Hogyan védekezzünk Joomla honlapunkra irányuló támadásokkal szemben?
Az első és legfontosabb védelmi vonalunk a MENTÉS.
Elsődleges fontosságú a weboldalunk biztonsági mentéseinek frissen tartása. A Websasnál ezt helyetted elvégezzük ( naponta mentjük le az adataidat ) és kiváló Backup rendszert instalálltunk a Cpanel felületre, ahol könnyedén fel tudod tölteni a weboldalad fájljait a korábbi mentésekből.
Ügyeljünk rá, hogy ne mi próbáljuk ki a legújabb frissítést!
Nagyon fontos ( legyen szó bármilyen CMS rendszerről ), hogy ne a legújabb verziót frissítsük fel. Természetesen a rendszer folyamatos frissítése elsődleges prioritású, azonban óvakodjunk tőle, hogy rajtunk próbálják meg "kitesztelni" a legújabb frissítések sebezhetőségét. Mindíg a legfrisebb előtti update - et tegyük fel, ez nagyon fontos.
Az első védelmi vonal:
Tiltsd le a regisztrációnál, a felhasználó általi aktiválást!
- Felhasználók-> Felhasználókezelő-> Beállítások -> Új felhasználói fiók aktiválása: Administrator
Itt érdemes bejelölni, hogy az adminisztrátor kapjon levelet a regisztrációról.
Második védelmi vonal:
Ha fenti beállítások megvannak, akkor érdemes jelszóval védetté tenni a /administrator könyvtárat.Szerkesztenünk kell ehhez a .htaccess fájlt.
De mi is az a .htaccess?
A .htaccess egy egyszerű szöveges file. Arra szolgál, hogy egy könyvtárban elhelyezve, annak beállításait megadjuk vele.
Ez legyen a .htaccess fájl tartalma:
AuthType Basic
AuthName "Belépéshez jelszó szükséges"
AuthUserFile /var/www/public_html/administrator/.htpasswd
Require user felhasználónév
- AuthType Basic azt jelenti, hogy alapszintű authentikációt alkalmazunk.
- AuthName: Ide azt írjuk, amit szeretnénk megjeleníteni abban a felugró ablakban, ami megkérdezi a felhasználónevet és jelszót.
- AuthUserFile: Itt láthatjuk, hogy ez a sor hivatkozik egy .htpasswd file-ra. Ez fogja tartalmazni a felhasználónevet és jelszót. Figyelem! A .htpasswd-re hivatkozni abszolút módon kell, tehát a teljes utat le kell írni.
- Require user után megadjuk a felhasználó nevét, aki hozzáférhet a könyvtárhoz.
Lássuk a .htpasswd tartalmát is:felhasználónév:286755fad04869ca523320acce0dc6a4
Az eleje a felhasználónév, közvetlen utána egy kettőspont, majd közvetlen utána a jelszó. Illetve a jelszó MD5 hash-e.Hogy képezzünk MD5 hash-t?
Csináld meg a saját gépeden. Linuxon, terminálban bash-t használva:
echo -e "password" | md5sum
286755fad04869ca523320acce0dc6a4 -
Windows esetén használd az alábbi linket: http://www.pc-tools.net/win32/md5sums/
Ha megvan, a két file, (.htaccess, .htpasswd) töltsd fel a /administrator könyvtárba.