Κατά την εγκατάσταση του Joomla! σε ένα διακομιστή, πρέπει να λάβετε κάποια μέτρα για να αυξήσετε την ασφάλεια, και να κλείσετε τις τρύπες ασφαλείας.
Ας δούμε τα πιο συνηθισμένα λάθη και γιατί είναι ζωτικής σημασίας για το σύστημά σας:
Λάθος # 1. Παλιά Έκδοση του Joomla!
Νέες εκδόσεις του Joomla! βγαίνουν πολύ συχνά με διάφορες διορθώσεις ασφαλείας και είναι πολύ σημαντικό να αναβαθμίζετε το site σας έγκαιρα.
Είναι πολύ εύκολο να αναβαθμίσετε το site σας. Απλά δείτε πια έκδοση έχετε εγκατεστημένη και κατεβάστε από το Joomla.org την έκδοση που χρειάζεστε. Μπορεί για παράδειγμα να χρειάζεται να κατεβάσετε το patch από 1.5.10 σε 1.5.15
Λάθος # 2. Δικαιώματα φακέλων
Αν δε λειτουργεί το server σας με suphp (ή fastcgi με suexec) οι φάκελοι πρέπει να έχουν δικαιώματα 755 ή πιο αυστηρά. Εξαίρεση είναι οι φάκελοι που απαιτούνται από το σύστημα να είναι 777.
(Συνιστάμε τη φιλοξενία σε ασφαλές server με suphp όπως της GreekInternetMarketing)
Φακέλοι με δικαιώματα υψηλότερα από 755 αφήνουν “πόρτες” ανοικτές για επίδοξους εισβολείς.
Φακέλοι με δικαιώματα υψηλότερα από 755 είναι δυνατόν να αξιοποιηθούν για:
- Τη δημιουργία και τη μεταφόρτωση αρχείων που θα μπορούσαν να καταστήσουν ευάλωτη την ιστοσελίδα σας
- Την τροποποίηση αρχεία
Μπορείτε να αλλάξετε εύκολα τα δικαιώματα των φακέλων με ένα πρόγραμμα FTP.
Λάθος # 3. Δικαιώματα Αρχείων
Όπως είπαμε προηγούμενως για τους φακέλους έτσι και για τα αρχεία θα πρέπει να ελέγξετε τα δικαιώματα των αρχείων. Προσέξτε να μην είναι περισσότερο από 644.
Λάθος # 4. Ανεξέλεγκτο upload αρχείων (φόρουμ, σχόλια…)
Οι Hackers/Crackers μπορούν να χρησιμοποιήσουν αυτές τις εφαρμογές για να φορτώσουν κακόβουλα scripts και να αποκτήσουν πρόσβαση στη Joomla! ιστοσελίδα σας.
Θα πρέπει να επιτραπεί σε όσο το δυνατόν λιγότερες επεκτάσεις αρχείων να γίνονται upload. Σε καμία περίπτωση δε θα πρέπει να επιτρέπεται το ανέβασμα εκτελέσιμων αρχείων (. Php,. Php3,. Php4,. Php5,. Phtml).
Λάθος #5. Πρόσβαση Σε ΣΗΜΑΝΤΙΚΑ αρχεία και φακέλους
Πρέπει να προστατεύονται τα ευαίσθητα αρχεία και οι φακέλοι, όπως:
1. configuration.php – κύριο αρχείο ρυθμίσεων για το Joomla,
2. Joomla! προσωρινός φάκελος – κάθε επέκταση που εγκαθιστάτε πρώτα φορτώνεται σε αυτόν το φάκελο
3. Joomla! φάκελος log: οι Joomla! δραστηριότητες καταγράφονται σε αυτό το φάκλο και έτσι ένας εισβολέας μπορεί να βρει τα τρωτά σημεία για να μπει στο δικτυακό σας τόπο.
Ο καλύτερος τρόπος για να προστατεύσετε τους φακέλους είναι να τους μεταφέρετε σε μη δημόσιο φάκελο (πάνω από το Public_html).
Απλά μεταφέρτε τους φακέλους log και tmp πάνω από το public_html και μετά αλλάξτε τη ρύθμιση στο Global configuration (είτε από το backend ή γράφοντας κατευθείαν στο configuration.php)
Τώρα για το configuration.php τα πράγματα είναι πιο δύσκολα…
1ο βήμα : Μεταφέρτε το configuration.php σε ένα ασφαλή κατάλογο πάνω από το public_html.
2ο βήμα: Αλλάξτε στο /includes/defines.php και στο /administrator/includes/defines.php, τη σταθερά:
define( ‘JPATH_CONFIGURATION’, JPATH_ROOT );
Αν για παράδειγμα το βάλετε το configuration.php σε ένα φάκελο ένα επίπεδο πάνω, με όνομα “guessme” :
define( ‘JPATH_CONFIGURATION’, JPATH_ROOT.DS.’..’.DS.’guessme’ );
3ο βήμα: Επιβεβαιώστε ότι το configuration.php έχει δικαιώματα μόνο ανάγνωσης.
Το πρόβλημα είναι ότι ρυθμίσεις θέλετε να κάνετε στο Global Configuration απο δω και πέρα, θα πρεπει να τις κάνετε με το χέρι (manually!).
Αυτές είναι μόνο μερικές συμβουλές για το πως να κρατήσετε την ιστοσελίδα σας ασφαλή. Ωστόσο, η εξασφάλιση της ιστοσελίδας σας δεν είναι πάντα εύκολη…
Αν θέλετε τη βοήθεια ειδικών απλά επικοινωνήστε μαζί μας!