WŁAMANIE JOOMLA - Kilka dobrych rad dla osób, które chcą mieć spokój cz. 7#

Data: 2013-04-07 22:03:53

Informacja

Ten artykuł jest archiwalny i może być nieaktualny.

Kilka dobrych rad dla osób, które chcą mieć spokój:

  1. kopie bezpieczeństwa co tydzień albo przynajmniej co miesiąc, bez tego narażasz się na duże koszty naprawy bądź robienia strony od zera
  2. zalecam serwer VPS, który pozwala na podkręcenie ustawień zabezpieczeń - oczywiście dla zaawnasowanych użytkowników, możemy też przeglądać logi i wyciąć dostęp np. FTP do klasy adresów bądź konkretnego IP
  3. plik .htaccess należy skonfigurować w katalogu głównym wycinając elementarne typy włamań oraz moim zdaniem boty i klasy adresów np. z Chin i Rosji
  4. plik .htaccess uniemożliwający uruchamianie wykonywalnych plików można umieścić m.in. w katalogu IMAGES (problematyczne w przypadku skryptów optymalizującychobrazki i tworzących miniatury)
  5. zalecam dobrą strategię: jedno konto hostingowe (reseller) = jedna strona. W przypadku włamania na jedną stronę nie mamy przejścia na inne. Niektórzy fantaści instalują 10 stron na jednym koncie, a nawet na jednym haśle i jednej bazie danych kilkanaście stron z różnymi przedrostkami MYSQL :)
  6. trudne hasła i zmiana haseł co kilka miesięcy.
  7. w cronie można ustawić regułę, która skanuje nam co jakiś czas pliki w katalogach i w przypadku zmian dat wysyła emaila z listą plików
  8. dla konta SSH logowanie tylko za pomocą klucza
  9. KRYTYCZNE łatki bezpieczeństwa dla JOOMLA wychodzą średnio co 3-6 m-cy nieinstalowanie ich to tak jak nieleczenie raka złośliwego. Twój wybór.
  10. nigdy nie zapisuj haseł FTP w programach typu FILEZILLA są specjalne programy, których zadaniem jest po zawirusowaniu komputera wynalezienie tych haseł i wysłanie do hackera. TO naprawdę się zdarza. Tak samo nie trzymaj haseł w skrzynce pocztowej
  11. nigdy nie instaluj JOOMLA z innego źródła niż JOOMLA.ORG zdarzało się, że znane komponenty jak np. XMAP były na stronie developera podmienione i tak naprawdę jedynie JOOMLACODE bądź źródła typu SOURCEFORGE zapewniają jako takie bezpieczeństwo i integralność paczki.
  12. zawsze przed i po większych zmianach rób backupy - to naprawdę ratuje
  13. co jakiś czas ściągaj backupy na swój dysk albo inny sewer (tutaj szyfrowanie GPG)
  14. jeśli masz zwykłą stronę firmową **wyłącz rejestrowanie nowych użytkowników, automatyczną aktywację, przypominanie haseł, zapamiętywanie użytkownika, niepotrzebne komponenty typu REKLAMY, ŹRÓDŁA, LINKI itp. włącz CAPTCHA**.

PODSUMOWUJĄC: Temat oczywiście nie jest wyczerpany i można przekazać znacznie więcej wiedzy, ale wchodząc w detale musiałbym napisać na ten temat książkę. Pamiętaj, że włamanie na stronę to kilka godzin pracy w celu ogarnięcia tematu po czym realizacja określonego planu stosownie do sytuacji. Oczywiście zakładam, że posiadasz pewną kulturę pracy i elementarne rzeczy masz dobrze ustawione.