Dez principais problemas de segurança do Joomla ... e como evitá-los
Problemas de segurança do Joomla são sempre um assunto quente :) Infelizmente, existem alguns erros que se repetem continuamente, criando problemas de segurança que podem ser facilmente evitados. Aqui estão os problemas - os problemas de segurança do Joomla e o que você deve fazer para evitá-los.
10 problemas de segurança do Joomla
10. Provedores de hospedagem baratos
Nunca procure o provedor de hospedagem mais barato que puder encontrar.
Normalmente, os provedores de hospedagem baratos usam servidores compartilhados que hospedam centenas de outros sites, alguns dos quais são sites com spam de baixa qualidade que podem ser facilmente hackeados. Como eles estão normalmente no mesmo IP, seu site ficará lento, estará em uma "má vizinhança" com baixa reputação e poderá ser comprometido se outros sites forem hackeados.
Verifique a lista de provedores de hospedagem recomendados e aprovados pelo Joomla neste site for CollectiveRay aqui.
9. Sem backups
Certifique-se de ter Backups Joomla. Caso seu site seja hackeado ou algo aconteça, você poderá reconstruí-lo do zero. Recomendamos escolher uma combinação de backups baseados em hospedagem, como os oferecidos pelo InMotion (o host que usamos e em que confiamos - link no parágrafo anterior) e, em seguida, usar uma extensão de terceiros, como AkeebaBackup.
8. Ignorando a proteção (ajustes de configurações de segurança) do PHP e segurança do Joomla! definições
Esquecendo ou pulando o ajuste de PHP e Joomla! configurações para aumentar a segurança é uma grande falta de nenhum.
Existem muitas pequenas configurações e ajustes que você pode fazer para tornar seu servidor PHP e Joomla! mais seguro e evita que a maioria dos problemas de segurança do Joomla ocorram em primeiro lugar e evitando todos os tipos de problemas de segurança.
Temos uma lista das coisas que você deve fazer para "fortalecer" sua instalação mais adiante neste artigo.
7. Usando senhas fracas ou reutilizando senhas
Usando o mesmo nome de usuário e senha de sua conta bancária online, Joomla! conta de administrador, conta da Amazon, conta do Yahoo, conta do Gmail e em qualquer outro lugar é outro erro que você deve evitar como uma praga.
Sempre use senhas fortes que sejam diferentes das de suas outras contas.
Lembre-se também de sempre alterar o nome da conta admin para algo diferente de "admin". Além disso, é altamente recomendável instalar um plugin como Adminexílio que protege o back-end do administrador de tentativas de hacking.
6. Instale e esqueça
Depois de instalar o seu novo e bonito site com Joomla !, verifique-o regularmente, certificando-se de que nada deu errado.
Muitas coisas podem dar errado e você pode ter todos os tipos de problemas do Joomla se você não manter todos os componentes de suas instalações do Joomla.
5. Sem servidor de desenvolvimento
Todas as atualizações e instalações de extensão devem ser tentadas primeiro em um servidor de desenvolvimento, antes de serem feitas no site ativo.
Se algo der errado no servidor de desenvolvimento, você pode evitar criar o mesmo problema no servidor e garantir que seu site ativo permaneça limpo. Você pode usar servidores simples que podem ser instalados localmente, como XAMPP ou MAMP.
4. Confiar em todas as extensões de terceiros
Se você deseja otimizar a segurança do Joomla, você deve instalar apenas as extensões mínimas necessárias.
Se você pode evitar a instalação de um módulo de terceiros, evite-o. Nem todas as extensões de terceiros estão livres de problemas e algumas são simplesmente horríveis, cheias de bugs e contêm vulnerabilidades.
Cada extensão de terceiros é outro componente que pode expô-lo a vulnerabilidades e deve ser mantido atualizado. Desconfie das extensões de terceiros que você instala, de preferência, opte por componentes profissionais de empresas confiáveis.
Normalmente instalamos apenas extensões de fornecedores maiores, como RegularLabs, Tassos Marinos, Akeeba etc.
3. Esquecendo de manter seu Joomla! site atualizado
Depois de instalar o seu novo e bonito site com Joomla !, mantenha-se atualizado com todas as versões estáveis e atualize a cada versão estável.
A maioria das versões estáveis corrigem problemas e vulnerabilidades.
Esquecer de atualizar deixará seu site exposto a todos os tipos de problemas do Joomla. Isso também se aplica a qualquer terceiro Extensões Joomla você instala.
2. Falta de informação ao pedir ajuda
Se o seu site for hackeado / crackeado, vá para os fóruns do Joomla e antes de começar a postar como um louco, certifique-se de ter todas as informações relevantes disponíveis, como a versão do Joomla que você instalou, qual versão das extensões de terceiros você tem instalado.
Essas informações ajudarão a identificar o que pode ter causado o hack e como consertar e evitar que isso aconteça novamente.
1. Corrija qualquer arquivo quebrado e esqueça-o
Uma vez que seu site foi crackeado, consertar o arquivo desfigurado não é suficiente.
Verifique os logs do seu site, altere suas senhas antigas, remova o diretório inteiro e reconstrua-o a partir de backups limpos e tome todas as medidas de precaução!
Problemas sérios de segurança do Joomla podem ocorrer novamente se você não restaurar a partir de um backup limpo, pois backdoors podem estar presentes na sua instalação, que serão reativados por hackers assim que você remover o que você acha que é o único arquivo infectado.
Esta é uma versão revisitada do Os dez administradores mais estúpidos Truques, sem sarcasmo e com recomendações de como consertar os dez principais problemas de segurança do Joomla :)
Todas as coisas a fazer para proteger seu site Joomla
Embora por padrão o Joomla! A equipe principal de desenvolvimento toma ótimas medidas para garantir que haja poucas ou nenhuma vulnerabilidade no código, existem várias configurações que, se não forem devidamente atendidas, podem deixar seu site vulnerável a ataques.
Este artigo fornecerá uma lista de medidas a serem tomadas para garantir um Joomla mais seguro! instalação. Essas são todas as dicas que usamos em nosso próprio blog de web design, CollectiveRay, por isso sabemos que funcionam bem!
1. Renomeie o Joomla! conta de administrador
Esta etapa simples fortalece significativamente o seu site. novamente se você for paranóico, você deve usar caracteres aleatórios tanto para o nome de usuário quanto para a senha do administrador
2. Certifique-se de que seu arquivo configuration.php não seja gravável!
Esta etapa é crítica, e um arquivo configuration.php gravável em todo o mundo é um convite para hacking.
Você pode tornar isso não gravável de dentro do Joomla. Isso é algo que as novas versões do Joomla fazem automaticamente, mas você pode confirmar se há algum problema com as permissões de arquivo visitando Sistema> Informações do sistema> Permissões de pasta. O configuration.php deve ser marcado como Não gravável.
3. Sempre tente manter a instalação do Joomla atualizada para a versão mais recente
Cada atualização do Joomla ou novas versões normalmente adiciona segurança fechando quaisquer brechas de segurança e exploits, ou outras vulnerabilidades descobertas. Se você pular qualquer atualização, estará deixando um "buraco" aberto na segurança do seu site e corre o risco de ser hackeado.
Qualquer atualização com foco na segurança NUNCA deve ser ignorada. Cada atualização será nomeada como "Manutenção" e corrige bugs ou pequenos problemas e "Segurança" que normalmente aborda vulnerabilidades de segurança. As atualizações de segurança devem ser instaladas imediatamente porque significa que a vulnerabilidade agora é conhecida por hackers e eles começarão a explorá-la imediatamente.
4. Atualize para a versão mais recente do PHP
Se o seu host permitir, mude para as versões seguras mais recentes do PHP.
Cada versão subsequente do PHP apresenta segurança adicional (além de melhorar o desempenho). Infelizmente, as versões mais antigas do PHP normalmente não são atualizadas, mesmo se forem encontrados problemas de segurança.
Isso significa que quaisquer problemas de segurança descobertos NÃO terão uma solução e seu site será exposto a tais explorações.
5. Garanta as permissões corretas de arquivo e pasta
Depois de ter um site estável, você deve alterar todas as permissões de arquivo para protegido contra gravação usando CHMOD (644 para arquivos, 755 para diretórios).
Qualquer bom software de FTP deve permitir que você faça isso sem ter que usar nenhum script, ou você pode fazer isso via CPanel ou File Explorer.
Você também pode usar a Configuração Global para aplicar as permissões padrão a todos os arquivos e pastas.
As versões mais antigas do Joomla permitem a alteração diretamente do Administrador de acordo com as instruções abaixo, mas as versões mais novas do Joomla fazem isso automaticamente. No entanto, certifique-se de não alterá-los para corrigir algum outro problema.
Vá para Site> Configuração Global> guia Servidor. Role para baixo até encontrar Criação de arquivo. Clique em novos arquivos CHMOD para 0644 e novos diretórios CHMOD para 0755 e clique na caixa de seleção Aplicar a arquivos existentes para executar esta configuração em todos os seus arquivos atuais. Feito isso, certifique-se de que o arquivo configuration.php ainda não pode ser gravado. Se for gravável, clique em Tornar não gravável após salvar para torná-lo não gravável
Você pode usar uma extensão como eXtplorer, que tem uma maneira fácil de editar permissões. Ele permite que você faça isso recursivamente, evitando assim ter que passar por todos os diretórios. Você também pode usar componentes como Ferramentas Administrativas para Joomla! por Akeeba, que pode verificar e corrigir esses problemas automaticamente.
O Admin Tools também executa uma série de outras correções de desempenho e segurança. Verifique aqui.
6. Verifique se há vulnerabilidades em seu site
Existem várias ferramentas que testam seu Joomla para arquivos corrompidos e arquivos vulneráveis. Normalmente, são testadores de penetração que testam problemas comuns.
Você também pode usar a lista de extensões vulneráveis do Joomla. Esta é uma lista ao vivo de todas as extensões que têm uma vulnerabilidade. De vez em quando (a cada mês ou mais), você deve verificar a lista mais recente para garantir que nenhuma de suas extensões Joomla atuais estão na lista.
Se alguma de suas extensões estiver nesta lista, certifique-se de atualizá-la para a versão segura mais recente (com patch).
7. Nunca deixe arquivos extras correndo por aí
Certifique-se de que não haja arquivos desnecessários em seu servidor web.
Exclua todos os arquivos restantes da instalação. Exclua o seu instalação pasta e quaisquer arquivos compactados que você possa ter carregado para o seu servidor web para instalar o Joomla! testemunho. Remova todos os componentes / módulos / modelos que você não está usando.
Sempre mantenha seu site o mais enxuto possível. Qualquer arquivo extra pode se tornar um risco.
8. Proteja seus arquivos de configuração e diretórios confidenciais
- Todos os arquivos de configuração não devem ser colocados no diretório HTML público. Alguns hosts da web (por exemplo, GoDaddy - verifique como acessar o login de e-mail GoDaddy) pode não permitir que você faça isso, então a próxima melhor coisa é criar um diretório protegido por senha usando um arquivo .htaccess. Se você não tiver certeza sobre a função do arquivo htaccess, é uma boa idéia ler sobre isso antes de continuar. Crie um diretório, é uma boa ideia nomeá-lo com algo aleatório, por exemplo ehxum3jq em vez de configurar em seu Joomla! diretório.
- Crie um arquivo .htaccess para proteger o diretório. Use um gerador .htaccess para ajudá-lo a gerar o arquivo. Com base no exemplo acima, você deve ter um arquivo .htaccess semelhante a esse. Lembre-se de que o diretório que você deseja proteger é o diretório inicial (se você não tiver certeza de que pode encontrá-lo no caminho absoluto de seu arquivo configuration.php original) e anexando o nome do diretório, você colocará seus arquivos protegidos em, por exemplo, / home / content / a / b / c / abccompany / html / ehxum3jq /
- NB: Isso fornece apenas autenticação básica, que não oferece segurança rigorosa. Nas palavras de Apache.org:
A autenticação básica não deve ser considerada segura para nenhuma definição particularmente rigorosa de seguro.
Embora a senha seja armazenada no servidor em um formato criptografado, ela é passada do cliente para o servidor em texto simples pela rede. Qualquer pessoa que estiver ouvindo com qualquer tipo de farejador de pacote será capaz de ler o nome de usuário e a senha com clareza à medida que ele passa.
Para realmente oferecer segurança, você precisa enviar a senha por SSL (onde seria criptografada ao longo do caminho).
- Use senhas fortes ou frases de acesso ou caracteres aleatórios para o arquivo .htpasswd que deve ser algo como esse. Você pode proteger seu diretório ainda mais usando IPs no arquivo .htaccess conforme indicado em este FAQ
- Teste para garantir que o diretório está protegido. Coloque um arquivo nele e tente acessar, por exemplo, https://www.yourcompany.com/ehxum3jq/myfile.txt. Você deve ser solicitado a fornecer uma senha. Fornecer o nome de usuário e a senha especificados durante a geração deve conceder acesso ao arquivo, caso contrário, você deve obter um erro 401 (Acesso negado).
- Use o seguinte FAQ do Fórum Joomla para ajudá-lo a mover os arquivos de configuração do HTML público para o diretório protegido por senha que você criou. No entanto, tenha muito cuidado ao atualizar o arquivo de configuração global, pois isso sobrescreverá o arquivo que você criou. Proteja contra gravação o arquivo configuration.php e quaisquer mudanças que você precisar, faça-as manualmente usando um cliente FTP. E adicione a seguinte linha para que qualquer pessoa que tentar acessar o arquivo php receba um erro de "Acesso restrito". Como regra geral, todos os arquivos PHP em seu site devem conter esta linha. Qualquer arquivo PHP que não contenha esta linha é um risco de segurança.
definido ('_ JEXEC') ou morrer;
definido ('_VALID_MOS') ou morrer ('Acesso restrito'); // para versões mais antigas do Joomla
9. Mantenha as extensões de terceiros atualizadas
Extensões de terceiros são uma das melhores coisas sobre o Joomla!
Existe uma grande variedade de extensões, que provavelmente você pode encontrar algo que já foi escrito para você. No entanto, as extensões 3D vêm em todas as formas e tamanhos e não são monitoradas pela equipe principal.
Isso significa que existe uma vulnerabilidade que pode comprometer sua instalação. Você precisa ser extremamente cuidadoso ao instalar qualquer extensão. Monitore a lista de extensões vulneráveis de terceiros / não Joomla. Se você instalar extensões, certifique-se de monitorar seus lançamentos e de seguir suas recomendações de segurança.
Para mais informações, vá para o Joomla! FAQ de segurança.
10. Backup! Cópia de segurança! Cópia de segurança!
Mesmo que você tenha tomado TODAS as etapas para garantir que seu site seja 100% seguro, vulnerabilidades ainda podem estar à espreita, esperando para serem encontradas e exploradas. Se o seu site for hackeado, você DEVE garantir que ele volte a ficar online o mais rápido possível, com a menor perda de conteúdo possível. Para isso, você deve garantir que tenha bons backups de trabalho (diariamente ou com maior frequência conforme a necessidade).
AkeebaBackup é um componente de código aberto para o Joomla! CMS que permite backups completos do site (arquivos e banco de dados). Ele permite que você crie backups completos e tem todas as funcionalidades para restaurar seu site se as coisas falharem.
Alguma outra dica de segurança do Joomla?
Isso é por agora. Se você tiver mais alguma sugestão de segurança do Joomla, adoraríamos ouvi-la nos comentários abaixo.
. deixe um útil comente com suas ideias, depois compartilhe com seu (s) grupo (s) do Facebook, que considerariam isso útil e vamos colher os benefícios juntos. Obrigado por compartilhar e ser legal!
Divulgação: Esta página pode conter links para sites externos de produtos que amamos e recomendamos de todo o coração. Se você comprar produtos que sugerimos, podemos receber uma taxa de referência. Essas taxas não influenciam nossas recomendações e não aceitamos pagamentos por análises positivas.