Top 10 probleme de securitate Joomla (și cum să le rezolvi) - [șters]

Cele mai bune zece probleme de securitate Joomla... și cum să le evitați

Problemele de securitate Joomla sunt întotdeauna o problemă fierbinte :) Din păcate, există unele greșeli care se repetă din nou și din nou creând probleme de securitate care pot fi ușor evitate. Iată problemele - problemele de securitate Joomla și ce ar trebui să faceți pentru a le evita. 

Top zece probleme de securitate joomla și cum să le remediați

 

Cuprins[Spectacol]

10 probleme de securitate Joomla

10. Furnizori de gazduire ieftini

Nu căutați niciodată cel mai ieftin furnizor de găzduire pe care îl puteți găsi.

De obicei, furnizorii de găzduire ieftini folosesc servere partajate care găzduiesc sute de alte site-uri, dintre care unele sunt site-uri spam de calitate scăzută care pot fi ușor piratate. Deoarece se află de obicei pe aceeași IP, site-ul dvs. va fi lent, va fi într-o „cartier proastă” cu o reputație scăzută și ar putea fi compromis dacă alte site-uri sunt piratate.

Verificați lista furnizorilor de găzduire recomandati și aprobati de Joomla de acest site web pentru CollectiveRay aici.

9. Fără copii de rezervă

Asigurați-vă că aveți regulat Copii de rezervă Joomla. În cazul în care site-ul dvs. este spart sau se întâmplă ceva, veți putea să reconstruiți de la zero. Vă recomandăm să alegeți o combinație de copii de rezervă bazate pe găzduire, cum ar fi cele oferite de InMotion (gazdă pe care o folosim și în care avem încredere - link în paragraful anterior) și apoi să utilizați o extensie terță parte, cum ar fi AkeebaBackup.

8. Omiterea întăririi (ajustarea setărilor pentru securitate) PHP și securizarea Joomla! setări

Uitând sau săriți peste ajustarea PHP și Joomla! setările pentru securitate sporită este un nu-nu imens.

Există multe setări mici și ajustări pe care le puteți face pentru a vă face serverul PHP și Joomla! mai sigur și previne majoritatea problemelor de securitate Joomla să apară în primul rând și evitând toate tipurile de probleme de securitate.

Avem o listă cu lucrurile pe care ar trebui să le faceți pentru a vă „întări” instalarea mai jos în acest articol.

7. Utilizarea parolelor slabe sau reutilizarea parolelor

Folosind același nume de utilizator și parolă pentru contul dvs. bancar online, Joomla! contul de administrator, contul Amazon, contul Yahoo, contul Gmail și peste tot este o altă greșeală pe care ar trebui să o evitați ca ciuma.

Utilizați întotdeauna parole puternice care sunt diferite de cele pentru celelalte conturi ale dvs.

De asemenea, nu uitați să schimbați întotdeauna numele contului de administrator cu altceva decât „admin”. De asemenea, este foarte recomandabil să instalați un plugin precum Adminexile care vă protejează backend-ul administratorului împotriva tentativelor de hacking.

6. Instalați și uitați

După ce instalați site-ul dvs. nou-nouț și frumos, bazat pe Joomla!, verificați-l în mod regulat, asigurându-vă că nimic nu a mers prost.

O mulțime de lucruri pot merge prost și puteți avea tot felul de probleme Joomla dacă nu întrețineți toate componentele instalărilor dvs. Joomla.

5. Neavând server de dezvoltare

Toate upgrade-urile și instalările de extensie ar trebui mai întâi încercate pe un server de dezvoltare, înainte de a fi efectuate pe site-ul live.

Dacă ceva nu merge bine pe serverul de dezvoltare, puteți evita crearea aceleiași probleme pe server și vă veți asigura că site-ul dvs. live rămâne curat. Puteți utiliza servere simple care pot fi instalate local, cum ar fi XAMPP sau MAMP.

4. Aveți încredere în toate extensiile terțe

Dacă doriți să optimizați securitatea Joomla, ar trebui să instalați doar extensiile minime minime de care aveți nevoie.

Dacă puteți evita instalarea unui modul terță parte, evitați-l. Nu toate extensiile terță parte sunt lipsite de probleme, iar unele sunt pur și simplu oribile, cu erori și conțin vulnerabilități.

Fiecare extensie terță parte este o altă componentă care vă poate expune la vulnerabilități și trebuie ținută la zi. Fiți atenți la extensiile terțe pe care le instalați, de preferință alegeți componentele profesionale de la companii de renume. 

De obicei, instalăm doar extensii de la furnizori mai mari, cum ar fi RegularLabs, Tassos Marinos, Akeeba etc.

3. Ați uitat să vă păstrați Joomla! site-ul actualizat

După ce ați instalat site-ul dvs. nou-nouț și frumos bazat pe Joomla!, țineți-vă la curent cu toate versiunile stabile și actualizați-vă cu fiecare lansare stabilă.

Cele mai multe versiuni stabile rezolvă problemele și vulnerabilitățile.

Dacă uitați să faceți upgrade, site-ul dvs. va fi expus la tot felul de probleme Joomla. Acest lucru se aplică și oricărei terțe părți Extensii Joomla tu instalezi.

Probleme de securitate Joomla - asigurați-vă că păstrați joomla actualizat2. Lipsa de informare atunci când cere ajutor

Dacă site-ul dvs. este piratat/crapat, accesați forumurile Joomla și, înainte de a începe să postați ca nebun, asigurați-vă că aveți toate informațiile relevante disponibile, cum ar fi versiunea de Joomla pe care ați instalat-o, ce versiune de extensii terță parte aveți instalat.

Aceste informații vă vor ajuta să identificați ce ar fi putut cauza hack-ul dvs. și cum să remediați și să evitați să se repete.

1. Remediați orice fișier crăpat și uitați-l

Odată ce site-ul dvs. a fost spart, repararea fișierului deteriorat nu este suficientă.

Verificați jurnalele site-ului dvs., schimbați vechile parole, eliminați întregul director și reconstruiți-l din copii de siguranță curate și luați toate măsurile de precauție!

Probleme serioase de securitate Joomla pot să reapară dacă nu restaurați dintr-o copie de rezervă curată, deoarece ușile din spate pot fi prezente în instalarea dvs., care va fi reactivated de hackeri odată ce eliminați ceea ce credeți că este singurul fișier infectat.

Aceasta este o versiune revizuită a Top Ten cel mai prost administrator Trucuri, fără sarcasm și cu recomandări despre cum să remediați primele zece probleme de securitate Joomla :)

Toate lucrurile de făcut pentru a vă securiza site-ul Joomla 

Deși, implicit, Joomla! Echipa de dezvoltare de bază ia măsuri mari pentru a se asigura că există puține vulnerabilități sau deloc în cod, există un număr de setări cărora, dacă nu le acordă atenția cuvenită, site-ul dvs. poate fi vulnerabil la atacuri.

Acest articol va oferi o listă de măsuri de luat pentru a asigura un Joomla mai sigur! instalare. Acestea sunt toate sfaturi pe care le folosim pe propriul nostru blog de web design, CollectiveRay, așa că știm că acestea funcționează frumos!

1. Redenumiți Joomla! cont de administrator

Acest pas simplu vă întărește site-ul în mod semnificativ. din nou, dacă sunteți paranoic, ar trebui să utilizați caractere aleatorii atât pentru numele de utilizator, cât și pentru parola pentru administrator

2. Asigurați-vă că fișierul dvs. configuration.php nu poate fi scris!

Acest pas este critic, iar un fișier configuration.php care poate fi scris în întreaga lume este o invitație la hacking.

Puteți face acest lucru să nu fie scris din Joomla. Acesta este un lucru pe care noile versiuni de Joomla o fac automat, dar puteți confirma dacă există probleme cu permisiunile de fișiere vizitând Sistem > Informații de sistem > Permisiuni pentru foldere. Configuration.php ar trebui să fie marcat ca Unwriteable.

3. Încercați întotdeauna să vă mențineți instalarea Joomla actualizată la cea mai recentă versiune

Fiecare actualizare Joomla sau versiuni noi adaugă de obicei securitate prin închiderea oricăror găuri de securitate și exploatări sau alte vulnerabilități descoperite. Dacă omiteți orice actualizare, lăsați „gaura” deschisă în securitatea site-ului dvs. și riscați să fiți piratat.

Orice actualizare axată pe securitate nu trebuie sărită NICIODATĂ. Fiecare actualizare va fi numită „Întreținere” și remediază erori sau probleme mici și „Securitate”, care abordează de obicei vulnerabilitățile de securitate. Actualizările de securitate ar trebui instalate imediat, deoarece înseamnă că vulnerabilitatea este acum cunoscută de hackeri și vor începe imediat să o exploateze.

4. Faceți upgrade la cea mai recentă versiune PHP

Dacă gazda dvs. permite acest lucru, treceți la cele mai recente versiuni securizate de PHP.

Fiecare lansare ulterioară a PHP introduce securitate suplimentară (pe lângă îmbunătățirea performanței). Din păcate, versiunile mai vechi de PHP nu sunt de obicei actualizate, chiar dacă sunt găsite probleme de securitate.

Aceasta înseamnă că orice problemă de securitate descoperită NU va avea o soluție, iar site-ul dvs. va fi expus unor astfel de exploatări.

5. Asigurați-vă permisiunile corecte pentru fișiere și foldere

Odată ce aveți un site stabil, ar trebui să modificați toate permisiunile pentru fișiere la protejate la scriere folosind CHMOD (644 pentru fișiere, 755 pentru directoare).

Orice software FTP bun ar trebui să vă permită să faceți acest lucru fără a fi nevoie să utilizați niciun script, sau puteți face acest lucru prin CPanel sau File Explorer.

De asemenea, puteți utiliza Configurația globală pentru a aplica permisiunile implicite tuturor fișierelor și folderelor.

Versiunile mai vechi de Joomla permit schimbarea direct de la administrator, conform instrucțiunilor de mai jos, dar versiunile mai noi de Joomla fac acest lucru automat. Cu toate acestea, asigurați-vă că nu le schimbați singur pentru a rezolva o altă problemă.

Accesați Site > Configurare globală > fila Server. Derulați în jos până când găsiți Creare fișier. Faceți clic pe fișierele noi CHMOD la 0644 și pe directoarele noi CHMOD la 0755 și faceți clic pe caseta de selectare Aplicați la fișierele existente pentru a rula această setare pe toate fișierele dvs. curente. Odată ce ați făcut acest lucru, asigurați-vă că fișierul configuration.php este încă nescris. Dacă este Writeable, faceți clic pe Make Unwriteable după salvare pentru a nu se putea scrie

Aplicarea permisiunilor folosind clientul FTP

Puteți utiliza o extensie, cum ar fi eXtplorer, care are o modalitate ușoară de a edita permisiunile. Vă permite să faceți acest lucru în mod recursiv, evitând astfel să fie nevoie să parcurgeți fiecare director. De asemenea, puteți utiliza componente precum Admin Tools pentru Joomla! de Akeeba, care poate verifica și rezolva automat astfel de probleme. 

Instrumentele de administrare efectuează și o serie de alte remedieri de performanță și securitate. Verificați-l aici.

6. Verificați-vă site-ul pentru vulnerabilități

Există o serie de instrumente care testează Joomla pentru fișiere corupte și fișiere vulnerabile. Acestea sunt de obicei teste de penetrare care testează probleme comune.

De asemenea, puteți utiliza lista de extensii vulnerabile Joomla. Aceasta este o listă live a oricăror extensii care au o vulnerabilitate. Din când în când (în fiecare lună), ar trebui să verificați cea mai recentă listă pentru a vă asigura că niciuna dintre extensiile dvs. actuale Joomla nu se află pe listă.

Dacă vreuna dintre extensiile dvs. se află pe această listă, asigurați-vă că o actualizați la cea mai recentă versiune securizată (patchată).

7. Nu lăsați niciodată fișiere suplimentare în circulație

Asigurați-vă că nu există fișiere inutile pe serverul dvs. web.

Ștergeți toate fișierele rămase din instalare. Ștergeți-vă instalare folder și orice fișiere comprimate pe care le-ați încărcat pe serverul dvs. web pentru a instala Joomla! miez. Eliminați orice componente/module/șabloane pe care nu le utilizați.

Păstrați-vă întotdeauna site-ul cât mai slab posibil. Orice fișiere suplimentare ar putea deveni o răspundere. 

8. Protejați-vă fișierele de configurare și directoarele sensibile

  • Toate fișierele de configurare nu trebuie puse în directorul HTML public. Unele gazde web (de exemplu, GoDaddy - verificați cum să accesați autentificarea prin e-mail GoDaddy) s-ar putea să nu vă permită să faceți acest lucru, așa că cel mai bun lucru este să creați un director protejat prin parolă folosind un fișier .htaccess. Dacă nu sunteți sigur de funcția fișierului htaccess, este o idee bună să citiți despre el înainte de a continua. Creați un director, este o idee bună să-l numiți ceva aleatoriu, de ex ehxum3jq mai degrabă decât configurarea în Joomla! director.
  • Creați un fișier .htaccess pentru a proteja directorul. Utilizați un generator .htaccess pentru a vă ajuta să generați fișierul. Pe baza exemplului de mai sus, ar trebui să aveți un fișier .htaccess similar cu acest. Amintiți-vă că directorul pe care doriți să îl protejați este directorul de pornire (dacă nu sunteți sigur că îl puteți găsi în Calea absolută a fișierului original configuration.php) și adăugând numele directorului, veți pune fișierele protejate în de exemplu /home /content/a/b/c/abccompany/html/ehxum3jq/
  • NB: Acest lucru oferă doar autentificare de bază, care nu oferă securitate riguroasă. În cuvintele de la Apache.org:

Autentificarea de bază nu ar trebui să fie considerată sigură pentru nicio definiție deosebit de riguroasă a securității.

Deși parola este stocată pe server într-un format criptat, ea este transmisă de la client la server în text simplu în rețea. Oricine ascultă cu orice varietate de sniffer de pachete va putea citi numele de utilizator și parola în clar, pe măsură ce trece.

Parametru pentru crearea fișierului .htaccess

Fișierul .htaccess generat și .htpasswd

Pentru a oferi cu adevărat securitate, trebuie să trimiteți parola prin SSL (unde ar fi criptată pe parcurs).

  • Utilizați parole puternice sau expresii de acces sau caractere aleatorii pentru fișierul .htpasswd, care ar trebui să fie ceva de genul acest. Vă puteți proteja directorul și mai mult folosind IP-uri în fișierul .htaccess, așa cum este menționat în această întrebare frecventă
  • Testați pentru a vă asigura că directorul este protejat. Puneți un fișier în el și încercați să accesați, de exemplu, https://www.yourcompany.com/ehxum3jq/myfile.txt. Ar trebui să vi se solicite o parolă. Furnizarea numelui de utilizator și a parolei specificate în timpul generării ar trebui să vă acorde acces la fișier, în caz contrar, ar trebui să primiți o eroare 401 (Acces refuzat).

Fereastra de autentificare de bază

  • Foloseste urmatoarele Întrebări frecvente pe forumul Joomla pentru a vă ajuta să mutați fișierele de configurare din HTML public în directorul protejat cu parolă pe care l-ați creat. Fiți deosebit de atenți atunci când actualizați fișierul de configurare globală, deoarece acesta va suprascrie fișierul pe care l-ați creat. Protejați-vă la scriere fișierul configuration.php și orice modificări necesare le faceți manual folosind un client FTP. Și adăugați următoarea linie, astfel încât oricine încearcă să acceseze fișierul php să primească o eroare „Acces restricționat”. Ca regulă generală, toate fișierele PHP de pe site-ul dvs. ar trebui să conțină această linie. Orice fișier PHP care nu conține această linie reprezintă un risc de securitate.

 

definit('_JEXEC') sau die;

defined('_VALID_MOS') sau die('Acces restricționat'); //pentru versiunile mai vechi de Joomla

 

9. Păstrați actualizate extensiile terță parte

Extensiile terță parte sunt unul dintre cele mai bune lucruri despre Joomla!

Există o varietate atât de mare de extensii, încât probabil că puteți găsi ceva deja scris pentru dvs. Cu toate acestea, extensiile 3d pentru petreceri vin în toate formele și dimensiunile și nu sunt monitorizate de echipa principală.

Aceasta înseamnă că există o vulnerabilitate care vă poate compromite instalarea. Trebuie să fii extrem de atent la instalarea oricăror extensii. Monitorizați lista de extensii terțe/non-Joomla vulnerabile. Dacă instalați extensii, asigurați-vă că le monitorizați lansările și asigurați-vă că urmați recomandările de securitate ale acestora.

Pentru mai multe informații accesați Joomla! Întrebări frecvente privind securitatea.

10. Backup! Backup! Backup!

Chiar dacă ați luat TOȚI pașii pentru a vă asigura că site-ul dvs. este 100% securizat, vulnerabilitățile ar putea să pândească, așteptând să fie găsite și exploatate. Dacă site-ul dvs. este piratat, TREBUIE să vă asigurați că revine online cât mai curând posibil, cu o pierdere cât mai mică de conținut. Pentru aceasta, trebuie să vă asigurați că aveți copii de siguranță bune de lucru (zilnic sau mai frecvent, după cum este necesar).

AkeebaBackup este o componentă open-source pentru Joomla! CMS care permite backup-uri complete ale site-ului (fișiere și baze de date). Vă permite să creați copii de rezervă complete și are funcționalitate completă pentru a vă restabili site-ul dacă lucrurile merg în sus.

Alte sfaturi de securitate Joomla?

Asta pentru moment. Dacă aveți alte sugestii de securitate Joomla, ne-ar plăcea să le auzim în comentariile de mai jos.

Despre autor
David Attard
Autor: David AttardSite-ul: https://www.linkedin.com/in/dattard/E-mail: david@collectiveray.com
David a lucrat în sau în jurul industriei online și digitale în ultimii 21 de ani. Are o vastă experiență în industriile software și web design folosind WordPress, Joomla și nișele din jurul lor. A lucrat cu agenții de dezvoltare software, companii internaționale de software, agenții de marketing locale și acum este șeful operațiunilor de marketing la Aphex Media - o agenție SEO. În calitate de consultant digital, se concentrează pe a ajuta companiile să obțină un avantaj competitiv folosind o combinație a site-ului lor web și a platformelor digitale disponibile astăzi. Combinația sa de experiență tehnologică, combinată cu o puternică perspicacitate în afaceri, aduce un avantaj competitiv scrierilor sale.

Inca un lucru... Știați că și persoanele care împărtășesc lucruri utile precum această postare arată MĂRĂTOARE? ;-)
Te rugăm să ne contactezi lasa un util comentează cu gândurile tale, apoi împărtășește acest lucru grupurilor tale de Facebook care ar găsi acest lucru util și să profităm împreună de beneficii. Vă mulțumim că ați împărtășit și ați fost drăguți!

Dezvaluirea: Această pagină poate conține linkuri către site-uri externe pentru produse pe care le iubim și le recomandăm din toată inima. Dacă cumpărați produse pe care vi le sugerăm, este posibil să câștigăm o taxă de recomandare. Astfel de taxe nu influențează recomandările noastre și nu acceptăm plăți pentru recenzii pozitive.

 

Cine suntem noi?

CollectiveRay este condus de David Attard - lucrând în și în jurul nișei de design web de mai bine de 12 ani, oferim sfaturi practice pentru persoanele care lucrează cu și pe site-uri web. De asemenea, rulăm DronesBuy.net - un site pentru amatorii de drone.

David Attard

 

 

Autor (i) prezentat (e) pe:  Logo-ul revistei Inc   Sigla Sitepoint   Logo CSS Tricks    sigla webdesignerdepot   Sigla WPMU DEV   si multe altele ...