Jakie działania należy podjąć po nowej instalacji Joomla, aby zachować bezpieczeństwo? Zarówno na dzielonych serwerach hostingowych, jak i dedykowanych.
security
installation
ilias
źródło
źródło
Odpowiedzi:
Dbanie o bezpieczeństwo witryny Joomla
Aby uzyskać bardziej szczegółowe instrukcje, zobacz oficjalną listę kontrolną zabezpieczeń .
źródło
Bardzo ważne jest przechowywanie kopii zapasowych na osobnym serwerze. Widzę wielu ludzi, którzy wiernie wykonują kopie zapasowe Akeeba ... i są oni przechowywani na tym samym serwerze w tym samym katalogu głównym. Nie jest to pomocne, jeśli jesteś włamany na poważnie, a na pewno nie jest pomocne, aby odzyskać po awarii hostingu.
Akeeba Backup Pro umożliwia przechowywanie i zarządzanie plikami kopii zapasowych w pamięci zewnętrznej, takiej jak chmura Amazon.
źródło
Alternatywnie do pliku .htaccess lub blokowania go przez IP, możesz także użyć jSecure do zabezpieczenia loginu administratora.
Jedną z rzeczy, o których nie wspomniano, jest korzystanie z renomowanego dostawcy hostingu. Chcesz takiego, który nie tylko dotrzyma kroku bezpieczeństwu, ale będzie również działał z tobą, jeśli zostaniesz zhakowany lub wystąpi problem (baza danych zostanie na przykład uszkodzona). Chodzi o to, aby ograniczyć szkody wyrządzone w witrynie, jednocześnie umożliwiając jej usunięcie.
Podstawowy pomysł, chcesz kogoś, kto ...
Jeśli chcesz, aby lista pytań zadała gospodarzowi lepsze samopoczucie, daj mi znać.
Mam nadzieję że to pomoże.
źródło
Spróbuj tego też,
robots.txt
dla zabezpieczonych folderów.Mam nadzieję, że to pomaga ..
źródło
Zasadniczo z mojego doświadczenia, z rozmiarem Joomla nie ma sposobu, aby naprawdę go całkowicie zabezpieczyć. Zamiast idealnej polityki bezpieczeństwa, która to wszystko powstrzyma, najlepiej obniżyć swoje oczekiwania, aby spróbować zmniejszyć ogólne szkody.
Można tego dokonać za pomocą bardzo częstych zasad tworzenia kopii zapasowych, aby przy każdym włamaniu witryna mogła zostać wycofana, a także skanowane pod kątem złośliwego oprogramowania. Jak dotąd żaden hack nie był spowodowany brutalnym wymuszeniem naszego panelu administracyjnego.
Większość hacków, które widzimy, pochodzi z komponentów firm trzecich lub rdzenia Joomla, widzieliśmy nawet, że hacki potrafią dostać się do najnowszych wersji Joomla. Wynika to z faktu, że włamanie może zwykle wyglądać jak normalne żądanie, przy użyciu złego filtrowania w celu wypchnięcia pliku na serwer. Gdy plik znajdzie się na serwerze, wszystko jest w porządku, może znajdować się na DOWOLNEJ stronie na całym serwerze udostępnionym i nadal wpływać na Twoją, więc jeśli jedna osoba na serwerze udostępnionym nie będzie na bieżąco, może to wpłynąć na Ciebie.
Może to być trochę ekstremalne, ale w oparciu o osobiste doświadczenia najlepiej przygotować się na najgorsze, a następnie być zbyt pewnym, że twoja polisa to wszystko zapobiegnie.
Dlatego najlepszym sposobem zabezpieczenia nowej instalacji Joomla jest częste tworzenie kopii zapasowych i włączanie skanowania w poszukiwaniu złośliwego oprogramowania, jeśli skaner złośliwego oprogramowania może wysłać Ci wiadomość e-mail, gdy tylko coś znajdzie, wówczas możesz przywrócić najnowszą kopię zapasową w bardzo krótkim czasie.
źródło
Zmień nazwę użytkownika i utrzymuj silne hasło administratora, użyj uwierzytelniania dwuskładnikowego (wbudowane dla wersji 3.3+, dla innych http://www.readybytes.net/labs/two-factor-authentication.html )
Zainstaluj kSecure ( http://extensions.joomla.org/extensions/access-a-security/site-security/login-protection/12271 )
Chroń swoją stronę przed różnymi atakami, używając tego htaccess http://docs.joomla.org/Htaccess_examples_(security)
źródło
Pożyczanie tej listy z białej księgi „Testowanie piórem witryny Joomla” na blogu. Myślę, że ta lista jest dokładną wytyczną dla podstaw bezpieczeństwa Joomla.
Używaj silnych haseł do wszystkich loginów. Co najmniej 8 znaków, jeden znak specjalny, jedna cyfra i jedna litera. To ochroni twoją instalację przed brutalną siłą.
Zawsze przechowuj informacje o „ostatnich użytkownikach” w plikach dziennika serwera sieci Web, aby wykryć potencjalne ataki. Nigdy nie traktuj swoich plików dziennika jako informacji. Jest to bardzo przydatne do śledzenia i monitorowania użytkowników.
Połóż stres, aby wprowadzić większe bezpieczeństwo na całym serwerze, na którym hostowana jest witryna oparta na Joomla; będąc hostowanym na serwerze współdzielonym lub dedykowanym.
Zrób listę wszystkich używanych rozszerzeń i monitoruj je.
Bądź na bieżąco z najnowszymi lukami i ujawnieniami w różnych poradnikach bezpieczeństwa. Exploit-db, osvdb, CVE itp. To tylko niektóre z dobrych zasobów.
Zmień uprawnienia do pliku .htaccess, ponieważ jest on domyślnie, używając uprawnień do zapisu (ponieważ Joomla musi go zaktualizować). Najlepszą praktyką jest użycie 444 (r-xr-xr-x).
Należy podać odpowiednie uprawnienia do plików w publicznych katalogach, aby żaden złośliwy plik nie mógł zostać przesłany ani wykonany. Najlepszą praktyką w tym kontekście jest 766 (rwxrw-rw-), tzn. Tylko Właściciel może czytać, pisać i wykonywać. Inni mogą tylko czytać i pisać.
Nikt nie może mieć uprawnień do zapisywania plików PHP na serwerze. Wszystkie muszą być ustawione na 444 (r – r – r--), każdy może tylko czytać.
Deleguj role. To sprawia, że twoje konto administratora jest bezpieczne. Jeśli ktoś włamie się na twoje urządzenie, musi mieć dostęp tylko do odpowiedniego użytkownika, a nie konta administratora.
Użytkownicy bazy danych muszą mieć uprawnienia tylko do wydawania poleceń takich jak INSERT, UPDATE i DELETE. Nie wolno im zezwalać na tabele DROP.
Zmień nazwy folderów zaplecza, np. Możesz zmienić / administrator na / admin12345. 16. Last but not least, bądź na bieżąco z najnowszymi lukami.
źródło
Twoja pierwsza linia obrony to usługa hostingowa
Następną linią obrony jest twój cPanel
Następną linią obrony jest panel administratora
Jestem pewien, że są inne kroki, ale są to główne, których używam na moim serwerze obsługującym ponad 70 stron internetowych z całego kraju. Niedawno miałem masywny atak podobny do ataku DDoS i nie odwiedzono żadnej witryny. Czułem, że mam 10 stóp wysokości i jest kuloodporny, ale wiem, że nie mogę być zadowolony z siebie, ponieważ jutro jest kolejny dzień! lol
źródło
Nie jestem fanem uwierzytelniania dwuskładnikowego
Zainstaluj narzędzia administracyjne Akeeba, włącz zaawansowany htaccess, sprawdź opcje i zaporę programową
https://www.akeebabackup.com/download/admin-tools.html
źródło