10 najważniejszych problemów związanych z bezpieczeństwem Joomla (i jak je naprawić) - [usunięte]

Dziesięć najważniejszych problemów związanych z bezpieczeństwem Joomla… i jak ich uniknąć

Kwestie bezpieczeństwa Joomla są zawsze gorącym problemem :) Niestety, są pewne błędy, które powtarzają się w kółko, tworząc problemy z bezpieczeństwem, których można łatwo uniknąć. Oto problemy - kwestie bezpieczeństwa Joomla i co należy zrobić, aby ich uniknąć. 

Dziesięć najważniejszych problemów związanych z bezpieczeństwem Joomla i jak je naprawić

 

Spis treści[Pokazać]

10 problemów z bezpieczeństwem Joomla

10. Tani dostawcy hostingu

Nigdy nie wybieraj najtańszego dostawcy usług hostingowych, jakiego możesz znaleźć.

Zazwyczaj tani dostawcy hostingu korzystają z serwerów współdzielonych, na których znajdują się setki innych witryn, z których niektóre są niskiej jakości witrynami spamerskimi, które można łatwo zhakować. Ponieważ są one zazwyczaj pod tym samym adresem IP, Twoja witryna będzie działać wolno, będzie znajdować się w „złej okolicy” o niskiej reputacji i może zostać przejęta, jeśli inne witryny zostaną zhakowane.

Sprawdź listę polecanych i zatwierdzonych przez Joomla dostawców usług hostingowych na tej stronie dla CollectiveRay tutaj.

9. Brak kopii zapasowych

Upewnij się, że masz regularne Kopie zapasowe Joomla. Jeśli Twoja witryna zostanie zhakowana lub coś się stanie, będziesz mógł ją odbudować od zera. Zalecamy połączenie kopii zapasowych opartych na hostingu, takich jak te oferowane przez InMotion (host, którego używamy i któremu ufamy - link w poprzednim akapicie), a następnie użycie rozszerzenia innej firmy, takiego jak Kopia zapasowa Akeeba.

8. Pomijanie hartowania (poprawianie ustawień bezpieczeństwa) PHP i zabezpieczanie Joomla! ustawienia

Zapominanie lub pomijanie dostosowywania PHP i Joomla! ustawienia dla zwiększonego bezpieczeństwa to ogromny nie-nie.

Istnieje wiele drobnych ustawień i poprawek, które możesz zrobić, aby stworzyć swój serwer PHP i Joomla! bardziej bezpieczne i zapobiegaj występowaniu większości problemów związanych z bezpieczeństwem Joomla i unikaj wszelkiego rodzaju problemów związanych z bezpieczeństwem.

W dalszej części tego artykułu znajduje się lista rzeczy, które należy zrobić, aby „utwardzić” instalację.

7. Używanie słabych haseł lub ponowne używanie haseł

Używając tej samej nazwy użytkownika i hasła do konta bankowego online, Joomla! konto administratora, konto Amazon, konto Yahoo, konto Gmail i wszędzie indziej to kolejny błąd, którego powinieneś unikać jak ognia.

Zawsze używaj silnych haseł, które różnią się od haseł używanych na innych kontach.

Pamiętaj również, aby zawsze zmieniać nazwę konta administratora na inną niż „admin”. Ponadto zaleca się zainstalowanie wtyczki, takiej jak Adminemigracja który chroni zaplecze administratora przed próbami włamań.

6. Zainstaluj i zapomnij

Po zainstalowaniu nowej, pięknej witryny opartej na Joomla!, sprawdzaj ją regularnie, upewniając się, że nic nie poszło nie tak.

Wiele rzeczy może pójść nie tak i możesz mieć różnego rodzaju problemy z Joomla, jeśli nie będziesz utrzymywać wszystkich komponentów swoich instalacji Joomla.

Pomóżmy Ci lepiej zarządzać Joomlą

Joomla

Darmowy przycisk ebooka z poradami Joomla

5. Brak serwera deweloperskiego

Wszystkie uaktualnienia i instalacje rozszerzeń należy najpierw wypróbować na serwerze deweloperskim, zanim zostaną wykonane w działającej witrynie.

Jeśli coś pójdzie nie tak na serwerze deweloperskim, możesz uniknąć tworzenia tego samego problemu na serwerze i upewnisz się, że Twoja działająca witryna pozostanie czysta. Możesz użyć prostych serwerów, które można zainstalować lokalnie, takich jak XAMPP lub MAMP.

4. Ufanie wszystkim rozszerzeniom stron trzecich

Jeśli chcesz zoptymalizować bezpieczeństwo Joomla, powinieneś zainstalować tylko minimalne wymagane rozszerzenia.

Jeśli możesz uniknąć instalacji modułu innej firmy, unikaj go. Nie wszystkie rozszerzenia stron trzecich są wolne od problemów, a niektóre są po prostu okropne, zawierają błędy i zawierają luki.

Każde rozszerzenie innej firmy to kolejny składnik, który może narazić Cię na luki w zabezpieczeniach i musi być aktualizowany. Uważaj na instalowane rozszerzenia innych firm, najlepiej korzystaj z profesjonalnych komponentów renomowanych firm. 

Zazwyczaj instalujemy tylko rozszerzenia od większych dostawców, takich jak RegularLabs, Tassos Marinos, Akeeba itp.

3. Zapominając o zachowaniu Joomla! strona zaktualizowana

Po zainstalowaniu nowej, pięknej witryny opartej na Joomla!, bądź na bieżąco ze wszystkimi wydaniami stabilnymi i aktualizuj je z każdym wydaniem stabilnym.

Większość stabilnych wydań naprawia problemy i luki w zabezpieczeniach.

Zapomnienie o aktualizacji narazi Twoją witrynę na różnego rodzaju problemy Joomla. Dotyczy to również każdej strony trzeciej Rozszerzenia Joomla instalujesz.

Problemy z bezpieczeństwem Joomla - upewnij się, że aktualizujesz Joomla2. Brak informacji przy proszeniu o pomoc

Jeśli Twoja witryna zostanie zhakowana/złamana, przejdź do forów Joomla, a zanim zaczniesz publikować jak szalony, upewnij się, że masz wszystkie istotne informacje, takie jak zainstalowana wersja Joomla, jaką masz wersję rozszerzeń stron trzecich zainstalowany.

Te informacje pomogą określić, co mogło spowodować włamanie, a także jak naprawić i uniknąć jego ponownego wystąpienia.

1. Napraw każdy pęknięty plik i zapomnij o nim

Po złamaniu witryny naprawienie uszkodzonego pliku nie wystarczy.

Sprawdź dzienniki swojej witryny, zmień stare hasła, usuń cały katalog i odbuduj go z czystych kopii zapasowych oraz podejmij wszelkie działania zapobiegawcze!

Poważne problemy z bezpieczeństwem Joomla mogą się powtórzyć, jeśli nie przywrócisz z czystej kopii zapasowej, ponieważ w Twojej instalacji mogą znajdować się tylne drzwi, co reactived przez hakerów po usunięciu tego, co uważasz za jedyny zainfekowany plik.

To jest zmieniona wersja Dziesięć najgłupszych administratorów Sztuczki, bez sarkazmu i zamiast tego z zaleceniami, jak naprawić dziesięć najważniejszych problemów Joomla Security :)

Wszystkie rzeczy, które należy zrobić, aby zabezpieczyć swoją witrynę Joomla 

Chociaż domyślnie Joomla! core development team dokłada wszelkich starań, aby upewnić się, że w kodzie jest niewiele lub nie ma żadnych luk w zabezpieczeniach, istnieje kilka ustawień, które, jeśli nie zostaną odpowiednio uwzględnione, mogą sprawić, że Twoja witryna będzie podatna na ataki.

Ten artykuł zawiera listę działań, które należy podjąć, aby zapewnić bezpieczniejszą Joomla! instalacja. To wszystko wskazówki, z których korzystamy na naszym własnym blogu o projektowaniu stron internetowych, CollectiveRay, więc wiemy, że te ładnie działają!

1. Zmień nazwę Joomla! konto administratora

Ten prosty krok znacznie wzmacnia Twoją witrynę. ponownie, jeśli masz paranoję, powinieneś użyć losowych znaków zarówno w nazwie użytkownika, jak i haśle administratora

2. Upewnij się, że plik configuration.php nie jest zapisywalny!

Ten krok jest krytyczny, a plik configuration.php, który można zapisać na całym świecie, jest zaproszeniem do włamania.

Możesz uczynić to niezapisywalnym z poziomu Joomla. Jest to coś, co nowe wersje Joomla robią automatycznie, ale możesz potwierdzić, czy występują problemy z uprawnieniami do plików, odwiedzając System> Informacje o systemie> Uprawnienia do folderów. Plik configuration.php powinien być oznaczony jako Niezapisywalny.

3. Zawsze staraj się aktualizować instalację Joomla do najnowszej wersji

Każda aktualizacja Joomla lub nowe wersje zazwyczaj zwiększają bezpieczeństwo, usuwając wszelkie luki w zabezpieczeniach i luki w zabezpieczeniach lub inne wykryte luki. Jeśli pominiesz jakąkolwiek aktualizację, pozostawiasz tę „dziurę” otwartą w zabezpieczeniach witryny i ryzykujesz włamaniem.

Żadna aktualizacja skoncentrowana na bezpieczeństwie NIGDY nie powinna być pomijana. Każda aktualizacja będzie nosiła nazwę „Konserwacja” i naprawia błędy lub drobne problemy oraz „Zabezpieczenia”, które zazwyczaj usuwają luki w zabezpieczeniach. Aktualizacje bezpieczeństwa powinny być instalowane natychmiast, ponieważ oznacza to, że luka jest teraz znana hakerom i natychmiast zaczną ją wykorzystywać.

4. Zaktualizuj do najnowszej wersji PHP

Jeśli Twój host na to pozwala, przełącz się na najnowsze bezpieczne wersje PHP.

Każde kolejne wydanie PHP wprowadza dodatkowe zabezpieczenia (oprócz poprawy wydajności). Niestety, starsze wersje PHP zazwyczaj nie są aktualizowane, nawet jeśli zostaną wykryte problemy z bezpieczeństwem.

Oznacza to, że wszelkie wykryte problemy z bezpieczeństwem NIE będą miały rozwiązania, a Twoja witryna będzie narażona na takie exploity.

5. Upewnij się, że uprawnienia do plików i folderów są prawidłowe

Po uzyskaniu stabilnej witryny należy zmienić wszystkie uprawnienia do plików na chronione przed zapisem za pomocą CHMOD (644 dla plików, 755 dla katalogów).

Każde dobre oprogramowanie FTP powinno umożliwiać to bez konieczności używania jakichkolwiek skryptów lub można to zrobić za pomocą CPanel lub Eksploratora plików.

Możesz również użyć konfiguracji globalnej, aby zastosować domyślne uprawnienia do wszystkich plików i folderów.

Starsze wersje Joomla umożliwiają zmianę bezpośrednio od administratora zgodnie z poniższymi instrukcjami, ale nowsze wersje Joomla robią to automatycznie. Upewnij się jednak, że nie zmieniasz ich samodzielnie, aby naprawić jakiś inny problem.

Przejdź do opcji Witryna > Konfiguracja globalna > karta Serwer. Przewiń w dół, aż znajdziesz Tworzenie plików. Kliknij nowe pliki CHMOD na 0644 i nowe katalogi CHMOD na 0755, a następnie kliknij pole wyboru Zastosuj do istniejących plików, aby uruchomić to ustawienie dla wszystkich bieżących plików. Po wykonaniu tej czynności upewnij się, że w pliku configuration.php nadal nie można zapisać. Jeśli jest zapisywalny, po zapisaniu kliknij opcję Ustaw jako nie do zapisu, aby uniemożliwić zapis

Stosowanie uprawnień za pomocą klienta FTP

Możesz użyć rozszerzenia takiego jak eXtplorer, które w łatwy sposób umożliwia edycję uprawnień. Pozwala to zrobić rekursywnie, unikając w ten sposób przechodzenia przez każdy katalog. Możesz także użyć komponentów, takich jak Admin Tools dla Joomla! przez Akeeba, który może automatycznie sprawdzać i naprawiać takie problemy. 

Narzędzia administracyjne wprowadzają również szereg innych poprawek wydajności i bezpieczeństwa. Sprawdź to tutaj.

6. Sprawdź swoją witrynę pod kątem luk

Istnieje wiele narzędzi, które testują Joomla pod kątem uszkodzonych i podatnych na ataki plików. Są to zazwyczaj testery penetracyjne, które testują typowe problemy.

Możesz także skorzystać z listy podatnych rozszerzeń Joomla. To jest żywa lista wszystkich rozszerzeń, które mają lukę. Co jakiś czas (mniej więcej co miesiąc) powinieneś sprawdzać najnowszą listę, aby upewnić się, że żadne z twoich obecnych rozszerzeń Joomla nie znajduje się na liście.

Jeśli którekolwiek z Twoich rozszerzeń znajduje się na tej liście, zaktualizuj je do najnowszej (poprawionej) bezpiecznej wersji.

7. Nigdy nie zostawiaj w pobliżu dodatkowych plików

Upewnij się, że na Twoim serwerze WWW nie ma niepotrzebnych plików.

Usuń wszystkie pliki pozostałe z instalacji. Usuń swoje instalacja folder i wszelkie skompresowane pliki, które mogłeś przesłać na swój serwer WWW w celu zainstalowania Joomla! rdzeń. Usuń wszystkie komponenty/moduły/szablony, których nie używasz.

Zawsze utrzymuj swoją witrynę tak szczupłą, jak to tylko możliwe. Wszelkie dodatkowe pliki mogą stać się obciążeniem. 

8. Chroń swoje pliki konfiguracyjne i wrażliwe katalogi

  • Wszystkie pliki konfiguracyjne nie powinny być umieszczane w publicznym katalogu HTML. Niektóre hosty internetowe (np. GoDaddy – sprawdź) jak uzyskać dostęp do loginu e-mail GoDaddy) może nie pozwalać na to, więc następną najlepszą rzeczą jest utworzenie katalogu chronionego hasłem przy użyciu pliku .htaccess. Jeśli nie masz pewności co do funkcji pliku htaccess, dobrym pomysłem jest przeczytanie o tym przed kontynuowaniem. Utwórz katalog, dobrym pomysłem jest nazwanie go czymś losowym, np. ehxum3jq zamiast konfigurować w Joomla! informator.
  • Utwórz plik .htaccess, aby chronić katalog. Użyj generatora .htaccess, który pomoże Ci wygenerować plik. Na podstawie powyższego przykładu powinieneś mieć plik .htaccess podobny do to. Pamiętaj, że katalog, który chcesz chronić, to katalog domowy (jeśli nie jesteś pewien, czy możesz go znaleźć w ścieżce bezwzględnej oryginalnego pliku configuration.php) i dodając nazwę katalogu, będziesz umieszczać chronione pliki w np. /home /content/a/b/c/abccompany/html/ehxum3jq/
  • NB Daje to tylko uwierzytelnianie podstawowe, które nie zapewnia rygorystycznych zabezpieczeń. W słowach z Apache.org:

Uwierzytelnianie podstawowe nie powinno być uważane za bezpieczne w przypadku jakiejkolwiek szczególnie rygorystycznej definicji bezpieczeństwa.

Chociaż hasło jest przechowywane na serwerze w postaci zaszyfrowanej, jest ono przekazywane przez sieć od klienta do serwera w postaci zwykłego tekstu. Każdy, kto będzie nasłuchiwał za pomocą dowolnego sniffera pakietów, będzie mógł odczytać nazwę użytkownika i hasło w sposób wyraźny, gdy są one przekazywane.

Parametr do tworzenia pliku .htaccess

Wygenerowany plik .htaccess i .htpasswd

Aby naprawdę zapewnić bezpieczeństwo, musisz wysłać hasło przez SSL (gdzie będzie zaszyfrowane po drodze).

  • Używaj silnych haseł lub fraz lub losowych znaków w pliku .htpasswd, który powinien wyglądać tak: to. Możesz chronić swój katalog jeszcze bardziej, używając adresów IP w pliku .htaccess, jak podano w to FAQ
  • Przetestuj, aby upewnić się, że katalog jest chroniony. Umieść w nim plik i spróbuj uzyskać dostęp np. https://www.twojafirma.com/ehxum3jq/myfile.txt. Powinieneś zostać poproszony o podanie hasła. Podanie nazwy użytkownika i hasła określonych podczas generowania powinno zapewnić dostęp do pliku, w przeciwnym razie powinien pojawić się błąd 401 (Odmowa dostępu).

Okno uwierzytelniania podstawowego

  • Użyj poniższego Często zadawane pytania na forum Joomla aby pomóc Ci przenieść pliki konfiguracyjne z publicznego HTML do katalogu chronionego hasłem, który utworzyłeś. Zachowaj szczególną ostrożność podczas aktualizacji pliku konfiguracji globalnej, ponieważ spowoduje to nadpisanie utworzonego pliku. Zabezpiecz plik configuration.php przed zapisem, a wszelkie wymagane zmiany wykonaj ręcznie za pomocą klienta FTP. I dodaj następujący wiersz, aby każdy, kto próbuje uzyskać dostęp do pliku php, otrzymał błąd „Ograniczony dostęp”. Zasadniczo wszystkie pliki PHP na Twojej stronie powinny zawierać ten wiersz. Każdy plik PHP, który nie zawiera tej linii, stanowi zagrożenie bezpieczeństwa.

 

zdefiniowany('_JEXEC') lub umrzeć;

define( '_VALID_MOS' ) lub die( 'Ograniczony dostęp' ); //dla starszych wersji Joomla

 

9. Aktualizuj rozszerzenia stron trzecich

Rozszerzenia innych firm to jedna z najlepszych rzeczy w Joomla!

Istnieje tak duża różnorodność rozszerzeń, że prawdopodobnie znajdziesz coś, co zostało już dla Ciebie napisane. Jednak rozszerzenia stron trzecich mają różne kształty i rozmiary i nie są monitorowane przez główny zespół.

Oznacza to, że istnieje luka, która może zagrozić Twojej instalacji. Musisz być bardzo ostrożny podczas instalowania rozszerzeń. Monitoruj listę podatnych na zagrożenia rozszerzeń innych firm/nie-Joomla. Jeśli instalujesz rozszerzenia, upewnij się, że monitorujesz ich wydania i przestrzegasz ich zaleceń dotyczących bezpieczeństwa.

Aby uzyskać więcej informacji, przejdź do Joomla! Często zadawane pytania dotyczące bezpieczeństwa.

10. Kopia zapasowa! Utworzyć kopię zapasową! Utworzyć kopię zapasową!

Nawet jeśli wykonałeś WSZYSTKIE kroki, aby Twoja witryna była w 100% bezpieczna, luki w zabezpieczeniach mogą nadal czaić się, czekając na znalezienie i wykorzystanie. Jeśli Twoja witryna zostanie zhakowana, MUSISZ zapewnić jej powrót do sieci tak szybko, jak to możliwe, przy jak najmniejszej utracie treści. W tym celu należy zapewnić dobrze działające (codziennie lub częściej, w zależności od potrzeb) kopie zapasowe.

AkeebaBackup to komponent typu open source dla Joomla! CMS, który pozwala na pełne kopie zapasowe witryn (plików i bazy danych). Pozwala tworzyć pełne kopie zapasowe i ma pełną funkcjonalność przywracania witryny, jeśli coś pójdzie nie tak.

Jakieś inne wskazówki dotyczące bezpieczeństwa Joomla?

To na razie. Jeśli masz jakieś dalsze sugestie dotyczące bezpieczeństwa Joomla, chcielibyśmy je usłyszeć w komentarzach poniżej.

O autorze
Dawid Attar
Autor: Dawid AttarStrona internetowa: https://www.linkedin.com/in/dattard/E-mail: dawid@collectiveray.com
David pracuje w branży internetowej i cyfrowej od 21 lat. Ma ogromne doświadczenie w branży oprogramowania i projektowania stron internetowych, wykorzystując WordPress, Joomla i nisze je otaczające. Współpracował z agencjami rozwoju oprogramowania, międzynarodowymi firmami zajmującymi się oprogramowaniem, lokalnymi agencjami marketingowymi, a obecnie jest dyrektorem ds. operacji marketingowych w Aphex Media – agencji SEO. Jako konsultant cyfrowy koncentruje się na pomaganiu firmom w uzyskaniu przewagi konkurencyjnej dzięki połączeniu ich strony internetowej i dostępnych obecnie platform cyfrowych. Połączenie wiedzy technologicznej z dużym zmysłem biznesowym zapewnia jego pismom przewagę konkurencyjną.

Jeszcze jedna rzecz... Czy wiesz, że osoby, które udostępniają przydatne rzeczy, takie jak ten post, również wyglądają NIESAMOWITE? ;-)
Proszę zostaw użyteczny skomentuj swoje przemyślenia, a następnie udostępnij to na swoich grupach na Facebooku, które uznają to za przydatne i wspólnie zbierzmy korzyści. Dziękuję za udostępnienie i bycie miłym!

Ujawnienie: Ta strona może zawierać linki do zewnętrznych witryn produktów, które kochamy i gorąco polecamy. Jeśli kupisz sugerowane przez nas produkty, możemy otrzymać opłatę za polecenie. Takie opłaty nie wpływają na nasze rekomendacje i nie przyjmujemy płatności za pozytywne recenzje.

 

kim jesteśmy?

CollectiveRay jest prowadzony przez Davida Attarda - pracującego w niszy projektowania stron internetowych i wokół niej od ponad 12 lat, dostarczamy praktycznych wskazówek dla osób, które pracują zi na stronach internetowych. Prowadzimy również DronesBuy.net - stronę internetową dla hobbystów dronów.

David Attard

 

 

Autorzy promowani w:  Inc Czasopismo Logo .   Logo Sitepoint   Logo CSS Tricks    logo webdesignerdepot   Logo WPMU DEV   i wiele więcej ...