7 Tipp a biztonságosabb Joomla!-ért:
A Joomla! egy remek tartalomkezelő menedzser, melyet az egész világon előszeretettel használnak. Ez az oka annak, hogy gyakran a hackerek célpontjává válik.
1.) Változtassuk meg az alapértelmezett adatbázis előtagot (jos_)
A legtöbb SQL alapokon nyugvó hack alapja a jos_users tábla adatainak megszerzése. Ilyen módon megszerezhetik az admin felhasználónevünket és jelszavunkat. Az előtag véletlenszerűre történő megváltoztatása remélhetőleg minden SQL támadás ellen védettséget nyújt.
A Joomla! telepítés során meg tudjuk adni egyedi előtagunkat, de amennyiben már tárhelyünkön telepített Joomla! található, kövessük a következő lépéseket:
– Jelentkezzünk be a Joomla! admin felületünkre
– A Global configuration menüben keressük meg az adatbázisok részt
– Változtassuk meg az adatbázis előtagunkat és Mentsünk.
– Lépjünk be a phpMyAdmin felületünkre, válasszuk ki a jos_users táblázatot.
– Kattintsunk az export menüpontra, minden alapértelmezetten hagyva lépjünk a Start gombra.
– Amikor kész az exportálás a kapott adatokat másoljuk át Jegyzettömbbe.
– A Szerkesztés/Csere funkciót használva keressük meg a jos_ bejegyzéseket és cseréljük az egyedi előtagunkra.
– A phpMyAdminban az import menüpont segítségével töltsük fel az új táblánkat.
2.) Távolítsuk el a verzió számokat
Könnyen sebezhetővé teszi rendszerünket, ha a látogatók tisztában vannak az általunk futtatott Joomla!, valamint Pluginek verzióját.
Extensions könyvtárunk fájljait webszerkesztőben megnyitva keressünk a „version” szót, majd távolítuk el őket.
3.) Használjunk SEF komponenseket
Használatukkal nemcsak elfedjük eredeti linkjeinket az ártó szándékú látogatók elöl, de keresőoptimalizáljuk is oldalunkat. (Artio, SH404SEF)
4.) Frissítsünk folyamatosan
A legalapvetőbb védelem, a frissítések mindig biztonsági hibajavításokat tartalmaznak. Nagyon sok támadás elkerülhető a megfelelő időközönkénti frissítéssel.
5.) Használjuk a megfelelő CHMOD beállításokat
A 777 és 707 –es CHMOD beállításokat csak azokon a fájlokon alkalmazzuk, ahol a script-nek feltétlenül szükséges módosítani a tartalmakat.
Fájl típusok alap beállítása:
PHP fájlok: 644
Config fájlok: 666
Egyéb mappák: 755
6.) Töröljük a nem használt fájlokat
Amennyiben pluginjeinket nem használjuk nem elég őket inaktiválni, törölnünk kell őket. Ezzel is kevésbé sebezhetővé tesszük rendszerünket.
7.) .htaccess fájl módosítása:
A következő sorokat helyezzük el .htaccess fájlunkban:
########## Begin – Rewrite rules to block out some common exploits
#
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR]
# Block out any script that includes a < script> tag in URL
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2}) [OR]
# Block out any script that tries to set CONFIG_EXT (com_extcal2 issue)
RewriteCond %{QUERY_STRING} CONFIG_EXT([|%20|%5B).*= [NC,OR]
# Block out any script that tries to set sbp or sb_authorname via URL (simpleboard)
RewriteCond %{QUERY_STRING} sbp(=|%20|%3D) [OR]
RewriteCond %{QUERY_STRING} sb_authorname(=|%20|%3D)
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## End – Rewrite rules to block out some common exploits
