt sjá til þess að vefsíðan þín haldist hrein. Þú gætir notað einfalda netþjóna sem hægt er að setja upp á staðnum eins og XAMPP eða MAMP.

4. Treystir öllum viðbótum frá 3. aðila

Ef þú vilt hámarka öryggi Joomla ættirðu aðeins að setja upp lágmarks lágmarksviðbætur sem þú þarft.

Ef þú getur forðast að setja upp þriðja aðila mát, forðastu það. Ekki eru allar viðbætur frá þriðja aðila lausar við vandræði og sumar eru einfaldlega hræðilegar, gallalausar og innihalda veikleika.

Hver viðbót þriðja aðila er annar hluti sem gæti valdið þér veikleika og verður að vera uppfærður. Vertu á varðbergi gagnvart viðbótum þriðja aðila sem þú setur upp, helst farðu í faglega íhluti frá virtum fyrirtækjum. 

Við setjum venjulega aðeins viðbætur frá stærri söluaðilum eins og RegularLabs, Tassos Marinos, Akeeba o.fl.

3. Gleymir að halda Joomla! síða uppfærð

Eftir að þú hefur sett upp glænýju fallegu Joomla! -Knúnu síðuna þína skaltu halda þér uppfærð með allar stöðugar útgáfur og uppfæra með hverri stöðugri útgáfu.

Flestar stöðugar útgáfur laga vandamál og veikleika.

Ef þú gleymir að uppfæra mun síðan þín verða fyrir alls konar Joomla vandamálum. Þetta á einnig við um 3. aðila Joomla viðbætur þú setur upp. Það er leið til haltu Joomla alltaf uppfærð þó - þú gætir viljað skoða það hér.

Joomla öryggismál - vertu viss um að halda joomla uppfærð2. Skortur á upplýsingum þegar beðið er um hjálp

Ef vefsvæðið þitt verður brotist / klikkað skaltu fara á Joomla spjallborðið og áður en þú byrjar að senda frá þér eins og brjálaður skaltu ganga úr skugga um að þú hafir allar viðeigandi upplýsingar tiltækar, svo sem útgáfuna af Joomla sem þú hefur sett upp, hvaða útgáfa af viðbótum frá þriðja aðila þú hefur uppsett.

Þessar upplýsingar hjálpa til við að greina hvað gæti hafa valdið hakkinu þínu og hvernig á að laga og forðast að það gerist aftur.

1. Lagaðu allar sprungnar skrár og gleymdu því

Þegar vefsíðan þín hefur verið sprungin er ekki nóg að laga skjálfta skrána.

Athugaðu dagbókina á síðunni þinni, breyttu gömlu lykilorðunum þínum, fjarlægðu alla skráarsafnið og byggðu það upp úr hreinum afritum og gerðu allar varúðarráðstafanir!

Alvarleg Joomla öryggismál geta endurtekið sig ef þú endurheimtir ekki frá hreinu öryggisafriti því bakdyr geta verið til staðar í uppsetningunni þinni, sem mun reacttölvusnápur flækist fyrir þegar þú fjarlægir það sem þú heldur að sé eina sýkta skráin.

Þetta er endurskoðuð útgáfa af Tíu heimskulegustu stjórnendur Bragðarefur, án kaldhæðni og með ráðleggingum um hvernig hægt er að laga tíu helstu öryggismál Joomla í staðinn :)

Allt það sem hægt er að gera til að tryggja Joomla vefsíðuna þína 

Þó að sjálfgefið sé Joomla! kjarnaþróunarteymi grípur til mikilla ráðstafana til að tryggja að það séu fáir eða engir veikleikar í kóðanum, það eru til nokkrar stillingar sem ef ekki er gefin gaumgæfileg athygli geta skilið vefsíðu þína viðkvæma fyrir árásum.

Þessi grein mun gefa lista yfir ráðstafanir til að tryggja öruggari Joomla! uppsetning. Þetta eru allt ábendingar sem við notum á okkar eigin vefhönnunarblogg, CollectiveRay, svo við vitum að þetta virkar ágætlega!

1. Endurnefna Joomla! admin reikningur

Þetta einfalda skref herðir vefsíðuna þína verulega. aftur ef þú ert ofsóknaræði, ættirðu að nota handahófi stafi bæði fyrir notendanafnið og lykilorðið fyrir stjórnandann

2. Gakktu úr skugga um að configur.php skráin þín sé ekki skrifanleg!

Þetta skref er mikilvægt og heimskurðanlegur configur.php skrá er boð um tölvusnápur.

Þú getur gert þetta óskrifanlegt innan Joomla. Þetta er eitthvað sem nýjar útgáfur af Joomla gera sjálfkrafa, en þú getur staðfest hvort einhver vandamál séu með skráarheimildir með því að fara í System> System Information> Folder Permissions. Configuration.php ætti að vera merkt sem Unwriteable.

3. Reyndu alltaf að hafa Joomla uppsetninguna þína uppfærða í nýjustu útgáfuna

Hver Joomla uppfærsla eða nýjar útgáfur bæta venjulega við öryggi með því að loka öryggisgötum og hetjudáðum eða öðrum uppgötvuðum veikleikum. Ef þú sleppir einhverri uppfærslu skilurðu eftir „gatið“ opið í öryggi vefsvæðisins og átt á hættu að verða brotinn.

ALDREI ætti að sleppa öllum öryggismiðuðum uppfærslum. Hver uppfærsla verður nefnd „Viðhald“ og lagfærir villur eða smá vandamál og „Öryggi“ sem venjulega tekur á öryggisveikleika. Öryggisuppfærslur ættu að vera settar upp strax vegna þess að það þýðir að varnarleysið er nú þekkt fyrir tölvuþrjóta og þeir munu strax byrja að nýta sér það.

4. Uppfærðu í nýjustu PHP útgáfuna

Ef gestgjafinn þinn leyfir það skaltu skipta yfir í nýjustu öruggu útgáfur af PHP.

Hver síðari útgáfa af PHP kynnir viðbótaröryggi (auk þess að bæta árangur). Því miður eru eldri útgáfur af PHP venjulega ekki uppfærðar, jafnvel þótt öryggisvandamál finnist.

Þetta þýðir að öryggisvandamál sem uppgötvast munu EKKI hafa lausn og vefsíðan þín verður fyrir slíkum hetjudáðum.

5. Gakktu úr skugga um réttar heimildir fyrir skrár og möppur

Þegar þú ert með stöðuga síðu ættirðu að breyta öllum skráarheimildum í ritvarið með CHMOD (644 fyrir skrár, 755 fyrir möppur).

Allir góðir FTP hugbúnaður ættu að leyfa þér að gera þetta án þess að þurfa að nota nein forskriftir, eða þú gætir gert þetta í gegnum CPanel eða File Explorer.

Þú getur einnig notað Global Configuration til að nota sjálfgefnar heimildir á allar skrár og möppur.

Eldri útgáfur af Joomla nota til að leyfa breytingum beint frá stjórnandanum samkvæmt leiðbeiningunum hér að neðan, en nýrri útgáfur af Joomla gera þetta sjálfkrafa. Vertu þó viss um að breyta þeim ekki sjálfur til að laga annað vandamál.

Farðu á Site> Global Configuration> Server tab. Skrunaðu niður þar til þú finnur File Creation. Smelltu á CHMOD nýjar skrár til 0644 og CHMOD nýjar möppur til 0755 og smelltu á gátreitinn Apply to núverandi skrár til að keyra þessa stillingu á öllum núverandi skrám. Þegar þessu er lokið skaltu ganga úr skugga um að configur.php skráin sé ennþá óskrifanleg. Ef hún er skrifanleg skaltu smella á Gera óskrifanleg eftir vistun til að gera hana ekki skrifanlega

Notar heimildir með því að nota FTP biðlara

Þú getur notað viðbót eins og eXtplorer sem er auðveld leið til að breyta heimildum. Það gerir þér kleift að gera þetta endurkvæmanlega og forðast þannig að þurfa að fara í gegnum hverja möppu. Þú getur líka notað íhluti eins og Admin Tools fyrir Joomla! af Akeeba sem getur athugað og lagað slík vandamál sjálfkrafa. 

Admin Tools framkvæma einnig fjölda annarra frammistöðu- og öryggisleiðréttinga. Skoðaðu það hér.

6. Athugaðu vefsíðu þína með tilliti til veikleika

Það eru nokkur tæki sem prófa Joomla fyrir spilltum skrám og viðkvæmum skrám. Þetta eru venjulega skarpskyggniprófarar sem prófa algeng vandamál.

Þú getur líka notað Joomla viðkvæma viðbótarlistann. Þetta er lifandi listi yfir allar viðbætur sem eru með viðkvæmni. Hvert svo oft (í hverjum mánuði eða svo) ættir þú að athuga nýjasta listann til að tryggja að engin af núverandi Joomla viðbótum þínum sé á listanum.

Ef einhver viðbótin þín er á þessum lista skaltu ganga úr skugga um að þú uppfærir hana í nýjustu (plástraða) öruggu útgáfuna.

7. Skildu aldrei auka skrár í gangi

Gakktu úr skugga um að engar óþarfar skrár séu á vefþjóninum þínum.

Eyða öllum skrám sem eftir eru af uppsetningunni. Eyða uppsetningu möppuna og allar þjappaðar skrár sem þú gætir sett inn á vefþjóninn þinn til að setja upp Joomla! kjarni. Fjarlægðu alla hluti / einingar / sniðmát sem þú ert ekki að nota.

Hafðu alltaf síðuna þína eins halla og mögulegt er. Allar auka skrár gætu orðið ábyrgð. 

8. Verndaðu stillingarskrárnar þínar og viðkvæmar möppur

  • Ekki ætti að setja allar stillingarskrár í hina opinberu HTML skrá. Sumir vefhýsingar (td GoDaddy) leyfa þér kannski ekki að gera þetta, svo að næst besti hlutinn er að búa til lykilorðavarnaða möppu með því að nota .htaccess skrá. Ef þú ert ekki viss um virkni htaccess skráarinnar er góð hugmynd að lesa um hana áður en þú heldur áfram. Búðu til möppu, það er góð hugmynd að nefna það eitthvað af handahófi, td ehxum3jq frekar en að stilla í Joomla þinn! Skrá.
  • Búðu til .htaccess skrá til að vernda skráasafnið. Notaðu .htaccess rafall til að hjálpa þér að búa til skrána. Byggt á dæminu hér að ofan ættirðu að hafa .htaccess skrá svipaða og þetta. Mundu að skráarsafnið sem þú vilt vernda er heimaskráin (ef þú ert ekki viss um að þú getir fundið hana í Algeru slóðinni á upprunalegu uppsetningu.php skránni þinni) og bætt við skráarheitinu sem þú munt setja vernduðu skrárnar þínar í td / heim / content / a / b / c / abccompany / html / ehxum3jq /
  • ATH: Þetta veitir aðeins grunnvottun sem býður ekki upp á strangt öryggi. Með orðum frá Apache.org:

Grunnvottun ætti ekki að teljast örugg fyrir neina sérstaklega stranga skilgreiningu á öruggri.

Þrátt fyrir að lykilorðið sé geymt á netþjóninum á dulkóðuðu sniði, þá er það sent frá viðskiptavininum til netþjónsins í óbreyttum texta um netið. Sá sem hlustar með hvers kyns pakkaþefja getur lesið notendanafnið og lykilorðið með skýrum hætti þegar það fer yfir.

Færibreyta til að búa til .htaccess skrá

Búin til .htaccess skrá og .htpasswd

Til að bjóða raunverulega upp á öryggi þarftu að senda lykilorðið í gegnum SSL (þar sem það væri dulkóðað á leiðinni).

  • Notaðu sterk lykilorð eða lykilorð eða handahófskennda stafi fyrir .htpasswd skrána sem ætti að vera eitthvað í líkingu við þetta. Þú getur verndað skrána þína enn frekar með því að nota IP-tölur í .htaccess skránni eins og fram kemur í þetta FAQ
  • Prófaðu til að tryggja að skráin sé vernduð. Settu skrá í það og reyndu að fá aðgang að td https://www.yourcompany.com/ehxum3jq/myfile.txt. Þú ættir að vera beðinn um lykilorð. Að gefa upp notandanafnið og lykilorðið sem tilgreint er við kynslóðina ætti að veita þér aðgang að skránni, annars ættirðu að fá 401 villu (Aðgangur hafnað).

Grunnvottunarvottunargluggi

  • Notaðu eftirfarandi Algengar spurningar um Joomla Forum til að hjálpa þér að færa uppstillingarskrár úr almenna HTML yfir í lykilorðin sem þú hefur búið til. Vertu sérstaklega varkár þegar þú uppfærir Global Configuration skrána, því þetta skrifar yfir skrána sem þú hefur búið til. Skrifaðu og verndaðu setup.php skrána og allar breytingar sem þú þarfnast gera þær handvirkt með FTP viðskiptavin. Og bætið við eftirfarandi línu svo að hver sem reynir að fá aðgang að php skránni fái „Takmarkaðan aðgang“ villu. Að öllu jöfnu ættu allar PHP skrár á vefsíðunni þinni að innihalda þessa línu. Allar PHP skrár sem innihalda ekki þessa línu er öryggisáhætta.

 

skilgreint ('_ JEXEC') eða deyja;

skilgreint ('_VALID_MOS') eða deyja ('Takmarkaður aðgangur'); // fyrir eldri útgáfur af Joomla

 

9. Haltu uppfærslum frá þriðja aðila

Eftirnafn þriðja aðila er eitt það besta við Joomla!

Það er svo mikið úrval af viðbótum að þú getur líklega fundið eitthvað sem þegar er skrifað fyrir þig. Hins vegar eru þrívíddarviðbætur í öllum stærðum og gerðum og eru ekki undir eftirliti af kjarnahópnum.

Þetta þýðir að viðkvæmni er til staðar sem getur komið í veg fyrir uppsetningu þína. Þú verður að vera mjög varkár með að setja upp viðbætur. Fylgstu með listanum yfir viðkvæmar 3. viðbætur / non-Joomla viðbætur. Ef þú setur upp viðbætur, vertu viss um að fylgjast með útgáfum þeirra og vertu viss um að þú fylgir öryggisráðleggingum þeirra.

Nánari upplýsingar er að finna á Joomla! Algengar spurningar um öryggi.

10. Afritun! Varabúnaður! Varabúnaður!

Jafnvel ef þú hefur gert ÖLL ráð til að tryggja að vefsíðan þín sé 100% örugg, þá gæti veikleiki ennþá leynst og beðið eftir að verða fundin og nýtt. Ef vefsvæðið þitt verður brotist, VERÐUR þú að tryggja að það komi aftur á netið eins fljótt og auðið er með eins litlu tapi á efni og mögulegt er. Fyrir þetta verður þú að tryggja að þú hafir gott öryggisafrit (daglega eða oftar eftir því sem þörf krefur).

AkeebaBackup er opinn uppspretta hluti fyrir Joomla! CMS sem gerir ráð fyrir fullri afritun vefsvæða (skrár og gagnagrunn). Það gerir þér kleift að búa til full afrit og hefur fulla virkni til að endurheimta síðuna þína ef hlutirnir fara upp í maga.

Einhver önnur Joomla öryggisráð?

Það er í bili. Ef þú hefur frekari tillögur um öryggi Joomla, viljum við gjarnan heyra þær í athugasemdunum hér að neðan.

Um höfundinn
David Attard
Höfundur: David AttardVefsíða: https://www.linkedin.com/in/dattard/
David hefur starfað í eða við net- / stafræna iðnaðinn síðustu 18 ár. Hann hefur mikla reynslu af hugbúnaðar- og vefhönnunargeiranum með því að nota WordPress, Joomla og veggskot í kringum þau. Sem stafrænn ráðgjafi er áhersla hans lögð á að hjálpa fyrirtækjum að ná samkeppnisforskoti með því að nota sambland af vefsíðu þeirra og stafrænum kerfum sem eru í boði í dag.

Eitt í viðbót... Vissir þú að fólk sem deilir gagnlegu efni á borð við þessa færslu lítur ótrúlega líka út? ;-)
vinsamlegast yfirgefa a gagnlegt skrifaðu athugasemdir við hugsanir þínar, deildu þessu síðan á Facebook hópinn þinn / hverjum sem myndu finnast þetta gagnlegt og við skulum uppskera ávinninginn saman. Takk fyrir að deila og vera fín!

Birting: Þessi síða getur innihaldið tengla á ytri vefsíður fyrir vörur sem við elskum og mælum af heilum hug. Ef þú kaupir vörur sem við leggjum til gætum við unnið okkur inn tilvísunargjald. Slík gjöld hafa ekki áhrif á ráðleggingar okkar og við tökum ekki við greiðslum fyrir jákvæða dóma.

 

hver erum við?

CollectiveRay er rekið af David Attard - vinnandi í og ​​við vefhönnunarsessina í meira en 12 ár, við veitum nothæfar ábendingar fyrir fólk sem vinnur með og á vefsíðum. Við rekum einnig DronesBuy.net - vefsíðu fyrir drónaáhugamenn.

Davíð attard

 

 

Höfundur (ar) Valin þann:  Merki tímarits Inc   Sitepoint merki   CSS bragðarefur merki    vefhönnunarpottamerki   WPMU DEV merki   og margir fleiri ...