Topp 10 Joomla-sikkerhetsproblemer (og hvordan du løser dem)

Topp ti Joomla sikkerhetsproblemer ... og hvordan du kan unngå dem

Joomla Sikkerhetsproblemer er alltid et hett problem :) Dessverre er det noen feil som gjentas igjen og igjen og skaper sikkerhetsproblemer som lett kan unngås. Her er problemene - Joomla-sikkerhetsproblemene og hva du bør gjøre for å unngå dem. 

Topp ti Joomla sikkerhetsproblemer og hvordan du løser dem

 

innhold[Show]

10 Joomla-sikkerhetsproblemer

10. Billige leverandører av hosting

Aldri gå etter den billigste hostingleverandøren du kan finne.

Vanligvis bruker billige hosting-leverandører delte servere som er vert for hundrevis av andre nettsteder, hvorav noen er spam-nettsteder av lav kvalitet som lett kan hackes. Siden de vanligvis har samme IP-adresse, vil nettstedet ditt være tregt, være i et "dårlig nabolag" med lavt omdømme, og kan komme i fare hvis andre nettsteder blir hacket.

Sjekk listen over dette nettstedets anbefalte og Joomla-godkjente hostingleverandør forum CollectiveRay her..

9. Ingen sikkerhetskopier

Sørg for at du har vanlig Joomla sikkerhetskopier. Hvis nettstedet ditt blir hacket eller noe skjer, vil du kunne bygge om fra bunnen av. Vi vil anbefale å gå for en kombinasjon av hostingbaserte sikkerhetskopier som de som tilbys av InMotion (verten vi bruker og stoler på - lenke i forrige avsnitt) og deretter bruke en tredjepartsutvidelse som f.eks. AkeebaBackup.

8. Hopp over herding (justering av innstillinger for sikkerhet) av PHP og sikre Joomla! innstillinger

Glemmer eller hopper over justeringen av PHP og Joomla! innstillinger for økt sikkerhet er et enormt nei-nei.

Det er mange små innstillinger og justeringer du kan gjøre for å lage PHP-serveren din og Joomla! sikrere og forhindre at de fleste Joomla-sikkerhetsproblemene oppstår i utgangspunktet og unngå alle typer sikkerhetsproblemer.

Vi har en liste over ting du bør gjøre for å "herde" installasjonen lenger nede i denne artikkelen.

7. Bruke svake passord eller bruke passord på nytt

Ved å bruke samme brukernavn og passord for din online bankkonto, Joomla! administratorkonto, Amazon-konto, Yahoo-konto, Gmail-konto og overalt ellers er en annen feil du bør unngå som pesten.

Bruk alltid sterke passord som er forskjellige fra de andre kontoene dine.

Husk også å alltid endre navnet på admin-kontoen til noe annet enn "admin". Det anbefales også å installere et plugin som f.eks Adminexil som beskytter administratorens backend fra hackingsforsøk.

6. Installer og glem

Etter at du har installert det splitter nye vakre Joomla! -Drevne nettstedet, må du sjekke det regelmessig og sørge for at ingenting har gått galt.

Mange ting kan gå galt, og du kan få alle slags Joomla-problemer hvis du ikke vedlikeholder alle komponentene i Joomla-installasjonene dine.

La oss hjelpe deg med å administrere Joomla bedre

joomla

Gratis Joomla tips eBok-knapp

5. Har ingen utviklingsserver

Alle oppgraderinger og utvidelsesinstallasjoner bør først prøves på en utviklingsserver før de gjøres på live-siden.

Hvis noe går galt på utviklingsserveren, kan du unngå å opprette det samme problemet på serveren, og du vil sørge for at det levende nettstedet ditt forblir rent. Du kan bruke enkle servere som kan installeres lokalt, for eksempel XAMPP eller MAMP.

4. Stoler på alle tredjepartsutvidelser

Hvis du vil ha optimal Joomla-sikkerhet, bør du bare installere de minste minimumsutvidelsene du trenger.

Hvis du kan unngå å installere en tredjepartsmodul, må du unngå det. Ikke alle tredjepartsutvidelser er fri for problemer, og noen er bare fryktelige, buggy og inneholder sårbarheter.

Hver tredjepartsutvidelse er en annen komponent som kan utsette deg for sårbarheter og må holdes oppdatert. Vær forsiktig med tredjepartsutvidelser du installerer, helst gå for profesjonelle komponenter fra anerkjente selskaper. 

Vi installerer vanligvis bare utvidelser fra større leverandører som RegularLabs, Tassos Marinos, Akeeba etc.

3. Glemmer å beholde Joomla! nettstedet er oppdatert

Etter at du har installert det splitter nye vakre Joomla! -Drevne nettstedet, hold deg oppdatert med eventuelle stabile utgivelser og oppdater med hver stabile utgivelse.

De fleste stabile utgivelser løser problemer og sårbarheter.

Hvis du glemmer å oppgradere, blir nettstedet ditt utsatt for alle slags Joomla-problemer. Dette gjelder også enhver tredjepart Joomla utvidelser du installerer. Det er en måte å holde Joomla alltid oppdatert skjønt - det kan være lurt å se på det her.

Joomla sikkerhetsproblemer - sørg for å holde joomla oppdatert2. Mangel på informasjon når du ber om hjelp

Hvis nettstedet ditt blir hacket / sprukket, gå til Joomla-forumene, og før du begynner å legge ut som gal, må du sørge for at du har all relevant informasjon tilgjengelig, for eksempel versjonen av Joomla du har installert, hvilken versjon av tredjepartsutvidelser du har installert.

Denne informasjonen vil hjelpe deg med å identifisere hva som kan ha forårsaket hacket ditt, og hvordan du kan fikse og unngå at det skjer igjen.

1. Løs eventuelle sprukne filer og glem det

Når nettstedet ditt har blitt sprukket, er det ikke nok å fikse den ødelagte filen.

Sjekk nettstedets logger, endre de gamle passordene, fjern hele katalogen og gjenoppbygg den fra rene sikkerhetskopier, og ta alle forholdsregler!

Alvorlige Joomla -sikkerhetsproblemer kan gjenta seg hvis du ikke gjenoppretter fra en ren sikkerhetskopi fordi det kan være bakdører i installasjonen din, noe som vil reactivated av hackere når du fjerner det du tror er den eneste infiserte filen.

Dette er en revidert versjon av Topp ti dummeste administratoren Triks, uten sarkasme og med anbefalinger om hvordan du løser de ti beste Joomla Security-problemene i stedet :)

Alle ting å gjøre for å sikre Joomla-nettstedet 

Selv om Joomla som standard! kjerneutviklingsteamet tar gode tiltak for å sikre at det er få eller ingen sårbarheter i koden. Det er en rekke innstillinger som, hvis ikke gitt oppmerksomhet, kan gjøre at nettstedet ditt er sårbart for angrep.

Denne artikkelen vil gi en liste over tiltak for å sikre en mer sikker Joomla! installasjon. Dette er alle tipsene vi bruker på vår egen webdesignblogg, CollectiveRay, så vi vet at disse fungerer fint!

1. Gi nytt navn til Joomla! admin konto

Dette enkle trinnet herder nettstedet ditt betydelig. igjen hvis du er paranoid, bør du bruke tilfeldige tegn både for brukernavnet og passordet for administratoren

2. Forsikre deg om at configuration.php-filen ikke kan skrives!

Dette trinnet er avgjørende, og en verdensskrivbar configuration.php-fil er en invitasjon til hacking.

Du kan gjøre dette ikke-skrivbart fra Joomla. Dette er noe nye versjoner av Joomla gjør automatisk, men du kan bekrefte om det er problemer med filtillatelser ved å gå til System> Systeminformasjon> Mappetillatelser. Configuration.php skal merkes som Uskrivbar.

3. Prøv alltid å holde Joomla-installasjonen oppgradert til den nyeste versjonen

Hver Joomla-oppdatering eller nye versjoner legger vanligvis til sikkerhet ved å lukke eventuelle sikkerhetshull og utnyttelser eller andre oppdagede sårbarheter. Hvis du hopper over noen oppdateringer, lar du det "hullet" stå åpent i nettstedets sikkerhet og risikerer å bli hacket.

Enhver sikkerhetsfokusert oppdatering skal ALDRI hoppes over. Hver oppdatering vil bli kalt "Vedlikehold", og fikser feil eller små problemer og "Sikkerhet" som vanligvis løser sikkerhetsproblemer. Sikkerhetsoppdateringer bør installeres umiddelbart fordi det betyr at sårbarheten nå er kjent for hackere, og de vil umiddelbart begynne å utnytte den.

4. Oppgrader til den siste PHP-versjonen

Hvis verten din tillater det, bytt til de nyeste sikre versjonene av PHP.

Hver påfølgende utgivelse av PHP introduserer ekstra sikkerhet (i tillegg til forbedring av ytelsen). Dessverre blir eldre versjoner av PHP vanligvis ikke oppdatert, selv om sikkerhetsproblemer blir funnet.

Dette betyr at eventuelle sikkerhetsproblemer som blir oppdaget IKKE vil ha en løsning, og nettstedet ditt vil bli utsatt for slike utnyttelser.

5. Sørg for riktig fil- og mappetillatelse

Når du har et stabilt nettsted, bør du endre alle filtillatelser til skrivebeskyttet ved hjelp av CHMOD (644 for filer, 755 for kataloger).

Enhver god FTP-programvare skal tillate deg å gjøre dette uten å måtte bruke noen skript, eller du kan gjøre dette via CPanel eller File Explorer.

Du kan også bruke den globale konfigurasjonen til å bruke standardtillatelsene til alle filer og mapper.

Eldre versjoner av Joomla bruker å tillate endring direkte fra administratoren i henhold til instruksjonene nedenfor, men de nyere versjonene av Joomla gjør dette automatisk. Forsikre deg om at du ikke endrer dem selv for å løse et annet problem.

Gå til Nettsted> Global konfigurasjon> Server-fanen. Rull ned til du finner File Creation. Klikk på CHMOD nye filer til 0644, og CHMOD nye kataloger til 0755, og klikk på avkrysningsruten Bruk på eksisterende filer for å kjøre denne innstillingen på alle dine nåværende filer. Når dette er gjort, må du sørge for at filen configuration.php fremdeles ikke kan skrives. Hvis den er skrivbar, klikker du på Gjør omskrivbar etter lagring for å gjøre den ikke skrivbar

Bruker tillatelser ved hjelp av FTP-klient

Du kan bruke en utvidelse som eXtplorer som har en enkel måte å redigere tillatelser på. Det lar deg gjøre dette rekursivt, og dermed unngå å måtte gå gjennom hver katalog. Du kan også bruke komponenter som Admin Tools for Joomla! av Akeeba som kan sjekke og fikse slike problemer automatisk. 

Admin Tools utfører også en rekke andre ytelses- og sikkerhetsrettinger. Sjekk det ut her.

6. Sjekk nettstedet ditt for sårbarheter

Det finnes en rekke verktøy som tester Joomla for korrupte filer og sårbare filer. Dette er vanligvis penetrasjonstestere som tester for vanlige problemer.

Du kan også bruke Joomla Sårbare utvidelser-listen. Dette er en direkte liste over utvidelser som har en sårbarhet. Hvert så ofte (hver måned eller så), bør du sjekke den siste listen for å sikre at ingen av de nåværende Joomla-utvidelsene dine er på listen.

Hvis noen av utvidelsene dine er på denne listen, må du sørge for å oppdatere den til den nyeste (oppdaterte) sikre versjonen.

7. La aldri ekstra filer løpe rundt

Forsikre deg om at det ikke er unødvendige filer på webserveren din.

Slett eventuelle filer som er igjen fra installasjonen. Slett din installasjon mappen og eventuelle komprimerte filer som du kanskje har lastet opp til webserveren din for å installere Joomla! kjerne. Fjern komponenter / moduler / maler du ikke bruker.

Hold alltid nettstedet ditt så magert som mulig. Eventuelle ekstra filer kan bli et ansvar. 

8. Beskytt konfigurasjonsfilene og sensitive kataloger

  • Alle konfigurasjonsfiler skal ikke legges i den offentlige HTML-katalogen. Noen webverter (f.eks. GoDaddy - sjekk ut hvordan få tilgang til GoDaddy e-postpålogging) lar deg kanskje ikke gjøre dette, så det nest beste er å lage en passordbeskyttet katalog ved å bruke en .htaccess-fil. Hvis du ikke er sikker på funksjonen til htaccess-filen, er det en god idé å lese om den før du fortsetter. Lag en katalog, det er lurt å gi den et tilfeldig navn, f.eks ehxum3jq i stedet for å konfigurere Joomla! katalog.
  • Opprett en .htaccess-fil for å beskytte katalogen. Bruk en .htaccess-generator for å hjelpe deg med å generere filen. Basert på eksemplet ovenfor bør du ha en .htaccess-fil som ligner på denne. Husk at katalogen du vil beskytte er hjemmekatalogen (hvis du ikke er sikker på at du kan finne den i den absolutte banen til den opprinnelige konfigurasjonen. Php-filen) og legger til katalognavnet, vil du legge de beskyttede filene i f.eks / hjem / innhold / a / b / c / abcompany / html / ehxum3jq /
  • NB: Dette gir bare grunnleggende godkjenning som ikke gir streng sikkerhet. Med ordene fra Apache.org:

Grunnleggende autentisering bør ikke betraktes som sikker for noen særlig streng definisjon av sikker.

Selv om passordet er lagret på serveren i et kryptert format, overføres det fra klienten til serveren i ren tekst over nettverket. Alle som lytter med en hvilken som helst rekke pakke sniffer, vil kunne lese brukernavnet og passordet i det klare når det går over.

Parameter for å lage .htaccess-fil

Genererte .htaccess-fil og .htpasswd

For å virkelig kunne tilby sikkerhet, må du sende passordet via SSL (der det blir kryptert underveis).

  • Bruk sterke passord eller passordfraser eller tilfeldige tegn for .htpasswd-filen, som skal være omtrent denne. Du kan beskytte katalogen din ytterligere ved å bruke IP-er i .htaccess-filen som angitt i denne vanlige spørsmål
  • Test for å sikre at katalogen er beskyttet. Sett en fil i den, og prøv å få tilgang til f.eks. Https://www.yourcompany.com/ehxum3jq/myfile.txt. Du bør bli bedt om å oppgi passord. Hvis du oppgir brukernavnet og passordet som er spesifisert under genereringen, skal du få tilgang til filen, ellers bør du få en 401-feil (Access Denied).

Grunnleggende godkjenningsvindu

  • Bruk følgende Vanlige spørsmål om Joomla Forum for å hjelpe deg med å flytte konfigurasjonsfiler fra den offentlige HTML-filen til den passordbeskyttede katalogen du har opprettet. Vær imidlertid ekstra forsiktig når du oppdaterer den globale konfigurasjonsfilen, fordi dette overskriver filen du har opprettet. Skrivbeskytt filen configuration.php, og eventuelle endringer du trenger gjør dem manuelt ved hjelp av en FTP-klient. Og legg til følgende linje slik at alle som prøver å få tilgang til php-filen får en "Begrenset tilgang" -feil. Som en generell regel bør alle PHP-filer på nettstedet ditt inneholde denne linjen. Enhver PHP-fil som ikke inneholder denne linjen, er en sikkerhetsrisiko.

 

definert ('_ JEXEC') eller dø;

definert ('_VALID_MOS') eller die ('Begrenset tilgang'); // for eldre versjoner av Joomla

 

9. Hold utvidelser fra tredjeparter oppdatert

Tredjepartsutvidelser er en av de beste tingene med Joomla!

Det er så mange forskjellige utvidelser at du sannsynligvis kan finne noe som allerede er skrevet for deg. 3D-festutvidelser kommer imidlertid i alle fasonger og størrelser og overvåkes ikke av kjerneteamet.

Dette betyr at det finnes sårbarhet som kan kompromittere installasjonen din. Du må være ekstremt forsiktig med å installere utvidelser. Overvåk listen over sårbare tredjeparts / ikke-Joomla-utvidelser. Hvis du installerer utvidelser, må du overvåke utgivelsene og sørge for at du følger sikkerhetsanbefalingene deres.

For mer informasjon gå til Joomla! Vanlige spørsmål om sikkerhet.

10. Sikkerhetskopiering! Backup! Backup!

Selv om du har tatt ALLE skritt for å sikre at nettstedet ditt er 100% sikkert, kan det fortsatt lurer sårbarheter og venter på å bli funnet og utnyttet. Hvis nettstedet ditt blir hacket, MÅ du sørge for at det kommer tilbake på nettet så snart som mulig med så lite tap av innhold som mulig. For dette må du sørge for at du har gode sikkerhetskopier (daglig eller oftere etter behov).

AkeebaBackup er en open source-komponent for Joomla! CMS som gir full sikkerhetskopiering av nettstedet (filer og database). Det lar deg lage komplette sikkerhetskopier og har full funksjonalitet for å gjenopprette nettstedet ditt hvis ting går i magen.

Noen andre Joomla sikkerhetstips?

Det er for nå. Hvis du har flere Joomla-sikkerhetsforslag, vil vi gjerne høre dem i kommentarene nedenfor.

om forfatteren
David Attard
Forfatter: David Attardnettside: https://www.linkedin.com/in/dattard/E-post: david@collectiveray. Med
David har jobbet i eller rundt den elektroniske / digitale industrien de siste 18 årene. Han har lang erfaring innen programvare- og webdesignindustrien ved å bruke WordPress, Joomla og nisjer rundt dem. Som digital konsulent er hans fokus på å hjelpe bedrifter med å få et konkurransefortrinn ved å bruke en kombinasjon av deres nettside og digitale plattformer som er tilgjengelige i dag.

En ting til... Visste du at folk som deler nyttige ting som dette innlegget også ser FANTASTISK ut? ;-)
Vær så snill forlate en nyttig kommenter med tankene dine, så del dette på Facebook-gruppen din (e) som synes dette er nyttig, og la oss høste fordelene sammen. Takk for at du delte og var hyggelig!

Avsløring: Denne siden kan inneholde lenker til eksterne nettsteder for produkter som vi elsker og anbefaler helhjertet. Hvis du kjøper produkter vi foreslår, kan vi tjene et henvisningsgebyr. Slike avgifter påvirker ikke våre anbefalinger, og vi godtar ikke betaling for positive anmeldelser.

 

hvem er vi?

CollectiveRay drives av David Attard - som jobber i og rundt webdesignnisjen i mer enn 12 år, gir vi nyttige tips for folk som jobber med og på nettsteder. Vi driver også DronesBuy.net - et nettsted for dronehobbyister.

David attard

 

 

Forfatter (e) Fremvist på:  Inc Magazine-logoen   Sitepoint-logo   CSS Tricks-logo    webdesignerdepot-logo   WPMU DEV-logo   og mange flere ...