Hogyan védekezzünk Joomla honlapunkra irányuló támadásokkal szemben?



Az első és legfontosabb védelmi vonalunk a MENTÉS.

Elsődleges fontosságú a weboldalunk biztonsági mentéseinek frissen tartása. A Websasnál ezt helyetted elvégezzük ( naponta mentjük le az adataidat ) és kiváló Backup rendszert instalálltunk a Cpanel felületre, ahol könnyedén fel tudod tölteni a weboldalad fájljait a korábbi mentésekből.

Ügyeljünk rá, hogy ne mi próbáljuk ki a legújabb frissítést!

Nagyon fontos ( legyen szó bármilyen CMS rendszerről ), hogy ne a legújabb verziót frissítsük fel. Természetesen a rendszer folyamatos frissítése elsődleges prioritású, azonban óvakodjunk tőle, hogy rajtunk próbálják meg "kitesztelni" a legújabb frissítések sebezhetőségét. Mindíg a legfrisebb előtti update - et tegyük fel, ez nagyon fontos.

Az első védelmi vonal:

Tiltsd le a regisztrációnál, a felhasználó általi aktiválást!

- Felhasználók-> Felhasználókezelő-> Beállítások -> Új felhasználói fiók aktiválása: Administrator

 

Itt érdemes bejelölni, hogy az adminisztrátor kapjon levelet a regisztrációról.

 
joomla2.jpg

Második védelmi vonal:
Ha fenti beállítások megvannak, akkor érdemes jelszóval védetté tenni a /administrator könyvtárat. 
Szerkesztenünk kell ehhez a .htaccess fájlt.

De mi is az a .htaccess?

A  .htaccess egy egyszerű szöveges file. Arra szolgál, hogy egy könyvtárban elhelyezve, annak beállításait megadjuk vele. 

Ez legyen a .htaccess fájl tartalma:


AuthType Basic
AuthName "Belépéshez jelszó szükséges"
AuthUserFile /var/www/public_html/administrator/.htpasswd
Require user felhasználónév

  • AuthType Basic azt jelenti, hogy alapszintű authentikációt alkalmazunk.
  • AuthName: Ide azt írjuk, amit szeretnénk megjeleníteni abban a felugró ablakban, ami megkérdezi a felhasználónevet és jelszót.
  • AuthUserFile: Itt láthatjuk, hogy ez a sor hivatkozik egy .htpasswd file-ra. Ez fogja tartalmazni a felhasználónevet és jelszót. Figyelem! A .htpasswd-re hivatkozni abszolút módon kell, tehát a teljes utat le kell írni.
  • Require user után megadjuk a felhasználó nevét, aki hozzáférhet a könyvtárhoz.
 
Lássuk a .htpasswd tartalmát is:

felhasználónév:286755fad04869ca523320acce0dc6a4


Az  eleje a felhasználónév, közvetlen utána egy kettőspont, majd közvetlen utána a jelszó. Illetve a jelszó MD5 hash-e.

Hogy képezzünk MD5 hash-t?

Csináld meg a saját gépeden. Linuxon, terminálban bash-t használva:

echo -e "password" | md5sum
286755fad04869ca523320acce0dc6a4  -

Windows esetén használd az alábbi linket:  http://www.pc-tools.net/win32/md5sums/ 

Ha megvan, a két file, (.htaccess, .htpasswd) töltsd fel a /administrator könyvtárba.




Kas see vastus oli kasulik? 3 Kasutajad peavad seda kasulikuks (5 Hääled)