Varnost

Kako izboljšati varnost Joomla spletne strani v 6 korakih

  1. Geslo
    – Ko ste si ustvarili spletno stran, ne obdržite prednastavljenega uporabniškega imena in gesla (ta je navadno kar admin).
    – Za vstop v administratorsko okolje zahtevajte geslo.

    Za pomoč:
    – Najslabša gesla, kako ustvariti dobro geslo:
    https://blog.zabec.net/kraja-gesel-najslabsa-gesla-so/
    – Administrativno okolje > ustvarite .httaccess v administrator directory: https://docs.joomla.org/How_do_you_password_protect_directories_using_htaccess%3F

  1. Razširitve
    Joomla vam ponuja ogromno možnosti razširitev, kadarkoli potrebujete kaj novega, vam je na voljo malo morje razširitev, ki jih lahko opravite s samo nekaj kliki.
    Pa vendar je potrebno pri tem biti izjemno previden, veliko razširitev je t.i. third party, kar pomeni, da niso uradne in večina vdorov se zgodi prav preko njih.

    – V kolikor razširitev več ne uporabljate, potrebujete, jih izbrišite. Več ko imate neposodobljene kode v vaši spletni strani, večja je možnost vdora in zlorabe.

    – Posodabljajte razširitve! Največkrat so na voljo t.i. security fixes, ki odpravljajo varnostne pomankljivosti. Nikoli jih ne izpustite.

    Za pomoč:
    – Lista ranljivih razširitev, ki se sproti posodablja:
    https://vel.joomla.org/live-vel
    – Testiranje razširitev v varnem okolju:
    https://www.joomlatools.com/developer/tools/vagrant/
    Sporočanje posodobitev razširitev:
    https://docs.joomla.org/Help36:Extensions_Extension_Manager_Update

  1. Dovoljenja
    Največji problem predstavlja dovoljenje, ki prav vsem dovoljuje, da lahko prilagajajo, dostopajo do datotek in jih gledajo, dovoljenje se imenuje 777.

    – Dovoljenja uporabljate samo tam kjer jih resnično potrebujete (pa še ta lahko omejite), vse ostalo naj ostane zaklenjeno.

    Za pomoč:
    – Tipična Joomla dovoljenja:
    PHP nastavljen na 0444 > nihče ne more zapisovati v dokument
    Imeniki nastavljeni na 0755 > samo lastnik imenika lahko zapisuje vanj, ostali ga lahko berejo in izvedejo.
    Datoteke nastavljene na 0644 > lastnik lahko zapisuje, ostali jih lahko samo berejo

  2. SSL certifikati
    SSL certifikat potrebujete v kolikor želite ustvariti varno komunikacijo med vašo spletno stranjo in uporabnikom.
    Če imate t.i. e-commerce spletno stran potem je ta certifikat nujno potreben (s SSLjem se med spletno prijavo v trgovino in uporabnikom ustvari kriptirana povezava, v kolikor SSLja nimate je prijava uporabnika v t.i. plain textu), za manjše spletne strani lahko sami precenite ali ga potrebujete ali ne. Vsekakor pa bo doprinesel https zaupanje v vašo spletno stran.

    Za pomoč:
    – Varna in zaupanja vredna spletna trgovina:
    https://blog.zabec.net/varna-in-zaupanja-vredna-spletna-trgovina/
    – Kateri SSL certifikat naj izberem:
    https://blog.zabec.net/kateri-ssl-certifikat-naj-izberem/
    Za pomoč pri izbiri se lahko obrnete tudi na naš podporni center: info@zabec.net
    Ponujamo vam več kot 30 različnih certifikatov: https://www.zabec.net/gostovanje/ssl-certifikati

  3. Posodobljena različica Joomle
    Ena izmed najbolj pomembnih stvari je redno posodabljanje Joomle na najnovejšo različico.
    Vendar pred vsako večjo posodobitvijo naredite backup.

    Za pomoč:
    – Joomla obvestila:
    https://www.joomla.org/announcements.html

  1. Utrdite PHP konfikuracijo
    Če potrebujete prenos dokumentov za upravljalca dokumentov, kot je napr. DOCman ali FILEman, sledečih možnosti ne nastavljajte.

    PHP directives lahko spremenite v vašem php.ini datoteki:

  • expose_php = 0 :
    s tem prikrijete katero različico PHPja uporabljate, tako napadalcem otežite delo, saj ne vedo točno katero ranljivost je najbolje izrabiti.
  • open_basedir = “/var/www/yoursite.com:/tmp/” :
    s tem ukažete PHPju, da lahko uporablja samo to mapo (privzeto je na shared strežnikih nastavljeno pravilno)
  • display_errors = 0 :
    s tem boste preprečili, da bi napadalci vedeli kje je možnost vdora v vašo stran
  • disable_functions = exec,passthru,shell_exec,system,
proc_open,proc_close,proc_terminate,popen,curl_exec,curl_multi_exec,
show_source,posix_kill,posix_getpwuid,posix_mkfifo,posix_setpgid,
posix_setsid,posix_setuid,posix_setuid,posix_uname,php_uname,syslog
    s tem onemogočite (izklopite) nevarne PHP metode, tako, da jih napadalci ne morejo uporabiti oz. škodovati vašemu sistemu.

Vir: https://www.incapsula.com/blog/10-tips-to-improve-your-joomla-website-security.html

Related Posts