Frequently Asked Question

Zaštita starijih Joomla 1.0 -1.5 sajtova
Last Updated 10 years ago

1. Pravilno podešavanje hosting paketa

Ne postavljati nesigurna globalna podešavanja privilegija kao CHMOD 777. Preporuka (755 za direktorije, 644 za fajlove)

  1. Postavite register_globals OFF
  2. Isključite allow_url_fopen
  3. Postavite magic_quoter_gpc naredbu kao potrebnu za Vašu stranicu. Ova preporučena postavka za Joomla! 1.0.x je ON zbog zaštite protiv loše napisanih ekstenzija. Joomla! 1.5 zanemaruje ovu postavku i radi uredno u bilo kojem slučaju
  4. Ne koristite PHP safe_mode

 

2. Promjena uobičajenog prefiksa baze podataka (jos_)

Tokom instalacije, promjenite defaultni prefiks baze podataka u neki slučajni. Ovo će onemogućiti većinu SQL injection napada jer hackeri pokušavaju dobiti superadmin ovlašćenja kroz jos_users tabelu.

3. Isključite FTP layer

Tijekom instalacije, nemojte uključivati FTP layer jer otvara potencijalnu sigurnosnu rupu. Vaši FTP podaci su sačuvani u običnom tekstualnom obliku u Joomla! konfiguracionom fajlu. FTP layer nije potreban ako je Vaš hosting osiguran i pravilno konfiguriran za Joomlu.

4. Promjenite svoj administrativni nalog

Znate li šta je user 62? Nakon instalacije Joomle na Vašu stranicu, kreira se Super Administrator nalog s poznatim korisničkim imenom (admin) i poznatim user ID-om (62). Ovo je prije iskorištavano za dobivanje neovlaštenog pristupa stranicama. Najbolji pristup sprječavanja ovog je kreiranje novog Super Administrator korisnika i blokiranje defaultnog admin korisnika sve do Registered nivoa. Učinite sljedeće:

  • Kreirajte novog Super Administatora s drugačijim username-om i h3 passwordom
  • Izlogirajte se i ulogirajte ponovo kao novi korisnik
  • Promjente originalnog admin korisnika u manager-a i sačuvajte (nemate dozvolu za brisanje Super Administratora)
  • Sada izbrišite originalnog admin korisnika (user ID 62)

 

5. Ne koristite root ili admin korisnika u mySQL kao korisnika Vaše baze podataka

Trebali biste uvijek kreirati novog korisnika baze podataka kod instalacije nove stranice i uvijek davati ovlaštenja samo za novu bazu podataka. Na ovaj način, korisnik ima pristup samo određenoj stranici. Inače, haker kad pristupi jednoj stranici, ima otvoren pristup i drugima.

 

6. Instalirajte jSecure Authentication plugin ili sličan

Svaki Joomla back-end ima isti URL. Ako instalirate security plugin, možete dodati sufiks na Vaš pozadinski URL tako da izgleda ovako:

http://www.yoursite.com/administrator?helloworld

Ako URL nije upisan s pravilnim sufiksom, preusmjerava se na 404 (not found) stranicu. Mjenjajte sufiks redovno.

 

7. H3 i Unique passwordi

Uvijek koristite h3 passworde za administratorske naloge. Primjer h3 passworda je E@^M!$<9@k. Možete koristiti stranice kao što su www.h3passwordgenerator.com za kreiranje h3 passworda.

Dobro je passwordom zaštititi i administratorski direktorij. Na Apache web serveru možete napraviti htaccess datoteku ili u M:TEL  kontrolnom panelu koristiti  opciju "Password-Protected Directories". Ovo će dodati novi username/password nivo kojeg će hacker morati proći prije nego dobije administratorska ovalašćenja. Ovaj password treba da se razlikuje od admin passworda.

 

8. Mjenjajte username i password redovno

Minimalno svako 3 mjeseca.

 

9. Uključite SEF URL-ove

Većina hackera koristi Google inurl: naredbu za pretraživanje ranjivih mjesta. Zato uključite SEF URL-ove u konfiguraciji stranice ako koristite Joomla 1.5. Možete koristiti i ekstenzije kao SH404SEF za Joomlu 1.0 i 1.5. Ovo će otežati hackerima pronalazak sigurnosnih rupa, a imat ćete koristi i kod SEO-a.

 

10. Nadogradite Joomlu na posljednju verziju

Kada god je to moguće, nadogradite Joomlu na posljednju verziju. Uvijek downloadajte Joomlu sa službene stranice kao što je Joomla! Forge i provjeravajte MD5 hash.

 

11. Third-party ekstenzije

Dostupno je više hiljada ekstenzija za Joomlu od kojih su mnoge nekomercijalne. Ne instaliranje nepotrebne i neprovjerene ekstenzije. Zapamtite da se većina hackerskih napada događa zbog ranjivosti unutar tih ekstenzija. Zato uvijek koristite ekstenzije koje su popularne, imaju podršku h3 zajednice i koje se stalno razvijaju.

 

12.  ACL za pozadinsko/administratorsko okruženje

Defaultno Joomla pozadinsko okruženje nije toliko sigurno . Posebno Administratorski nivo, koja ima sva ovlaštenja, ne pruža dovoljnu zaštitu od upada iznutra. Zato se preporučuje korištenje third-party ACL rješenja da bi se ograničio pristup back-end korisnicima samo na određene djelove i third-party komponente, zavisno o ulozi korisnika u upravljanju stranicom. Zahvaljujući naporima programera  Joomla! omogućuje definiranje takvih access lista bez third-party ekstenzija.

 

13.  Pravilno podešavanje ovlaštenja za fajlove/direktorije

Pravilno podesena dopustenja za Vašu Joomla stranicu su:

* PHP files: 644
* Config files: 666
* Other folders: 755

Možete postaviti ova ovlaštenja korištenjem i Vašeg FTP klijenta.

 

14.  Podešavanje backup i recovery procesa

M:TEL ISP provajder vrši redovne backupe vaše stranice. Vaše backupe radite što češće i ne čuvajte backupe na istom serveru na kojem je i stranica! Downloadujte ih na svoj hard disk i čuvajte najmanje dvije kopije na različitim medijima, kao što su CD-ROM, flash disk ili vanjski hard disk, a ako je moguće da svaka kopija bude na različitoj fizičkoj lokaciji. Još bolje, ako je moguće, koristite „cloud storage service“ i time ćete osigurati kopije backupa. Nikad ne možete biti preparanoični oko sigurnosti Vaših backup datoteka!


Please Wait!

Please wait... it will take a second!