Как обеспечить новую установку Joomla?

Какие действия следует предпринять после установки Joomla для обеспечения безопасности? Как на серверах общего доступа, так и на выделенных.

33 голоса | спросил ilias 23 PMpWed, 23 Apr 2014 15:14:53 +040014Wednesday 2014, 15:14:53

8 ответов


35

Сохранение веб-сайта Joomla Secure

  1. Использовать надежные пароли.
  2. Свести к минимуму количество учетных записей администратора.
  3. Отключить или удалить неиспользуемые учетные записи пользователей.
  4. Сведите к минимуму количество сторонних расширений и где необходимы сторонние расширения, используйте хорошо поддерживаемые расширения от установленных разработчиков, которым вы доверяете.
  5. Регулярно применяйте последние обновления для Joomla и сторонних расширений, включая исправления безопасности для версий Joomla EOL , где применимо.
  6. Подпишитесь на отчет о Joomla Security News , чтобы вы были сохранены сообщила о основных обновлениях безопасности Joomla.
  7. Подпишитесь на список уязвимостей Joomla Vulnerable (VEL) , чтобы быстро найти новые уязвимости. Прокрутите страницу вниз к ссылке - вы можете также следуйте VEL в Twitter .
  8. Используйте безопасный веб-хостинг хорошего качества, включая соответствующий обработчик PHP-файлов, такой как suPHP или FastCGI, и расширения безопасности, такие как mod_security. Хороший качественный веб-хостинг будет использовать последнюю версию PHP.
  9. Вместо того, чтобы полагаться исключительно на ваш веб-хостинг, предоставляйте резервные копии, регулярно выполняйте собственные резервные копии веб-сайта, копируйте файлы резервных копий за пределы сайта и регулярно запускайте тестовые восстановления, чтобы проверить качество ваших резервных копий.
  10. Внедрение брандмауэра веб-приложений, например, с профессиональной версией инструментов администрирования Akeeba.
  11. Не используйте префикс стандартной таблицы.
  12. Измените имя и идентификатор администратора Super Administrator по умолчанию на другое. Профессиональная версия Akeeba Admin Tools имеет инструмент для изменения идентификатора Super Administrator.
  13. Ограничить доступ к Joomla Admin по IP. Разрешать только доверенные IP-адреса.
  14. Включить двухфакторную аутентификацию для учетных записей администратора (применимо к Joomla 3.2 и более поздней версии).
  15. Повторите вышеуказанные шаги для других веб-сайтов, которые используют одну и ту же учетную запись хостинга или, в идеале, отдельные веб-сайты для своих собственных учетных записей веб-хостинга, чтобы предотвратить перекрестное заражение.
  16. Убедитесь, что персональные компьютеры администраторов веб-сайтов также защищены. Например, внедрите высококачественный вирус и вредоносный сканер. Это помогает защитить любые учетные данные веб-сайта, которые хранятся на персональных компьютерах. В идеале используйте инструмент или приложение для шифрования для хранения веб-сайта и других учетных данных.
  17. Прочитайте 10 самых глупых трюков администратора для получения информации о том, что не делать.

Обновление 2018:

  1. Включить https.

Более подробные инструкции см. в официальном контрольном списке безопасности .

ответил Neil Robertson 23 PMpWed, 23 Apr 2014 15:48:38 +040048Wednesday 2014, 15:48:38
14

Очень важно хранить резервные копии на отдельном сервере. Я вижу много людей, которые добросовестно управляют резервными копиями Akeeba ... и они хранятся на одном сервере в том же корневом каталоге. Не очень полезно, если вас серьезно взломали, и, конечно, не полезно восстанавливаться после сбоя хостинга.

Akeeba Backup Pro позволяет хранить и управлять файлами резервных копий во внешнем хранилище, например облаке Amazon.

ответил Deb Cinkus 24 AMpThu, 24 Apr 2014 02:55:18 +040055Thursday 2014, 02:55:18
7

В качестве альтернативы файлу .htaccess или его блокировке по IP-адресу вы также можете использовать jSecure для защиты входа администратора.

Одна вещь, о которой не упоминалось, - это использование авторитетного хостинг-провайдера. Вы хотите, чтобы он не только поддерживал безопасность, но также работал с вами, если вы взломали или возникла проблема (например, база данных повреждена). Идея состоит в том, чтобы ограничить ущерб, который ваш сайт делает, позволяя вам очистить его.

Основная идея, вы хотите кого-то, кто ..

  • будет вокруг
  • не является операцией «полет».
  • будет работать с вами.
  • и обеспечивает надежную среду.

Если вам нужен список вопросов, чтобы попросить хозяина получить лучшее чувство, просто дайте мне знать.

Надеюсь, что это поможет.

ответил Donald Champion 24 AMpThu, 24 Apr 2014 03:26:24 +040026Thursday 2014, 03:26:24
6

Попробуйте также,

  • Обновляйте свой Joomla вместе с его расширениями.
  • Регулярно делайте резервные копии своего сайта в облаках .
  • Не открывайте robots.txt для защищенных папок.
  • Для последних версий Joomla использование двухфакторной аутентификации будет более безопасным.
  • Убедитесь, что разрешены права доступа к папкам и файлам.
  • Используйте Cloudfare для Joomla .

Надеюсь, что это поможет.

ответил Jobin Jose 23 PMpWed, 23 Apr 2014 15:46:49 +040046Wednesday 2014, 15:46:49
5

В основном, по моему опыту, с размером Joomla нет никакого способа полностью защитить его. Поэтому, а не идеальная политика безопасности, которая останавливает все это, лучше всего снизить ваши ожидания, чтобы снизить общий ущерб.

Это можно сделать с помощью чрезвычайно частой политики резервного копирования, чтобы при любом вторжении можно было откатить сайт, а также сканировать вредоносное ПО. До сих пор ни один хак, который у нас был, был из-за того, что наш административный блок был грубо вынужденным.

Большинство хакеров, которые мы видим, связаны с сторонними компонентами или ядром Joomla, мы даже видели, как хаки удается попасть в последние версии Joomla. Это связано с тем, что хак обычно может выглядеть как обычный запрос, используя плохую фильтрацию, чтобы направить файл на сервер. После того, как файл находится на сервере, все будет честной игрой, оно может быть на ЛЮБОЙ сайт на общем общем сервере и все равно повлиять на ваш, поэтому, если один человек на общем сервере не обновляется, это может повлиять на вас.

Это может быть немного экстремальным, но на основе личного опыта лучше всего подготовиться к худшему, а затем слишком самоуверенным, что ваша политика будет предотвращать все это.

Таким образом, лучший способ защитить новую установку Joomla - это часто делать резервную копию и разрешать сканирование вредоносных программ, если сканер вредоносного ПО может отправить вам электронное письмо, как только оно что-то найдет, тогда вы сможете вернуться к последней резервной копии в течение очень короткого периода времени .

ответил Jordan Ramstad 24 AMpThu, 24 Apr 2014 03:25:16 +040025Thursday 2014, 03:25:16
4
  1. Измените имя пользователя и сохраните сильный пароль администратора, используйте двухфакторную аутентификацию (встроенный для 3.3+, для других http://www.readybytes.net/labs/two-factor-authentication.html )

  2. Установите kSecure ( http: //extensions.joomla.org/extensions/access-a-security/site-security/login-protection/12271 )

  3. Защитите свой сайт от различных атак с помощью этого htaccess http: //docs.joomla .org /Htaccess_examples_ (безопасность)

ответил Shyam 23 PMpWed, 23 Apr 2014 15:25:20 +040025Wednesday 2014, 15:25:20
3

Заимствование этого списка из технического документа «Проверка пером сайта Joomla», найденного в блоге. Я думаю, что этот список является основательным основанием для обеспечения безопасности Joomla.

  1. Всегда держите Joomla в курсе последних событий. Установите обновление сразу после выпуска обновления.
  2. Независимо от того, какие расширения используются, они должны быть исправлены с последними версиями обновлений. Любое старое расширение может дать злоумышленнику способ скомпрометировать сайт.
  3. Не используйте расширения, которые не используются или которые не были протестированы должным образом.
  4. Все пользовательские входы должны быть правильно проверены. Эти входы могут быть входами в формах, URI, загрузке изображений и т. Д. Предположим, если кнопка BROWSE позволяет пользователю загружать изображение, она должна позволять ему загружать изображение, а не оболочку PHP, которая позже может работать как бэкдор на сервер.
  5. Используйте надежные пароли для всех логинов. Не менее 8 символов, один специальный символ, одно число и одна чувствительная к регистру буква. Это защитит вашу установку от грубой силы.

  6. Всегда следите за «Лучшими посетителями» в журнальных файлах веб-сервера для обнаружения потенциальных атак. Никогда не рассматривайте свои файлы журналов только как часть информации. Это очень полезно для отслеживания и мониторинга пользователей.

  7. Постарайтесь повысить безопасность всего сервера, на котором размещен сайт на Joomla; если он размещен на общем сервере или выделенном.

  8. Составьте список всех расширений, которые вы используете, и следите за ними.

  9. Будьте в курсе последних уязвимостей и раскрытий в различных рекомендациях по безопасности. Exploit-db, osvdb, CVE и т. Д. - вот некоторые из хороших ресурсов.

  10. Измените разрешение на свой файл .htaccess, поскольку он по умолчанию использует права записи (поскольку Joomla должна его обновить). Лучшей практикой является использование 444 (r-xr-xr-x).

  11. Должны быть предоставлены правильные разрешения на доступ к файлам общего доступа, чтобы любой вредоносный файл не был загружен или выполнен. Наилучшей практикой в ​​этом контексте является 766 (rwxrw-rw-), то есть только Владелец может читать, писать и выполнять. Другие могут читать и писать только.

  12. Никто не должен иметь разрешение на запись в файлы PHP на сервере. Все они должны быть установлены с номером 444 (râ € r), каждый может читать только.

  13. Передайте роли. Это сделает вашу учетную запись администратора безопасной. Если кто-то взломает ваш компьютер, он должен иметь доступ только к соответствующему пользователю, а не к учетной записи администратора.

  14. Пользователи базы данных должны иметь только разрешение на предоставление команд, таких как INSERT, UPDATE и DELETE. Они не должны допускаться к таблицам DROP.

  15. Измените имена базовых папок, например. вы можете изменить /administrator /admin12345. 16. И последнее, но не менее важное: обновляйте последние уязвимости.

ответил FFrewin 10 PM00000040000000731 2014, 16:52:07
-4
  1. Я не поклонник двухфакторной аутентификации

  2. Установите инструменты администрирования Akeeba, включите расширенный htaccess, проверьте параметры и программный брандмауэр

https://www.akeebabackup.com/download/admin-tools.html

  1. Включить внутренний адрес Url
ответил Anibal 23 PMpWed, 23 Apr 2014 15:45:16 +040045Wednesday 2014, 15:45:16

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132