Frequently Asked Question
1. Pravilno podešavanje hosting paketa
Ne postavljati
nesigurna globalna podešavanja privilegija kao CHMOD 777. Preporuka (755 za direktorije, 644 za fajlove)
- Postavite register_globals OFF
- Isključite allow_url_fopen
- Postavite magic_quoter_gpc naredbu kao potrebnu za Vašu stranicu. Ova preporučena postavka za Joomla! 1.0.x je ON zbog zaštite protiv loše napisanih ekstenzija. Joomla! 1.5 zanemaruje ovu postavku i radi uredno u bilo kojem slučaju
- Ne koristite PHP safe_mode
2. Promjena uobičajenog prefiksa baze podataka (jos_)
Tokom instalacije, promjenite defaultni prefiks baze podataka u neki slučajni. Ovo će onemogućiti većinu SQL injection napada jer hackeri pokušavaju dobiti superadmin ovlašćenja kroz jos_users tabelu.
3. Isključite FTP layer
Tijekom instalacije, nemojte uključivati FTP layer jer otvara potencijalnu sigurnosnu rupu. Vaši FTP podaci su sačuvani u običnom tekstualnom obliku u Joomla! konfiguracionom fajlu. FTP layer nije potreban ako je Vaš hosting osiguran i pravilno konfiguriran za Joomlu.
4. Promjenite svoj administrativni nalog
Znate li šta je user 62? Nakon instalacije Joomle na Vašu stranicu, kreira se Super Administrator nalog s poznatim korisničkim imenom (admin) i poznatim user ID-om (62). Ovo je prije iskorištavano za dobivanje neovlaštenog pristupa stranicama. Najbolji pristup sprječavanja ovog je kreiranje novog Super Administrator korisnika i blokiranje defaultnog admin korisnika sve do Registered nivoa. Učinite sljedeće:
- Kreirajte novog Super Administatora s drugačijim username-om i h3 passwordom
- Izlogirajte se i ulogirajte ponovo kao novi korisnik
- Promjente originalnog admin korisnika u manager-a i sačuvajte (nemate dozvolu za brisanje Super Administratora)
- Sada izbrišite originalnog admin korisnika (user ID 62)
5. Ne koristite root ili admin korisnika u mySQL kao korisnika Vaše baze podataka
Trebali biste uvijek kreirati novog korisnika baze podataka kod instalacije nove stranice i uvijek davati ovlaštenja samo za novu bazu podataka. Na ovaj način, korisnik ima pristup samo određenoj stranici. Inače, haker kad pristupi jednoj stranici, ima otvoren pristup i drugima.
6. Instalirajte jSecure Authentication plugin ili sličan
Svaki Joomla back-end ima isti URL. Ako instalirate security plugin, možete dodati sufiks na Vaš pozadinski URL tako da izgleda ovako:
http://www.yoursite.com/administrator?helloworld
Ako URL nije upisan s pravilnim sufiksom, preusmjerava se na 404 (not
found) stranicu. Mjenjajte sufiks redovno.
7. H3 i Unique passwordi
Uvijek koristite h3 passworde za administratorske naloge. Primjer h3 passworda je E@^M!$<9@k. Možete koristiti stranice kao što su www.h3passwordgenerator.com za kreiranje h3 passworda.
Dobro je passwordom zaštititi i administratorski direktorij. Na Apache web serveru možete napraviti htaccess datoteku ili u M:TEL kontrolnom panelu koristiti opciju "Password-Protected Directories". Ovo će dodati novi username/password nivo kojeg će hacker morati proći prije nego dobije administratorska ovalašćenja. Ovaj password treba da se razlikuje od admin passworda.
8. Mjenjajte username i password redovno
Minimalno svako 3 mjeseca.
9. Uključite SEF URL-ove
Većina hackera koristi Google inurl: naredbu za pretraživanje ranjivih mjesta. Zato uključite SEF URL-ove u konfiguraciji stranice ako koristite Joomla 1.5. Možete koristiti i ekstenzije kao SH404SEF za Joomlu 1.0 i 1.5. Ovo će otežati hackerima pronalazak sigurnosnih rupa, a imat ćete koristi i kod SEO-a.
10. Nadogradite Joomlu na posljednju verziju
Kada god je to moguće, nadogradite Joomlu na posljednju verziju. Uvijek downloadajte Joomlu sa službene stranice kao što je Joomla! Forge i provjeravajte MD5 hash.
11. Third-party ekstenzije
Dostupno je više hiljada ekstenzija za Joomlu od kojih su mnoge nekomercijalne. Ne instaliranje nepotrebne i neprovjerene ekstenzije. Zapamtite da se većina hackerskih napada događa zbog ranjivosti unutar tih ekstenzija. Zato uvijek koristite ekstenzije koje su popularne, imaju podršku h3 zajednice i koje se stalno razvijaju.
12. ACL za pozadinsko/administratorsko okruženje
Defaultno Joomla pozadinsko okruženje nije toliko sigurno . Posebno Administratorski nivo, koja ima sva ovlaštenja, ne pruža dovoljnu zaštitu od upada iznutra. Zato se preporučuje korištenje third-party ACL rješenja da bi se ograničio pristup back-end korisnicima samo na određene djelove i third-party komponente, zavisno o ulozi korisnika u upravljanju stranicom. Zahvaljujući naporima programera Joomla! omogućuje definiranje takvih access lista bez third-party ekstenzija.
13. Pravilno podešavanje ovlaštenja za fajlove/direktorije
Pravilno podesena dopustenja za Vašu Joomla stranicu su:
* PHP files: 644
* Config files: 666
* Other folders: 755
Možete postaviti ova ovlaštenja korištenjem i Vašeg FTP klijenta.
14. Podešavanje backup i recovery procesa
M:TEL ISP provajder vrši redovne backupe vaše stranice. Vaše backupe radite što češće i ne čuvajte backupe na istom serveru na kojem je i stranica! Downloadujte ih na svoj hard disk i čuvajte najmanje dvije kopije na različitim medijima, kao što su CD-ROM, flash disk ili vanjski hard disk, a ako je moguće da svaka kopija bude na različitoj fizičkoj lokaciji. Još bolje, ako je moguće, koristite „cloud storage service“ i time ćete osigurati kopije backupa. Nikad ne možete biti preparanoični oko sigurnosti Vaših backup datoteka!