Topp 10 Joomla säkerhetsproblem (och hur man fixar dem)

De XNUMX bästa Joomla-säkerhetsproblemen ... och hur man undviker dem

Joomla säkerhetsfrågor är alltid en het fråga :) Tyvärr finns det några misstag som upprepas om och om igen och skapar säkerhetsproblem som lätt kan undvikas. Här är problemen - Joomla säkerhetsfrågor och vad du bör göra för att undvika dem. 

De tio bästa Joomla-säkerhetsproblemen och hur man fixar dem

 

10 Joomla säkerhetsproblem

10. Billiga webbhotell

Gå aldrig efter den billigaste webbhotell du kan hitta.

Vanligtvis använder billiga värdleverantörer delade servrar som är värd för hundratals andra webbplatser, varav några är skräppostsidor av låg kvalitet som lätt kan hackas. Eftersom de brukar ha samma IP kommer din webbplats att vara långsam, vara i ett "dåligt område" med lågt rykte och kan komma att äventyras om andra webbplatser hackas.

Kontrollera listan över webbplatsens rekommenderade och Joomla-godkända värdleverantör för CollectiveRay här.

9. Inga säkerhetskopior

Se till att du har regelbunden Joomla-säkerhetskopior. Om din webbplats blir hackad eller något händer kommer du att kunna bygga om från grunden. Vi rekommenderar att du går efter en kombination av värdbaserade säkerhetskopior som de som erbjuds av InMotion (värden vi använder och litar på - länk i föregående stycke) och sedan använder en tredje parts tillägg som t.ex. AkeebaBackup.

8. Hoppa över härdning (justera inställningar för säkerhet) av PHP och säkra Joomla! inställningar

Glömmer eller hoppar över justeringen av PHP och Joomla! inställningar för ökad säkerhet är ett stort nej-nej.

Det finns många små inställningar och justeringar du kan göra för att göra din PHP-server och Joomla! säkrare och förhindra att de flesta Joomla-säkerhetsproblemen uppstår i första hand och undviker alla typer av säkerhetsproblem.

Vi har en lista över saker du bör göra för att "härda" din installation längre ner i den här artikeln.

7. Använda svaga lösenord eller återanvända lösenord

Med samma användarnamn och lösenord för ditt online bankkonto, Joomla! administratörskonto, Amazon-konto, Yahoo-konto, Gmail-konto och överallt annat är ett annat misstag du bör undvika som pesten.

Använd alltid starka lösenord som skiljer sig från de andra kontona.

Kom ihåg att alltid ändra namnet på admin-kontot till något annat än "admin". Det är också mycket tillrådligt att installera ett plugin som Adminexil som skyddar din administratörs backend från hackningsförsök.

6. Installera och glöm

Efter att ha installerat din helt nya vackra Joomla! -Styrda webbplats, kontrollera den regelbundet och se till att inget har gått fel.

Många saker kan gå fel och du kan få alla möjliga Joomla-problem om du inte underhåller alla komponenter i dina Joomla-installationer.

Låt oss hjälpa dig att hantera din Joomla bättre

joomla

Gratis e-knapp för Joomla-tips

5. Har ingen utvecklingsserver

Alla uppgraderingar och tilläggsinstallationer bör först prövas på en utvecklingsserver innan de görs på livesidan.

Om något går fel på utvecklingsservern kan du undvika att skapa samma problem på servern och du ser till att din live-webbplats förblir ren. Du kan använda enkla servrar som kan installeras lokalt, t.ex. XAMPP eller MAMP.

4. Litar på alla tillägg från tredje part

Om du vill ha optimal Joomla-säkerhet bör du bara installera de minsta tillägg som du behöver.

Om du kan undvika att installera en tredjepartsmodul, undvik den. Inte alla tillägg från tredje part är fria från problem, och vissa är bara hemska, buggiga och innehåller sårbarheter.

Varje tillägg från tredje part är en annan komponent som kan utsätta dig för sårbarheter och måste hållas uppdaterad. Var försiktig med tillägg från tredje part du installerar, helst gå till de professionella komponenterna från ansedda företag. 

Vi installerar vanligtvis bara tillägg från större leverantörer som RegularLabs, Tassos Marinos, Akeeba etc.

3. Glömmer att behålla din Joomla! webbplats uppdaterad

När du har installerat din helt nya vackra Joomla! -Drivna webbplats, håll dig uppdaterad med alla stabila utgåvor och uppdatera med varje stabil utgåva.

De flesta stabila utgåvorna löser problem och sårbarheter.

Om du glömmer att uppgradera kommer din webbplats att utsättas för alla typer av Joomla-problem. Detta gäller även för tredje part Joomla förlängningar du installerar. Det finns ett sätt att hålla din Joomla alltid uppdaterad dock - du kanske vill titta på det här.

Joomla säkerhetsproblem - se till att hålla joomla uppdaterad2. Brist på information när du ber om hjälp

Om din webbplats blir hackad / knäckt, gå till Joomla-forumen, och innan du börjar skriva ut som galen, se till att du har all relevant information tillgänglig, till exempel den version av Joomla du har installerat, vilken version av tillägg från tredje part du har installerad.

Denna information hjälper dig att identifiera vad som kan ha orsakat ditt hack och hur du åtgärdar och undviker att det händer igen.

1. Åtgärda eventuell sprucken fil och glöm den

När din webbplats har knäckt räcker det inte med att fixa den skadade filen.

Kontrollera webbplatsens loggar, ändra dina gamla lösenord, ta bort hela katalogen och bygg den om från rena säkerhetskopior och vidta alla försiktighetsåtgärder!

Allvarliga Joomla -säkerhetsproblem kan återkomma om du inte återställer från en ren säkerhetskopia eftersom det kan finnas bakdörrar i din installation, vilket kommer att reactivreras av hackare när du har tagit bort det du tror är den enda infekterade filen.

Detta är en reviderad version av Topp tio dumaste administratörer Tricks, utan sarkasm och med rekommendationer om hur man fixar de tio bästa Joomla-säkerhetsproblemen istället :)

Alla saker att göra för att säkra din Joomla-webbplats 

Även om som standard Joomla! kärnutvecklingsteamet vidtar stora åtgärder för att säkerställa att det finns få eller inga sårbarheter i koden. Det finns ett antal inställningar som, om de inte får vederbörlig uppmärksamhet, kan göra din webbplats sårbar för attacker.

Denna artikel kommer att ge en lista över åtgärder som ska vidtas för att säkerställa en säkrare Joomla! installation. Det här är alla tips som vi använder på vår egen webbdesignblogg, CollectiveRay, så vi vet att dessa fungerar fint!

1. Byt namn på Joomla! administratörskonto

Detta enkla steg hårdnar din webbplats avsevärt. igen om du är paranoid bör du använda slumpmässiga tecken både för användarnamnet och lösenordet för admin

2. Se till att filen configuration.php inte är skrivbar!

Det här steget är avgörande och en världsskrivbar konfiguration.php-fil är en inbjudan till hacking.

Du kan göra detta oskrivbart inifrån Joomla. Detta är något som nya versioner av Joomla gör automatiskt, men du kan bekräfta om det finns några problem med filbehörigheter genom att besöka System> Systeminformation> Mapptillstånd. Configuration.php ska markeras som Oskrivbar.

3. Försök alltid att hålla din Joomla-installation uppgraderad till den senaste versionen

Varje Joomla-uppdatering eller nya versioner lägger vanligtvis till säkerhet genom att stänga säkerhetshål och exploateringar eller andra upptäckta sårbarheter. Om du hoppar över någon uppdatering lämnar du det "hålet" öppet i din webbplats säkerhet och riskerar att bli hackad.

Alla säkerhetsfokuserade uppdateringar ska ALDRIG hoppas över. Varje uppdatering kommer att namnges som "Underhåll" och åtgärdar fel eller små problem och "Säkerhet" som vanligtvis åtgärdar säkerhetsproblem. Säkerhetsuppdateringar bör installeras omedelbart eftersom det innebär att sårbarheten nu är känd för hackare och de kommer omedelbart att börja utnyttja den.

4. Uppgradera till den senaste PHP-versionen

Om din värd tillåter det, byt till de senaste säkra versionerna av PHP.

Varje efterföljande version av PHP introducerar ytterligare säkerhet (förutom att förbättra prestanda). Tyvärr uppdateras äldre versioner av PHP vanligtvis inte, även om säkerhetsproblem hittas.

Detta innebär att eventuella säkerhetsproblem som upptäcks INTE kommer att ha en lösning och att din webbplats kommer att utsättas för sådana exploateringar.

5. Se till att rätt fil- och mappbehörighet är korrekt

När du väl har en stabil webbplats bör du ändra alla filbehörigheter till skrivskyddade med CHMOD (644 för filer, 755 för kataloger).

Alla bra FTP-program bör tillåta dig att göra detta utan att behöva använda några skript, eller så kan du göra det via CPanel eller File Explorer.

Du kan också använda den globala konfigurationen för att tillämpa standardbehörigheterna för alla filer och mappar.

Äldre versioner av Joomla använder för att tillåta ändring direkt från administratören enligt instruktionerna nedan, men de nyare versionerna av Joomla gör detta automatiskt. Se dock till att du inte ändrar dem själv för att åtgärda några andra problem.

Gå till Webbplats> Global konfiguration> fliken Server. Bläddra ner tills du hittar File Creation. Klicka på CHMOD nya filer till 0644 och CHMOD nya kataloger till 0755 och klicka på kryssrutan Använd på befintliga filer för att köra den här inställningen på alla dina nuvarande filer. När detta är gjort, se till att filen configuration.php fortfarande är oskrivbar. Om den är skrivbar klickar du på Gör omskrivbar efter att du har sparat för att göra den inte skrivbar

Tillämpar behörigheter med FTP-klient

Du kan använda ett tillägg som eXtplorer som har ett enkelt sätt att redigera behörigheter. Det låter dig göra detta rekursivt och därmed undvika att behöva gå igenom varje katalog. Du kan också använda komponenter som Admin Tools för Joomla! av Akeeba som kan kontrollera och åtgärda sådana problem automatiskt. 

Admin Tools utför också ett antal andra prestanda- och säkerhetsfixar. Kolla in det här.

6. Kontrollera om det finns sårbarheter på din webbplats

Det finns ett antal verktyg som testar din Joomla för korrupta filer och sårbara filer. Dessa är vanligtvis penetrationstestare som testar för vanliga problem.

Du kan också använda Joomla sårbara tilläggslista. Detta är en levande lista över alla tillägg som har en sårbarhet. Varje så ofta (varje månad eller så) bör du kontrollera den senaste listan för att se till att inga av dina nuvarande Joomla-tillägg finns på listan.

Om några av dina tillägg finns i den här listan, se till att du uppdaterar den till den senaste (korrigerade) säkra versionen.

7. Lämna aldrig extra filer runt

Se till att det inte finns några onödiga filer på din webbserver.

Ta bort eventuella kvarvarande filer från installationen. Ta bort din Installationen -mappen och eventuella komprimerade filer som du kanske har laddat upp till din webbserver för att installera Joomla! kärna. Ta bort alla komponenter / moduler / mallar som du inte använder.

Håll alltid din webbplats så mager som möjligt. Eventuella extra filer kan bli en skuld. 

8. Skydda dina konfigurationsfiler och känsliga kataloger

  • Alla konfigurationsfiler ska inte placeras i den offentliga HTML-katalogen. Vissa webbhotell (t.ex. GoDaddy) kanske inte tillåter dig att göra detta, så det näst bästa är att skapa en lösenordsskyddad katalog med en .htaccess-fil. Om du inte är säker på funktionen för htaccess-filen är det en bra idé att läsa om den innan du fortsätter. Skapa en katalog, det är en bra idé att namnge den något slumpmässigt t.ex. ehxum3jq snarare än att konfigurera i din Joomla! katalog.
  • Skapa en .htaccess-fil för att skydda katalogen. Använd en .htaccess-generator för att hjälpa dig att generera filen. Baserat på exemplet ovan bör du ha en .htaccess-fil som liknar detta. Kom ihåg att katalogen du vill skydda är hemkatalogen (om du inte är säker på att du kan hitta den i den absoluta sökvägen till din ursprungliga konfiguration. Php-fil) och lägga till katalognamnet kommer du att placera dina skyddade filer i t.ex. / home / innehåll / a / b / c / abcompany / html / ehxum3jq /
  • OBS: Detta ger bara grundläggande autentisering som inte erbjuder rigorös säkerhet. Med orden från Apache.org:

Grundläggande autentisering ska inte betraktas som säker för någon särskilt noggrann definition av säker.

Även om lösenordet lagras på servern i ett krypterat format skickas det från klienten till servern i klartext över nätverket. Den som lyssnar med alla slags paketförstörare kan läsa användarnamnet och lösenordet tydligt när det går igenom.

Parameter för att skapa .htaccess-fil

Genererad .htaccess-fil och .htpasswd

För att verkligen erbjuda säkerhet måste du skicka lösenordet via SSL (där det skulle krypteras på vägen).

  • Använd starka lösenord eller lösenfraser eller slumpmässiga tecken för .htpasswd-filen som ska vara ungefär som detta. Du kan skydda din katalog ytterligare genom att använda IP-adresser i .htaccess-filen som anges i denna FAQ
  • Testa för att säkerställa att katalogen är skyddad. Lägg in en fil i den och försök komma åt t.ex. https://www.yourcompany.com/ehxum3jq/myfile.txt. Du bör uppmanas att ange ett lösenord. Om du anger användarnamnet och lösenordet som anges under generationen bör du få tillgång till filen, annars skulle du få ett 401-fel (Access Denied).

Grundläggande autentiseringsfönster

  • Använd följande Vanliga frågor om Joomla Forum för att hjälpa dig flytta konfigurationsfiler från den offentliga HTML-filen till den lösenordsskyddade katalogen du har skapat. Var dock extra försiktig när du uppdaterar den globala konfigurationsfilen, eftersom detta skriver över filen du har skapat. Skrivskydda filen configuration.php och alla ändringar du behöver göra dem manuellt med en FTP-klient. Och lägg till följande rad så att alla som försöker komma åt php-filen får ett "Begränsad åtkomst" -fel. Som en allmän regel bör alla PHP-filer på din webbplats innehålla denna rad. Alla PHP-filer som inte innehåller denna rad är en säkerhetsrisk.

 

definierad ('_ JEXEC') eller die;

definierad ('_VALID_MOS') eller die ('Begränsad åtkomst'); // för äldre versioner av Joomla

 

9. Håll tillägg från tredje part uppdaterad

Tredjepartsförlängningar är en av de bästa sakerna med Joomla!

Det finns så många olika tillägg att du förmodligen kan hitta något som redan har skrivits åt dig. 3D-partytillägg finns dock i alla former och storlekar och övervakas inte av kärnteamet.

Det betyder att det finns en sårbarhet som kan äventyra din installation. Du måste vara extremt försiktig med att installera eventuella tillägg. Övervaka listan över utsatta tredjeparts / icke-Joomla-tillägg. Om du installerar tillägg, se till att du övervakar deras utgåvor och se till att du följer deras säkerhetsrekommendationer.

För mer information, gå till Joomla! Vanliga frågor om säkerhet.

10. Säkerhetskopiering! Säkerhetskopiering! Säkerhetskopiering!

Även om du har vidtagit ALLA åtgärder för att säkerställa att din webbplats är 100% säker, kan sårbarheter fortfarande lura och vänta på att hitta och utnyttjas. Om din webbplats blir hackad, MÅSTE du se till att den kommer tillbaka online så snart som möjligt med så lite innehållsförlust som möjligt. För detta måste du se till att du har goda säkerhetskopior (dagligen eller oftare efter behov).

AkeebaBackup är en öppen källkodskomponent för Joomla! CMS som möjliggör fullständig säkerhetskopiering av webbplatser (filer och databas). Det låter dig skapa fullständiga säkerhetskopior och har full funktionalitet för att återställa din webbplats om saker går mage upp.

Några andra Joomla-säkerhetstips?

Det är för nu. Om du har ytterligare Joomla-säkerhetsförslag, skulle vi gärna höra dem i kommentarerna nedan.

Om författaren
David Attard
Författare: David Attardwebbplats: https://www.linkedin.com/in/dattard/
David har arbetat i eller runt online / digital industrin under de senaste 18 åren. Han har stor erfarenhet av mjukvaru- och webbdesignindustrin med WordPress, Joomla och nischer som omger dem. Som digital konsult fokuserar han på att hjälpa företag att få en konkurrensfördel med en kombination av deras webbplats och digitala plattformar som finns idag.

En sak till... Visste du att människor som delar användbara saker som det här inlägget ser fantastiska ut också? ;-)
Tveka inte, lämna en användbara kommentera med dina tankar, dela sedan detta på din Facebook-grupp (er) som skulle tycka att det var användbart och låt oss skörda fördelarna tillsammans. Tack för att du delade och var trevlig!

Upplysningar: Denna sida kan innehålla länkar till externa webbplatser för produkter som vi älskar och rekommenderar helhjärtat. Om du köper produkter vi föreslår kan vi tjäna en remissavgift. Sådana avgifter påverkar inte våra rekommendationer och vi accepterar inte betalningar för positiva recensioner.

 

vilka är vi?

CollectiveRay drivs av David Attard - arbetar i och runt webbdesignnischen i mer än 12 år, vi ger användbara tips för människor som arbetar med och på webbplatser. Vi driver också DronesBuy.net - en webbplats för drönare.

David attard

 

 

Författare Utvalda på:  Inc Magazine-logotyp   Sitepoint-logotyp   CSS Tricks-logotyp    webbdesignerdepot-logotyp   WPMU DEV-logotyp   och många fler ...