Για το Joomla, και όχι μόνο

Κείμενα

12 βήματα για τη βελτίωση της ασφάλειας μιας ιστοσελίδας Joomla!

1 - Ενημερώστε το Joomla Core & Extensions

Μια συμβουλή τόσο παλιά όσο και το διαδίκτυο: ενημερώστε τα πάντα! Η χρήση ξεπερασμένου (μη ενημερωμένου) λογισμικού εκθέτει σημαντικά έναν ιστότοπο. Δεν είναι πάντα εύκολο να κάνετε αναβάθμιση στην πιο πρόσφατη έκδοση του Joomla, αλλά είναι ένας κίνδυνος που πρέπει να γνωρίζετε, πρώτα απ 'όλα.

Στις περισσότερες εκδόσεις του, το Joomla διορθώνει ορισμένα ζητήματα ασφαλείας. Αν δεν αναβαθμίσετε τον ιστότοπό σας, πιθανόν να διατηρήσετε κάποιο κενό ασφαλείας την οποία μπορούν να εκμεταλλευτούν άτομα με κακόβουλες προθέσεις.

Παρακάτω θα βρείτε μερικές οδηγίες για να μάθετε ποια έκδοση του Joomla τρέχει ο ιστότοπός σας:

Core: Συνδεθείτε στον Πίνακα Ελέγχου> Σύστημα> Πληροφορίες συστήματος

jsec 01

 

Επεκτάσεις: Συνδεθείτε στο Πίνακα ελέγχου> Επεκτάσεις> Διαχείριση> Διαχείριση

jsec 02

Το Joomla μπορεί να ειδοποιήσει εάν  εντοπιστεί κάποιο θέμα ευπάθειας στο βασικό σύστημα αρχείων ή μέσα σε μια επέκταση.

Μπορείτε να βρείτε περισσότερες πληροφορίες από την επίσημη σελίδα του Joomla Core Security Notifications και να εγγραφείτε στη ροή ειδήσεων RSS Joomla Security για να παραμείνετε ενήμεροι σχετικά με σημαντικές ενημερώσεις.

 

2 - Χρησιμοποιήστε το ή πέταξε το (Επεκτάσεις / Templates)

Το Joomla είναι μια τεχνολογία ανοικτού κώδικα, που σημαίνει ότι ο κώδικας είναι δημόσιος και ο καθένας μπορεί να συνεισφέρει σε αυτόν. Πολλές από τις επεκτάσεις ή τα template παράγονται με τον ίδιο τρόπο. Αυτό οδηγεί σε κάποια ατυχή ζητήματα. Δεν είναι κάθε επέκταση κατασκευασμένη με την ίδια προσοχή στην ασφάλεια.

Οι νέες λειτουργίες και τα καλύτερα εργαλεία είναι πάντα διασκεδαστικά για να τα χρησιμοποιήσετε. Ωστόσο, η εγκατάσταση μιας επέκτασης μπορεί να δημιουργήσει απειλές στο περιβάλλον του ιστότοπού σας. Βεβαιωθείτε ότι οι επεκτάσεις που χρησιμοποιείτε είναι αξιόπιστες και ενημερώθηκαν πρόσφατα. Πρέπει να ξέρετε ότι ο προγραμματιστής διατηρεί ενεργά την επέκταση.

Ομοίως, συνεχίστε να ελέγχετε για ενημερώσεις για να βεβαιωθείτε ότι διαθέτετε τις πιο πρόσφατες εκδόσεις στον ιστότοπό σας.

Εάν σταματήσετε να χρησιμοποιείτε μια επέκταση ή ένα template, αφαιρέστε το. Δεν έχει νόημα να κρατάτε ένα plugin που μπορεί να έχει τρύπες ασφαλείας και να προκαλέσει βλάβη στον ιστότοπό σας. Λιγότερος κώδικας = λιγότερα πιθανά προβλήματα.

Εάν δεν μπορείτε να διατηρήσετε την εγκατάσταση του Joomla ενημερωμένη για οποιονδήποτε λόγο, χρησιμοποιήστε ένα τείχος προστασίας για ιστότοπους για την ουσιαστική εμπλοκή των τρωτών σημείων και προστατεύστε τον ιστότοπο σας από απειλές.

 

3 - Απόκρυψη του πίνακα διαχείρισης του Joomla

Η διεύθυνση URL του διαχειριστή του Joomla θα πρέπει να αλλάξει για να αποτραπεί η είσοδος εισβολέων. Από προεπιλογή, οι χρήστες του Joomla συνδέονται με:

www.somesite.gr/administrator 

Hacker μπορούν να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση ξεκινώντας «επιθέσεις» ενάντια στη διεύθυνση URL διαχειριστή. Αυτές οι επιθέσεις μπορούν να δοκιμάσουν χιλιάδες κωδικούς πρόσβασης μέσα σε λίγα λεπτά.

Υπάρχουν δωρεάν επεκτάσεις ασφαλείας του Joomla όπως το AdminExile που μπορείτε να χρησιμοποιήσετε για να θωρακίσετε την προεπιλεγμένη διεύθυνση URL διαχειριστή με μια μοναδική συμβολοσειρά για μεγαλύτερη ασφάλεια.

Προσοχή: Συνιστούμε να δοκιμάζετε καινούρια εργαλεία σε ένα ξεχωριστό περιβάλλον για δοκιμές κι όχι απ’ ευθείας στη σελίδα σας, καθώς η μετονομασία της διεύθυνσης URL διαχειριστή μπορεί να «σπάσει» κάποια λειτουργικότητα σε ορισμένους ιστότοπους, εάν δεν εφαρμοστεί σωστά.

 

4 - Χρήση ισχυρών κωδικών πρόσβασης

Ενθαρρύνουμε τους χρήστες να διατηρούν όλα τα σημεία πρόσβασης ασφαλή και να αλλάζουν τις προεπιλεγμένες ρυθμίσεις.

Με τον ίδιο τρόπο που ένας εισβολέας θα υποθέσει να δοκιμάσει τη διεύθυνση URL "διαχειριστή", θα δοκιμάσει πιθανώς και μια άλλη κοινή τακτική: Να χρησιμοποιήστε το admin ως όνομα χρήστη.

Η καλύτερη πρακτική είναι να αλλάξετε το προεπιλεγμένο όνομα χρήστη από το admin σε κάτι μοναδικό. Αυτό μπορεί να επιτευχθεί από την περιοχή User Manager στο Joomla.

Θα πρέπει επίσης να χρησιμοποιείτε ισχυρούς κωδικούς πρόσβασης. Οι διαχειριστές κωδικών πρόσβασης είναι εξαιρετικά εργαλεία για τη συντήρηση και τη δημιουργία μακρών, πολύπλοκων συνδυασμών κωδικών πρόσβασης. Απλά θυμηθείτε να μην χρησιμοποιείτε τον ίδιο κωδικό πολλαπλές φορές. Μοναδικό, μακρύ και περίπλοκο είναι το κλειδί!

 

5 - Ενεργοποίηση επαλήθευσης πολλαπλών παραγόντων

Ο έλεγχος ταυτότητας πολλαπλών παραγόντων είναι ένα επιπλέον επίπεδο ασφαλείας πέρα ​​από τον κωδικό πρόσβασής σας. Για να συνδεθείτε στο λογαριασμό σας, αυτή η λειτουργία απαιτεί κάτι επιπλέον για την επαλήθευση της ταυτότητας του χρήστη - συνήθως ένα 6ψήφιο κωδικός που αποστέλλεται σε μια εφαρμογή ηλεκτρονικού ταχυδρομείου ή γραπτού μηνύματος.

Το 2FA (έλεγχος ταυτότητας δύο παραγόντων) είναι η πιο κοινή μέθοδος ελέγχου ταυτότητας πολλαπλών παραγόντων και το Joomla υποστηρίζει τη χρήση του Google Authenticator μόνο και μόνο για αυτόν τον σκοπό.

Για να επωφεληθείτε από τη λειτουργία 2FA, θα χρειαστεί να χρησιμοποιήσετε την έκδοση Joomla 3.2.0 ή νεότερη.

jsec 03

Δείτε πώς ενεργοποιείτε το 2FA στο Joomla. Διαβάστε και το σχετικό κείμενο από το τμήμα των οδηγιών.

  • Συνδεθείτε στον πίνακα διαχειριστών σας
  • Μεταβείτε στα Εργαλεία και στη συνέχεια στα μηνύματα μετά την εγκατάσταση
  • Κάντε κλικ στην επιλογή Ενεργοποίηση επαλήθευσης δύο παραγόντων.
  • Θα μεταφερθείτε στη σελίδα προφίλ χρήστη
  • Εγκαταστήστε το Google Authenticator για τη συσκευή σας
  • Σάρωστε του QR Code με το τηλέφωνό σας μέσω του Google Authenticator
  • Επιστρέψτε στο πεδίο Ενεργοποίηση επαλήθευσης δύο παραγόντων και εισαγάγετε τον εξαψήφιο κωδικό που βλέπετε στο τηλέφωνό σας.
  • Κάντε κλικ στην επιλογή Αποθήκευση & Κλείσιμο.

Activate 2FA

Αν δεν έχετε πλέον τα μηνύματα μετά την εγκατάσταση, μπορείτε να πλοηγηθείτε κατευθείαν στη σελίδα προφίλ χρήστη και στη συνέχεια στην καρτέλα επαλήθευση δύο παραγόντων για να συνεχίσετε τη διαδικασία.

Εάν η καρτέλα "Έλεγχος ταυτότητας δύο παραγόντων" δεν εμφανίζεται, είναι πιθανό να μην έχει ενεργοποιηθεί το σχετικό plugin. Μεταβείτε στον Διαχειριστή Plugin και βρείτε την προσθήκη δύο παραγόντων για τον Επαληθευτή Google. Ενεργοποιήστε το και στη συνέχεια, επιστρέψτε στη σελίδα προφίλ χρήστη και δοκιμάστε ξανά.

 

6 - Εφαρμόστε την αρχή των ελάχιστων προνομίων.

Θυμηθείτε ότι το Joomla προσφέρει τρεις διαφορετικές ομάδες δικαιωμάτων:

  • Manager
    • Έχουν τη λιγότερη πρόσβαση στο διαχειριστικό. Οι Managers μπορούν να δημιουργήσουν και να επεξεργαστούν κατηγορίες και άρθρα.
    • Έχουν πρόσβαση στον διαχειριστή πολυμέσων και μπορούν να μεταφορτώσουν και να καταργήσουν πολυμέσα (εικόνες, βίντεο, κλπ). Οι Managers δεν μπορούν να εγκαταστήσουν ή να καταργήσουν επεκτάσεις.
  • Administrator
    • Έχουν όλα τα δικαιώματα των Manager, μαζί με μερικά πρόσθετα δικαιώματα.
    • Έχουν επίσης πρόσβαση στη Διαχείριση χρηστών, Διαχείριση μενού και στις ρυθμίσεις επεκτασεων. Ωστόσο, οι administrators δεν έχουν πρόσβαση στις γενικές ρυθμίσεις.
  • Super User
    • Έχουν πλήρη πρόσβαση. Έχουν όλα τα δικαιώματα των Manager και των Administrator, μαζί με την πρόσβαση στις γενικές ρυθμίσεις.
    • Μόνο οι Super Users μπορούν να προσθέσουν, να επεξεργαστούν και να καταργήσουν άλλους χρήστες.

Είναι σημαντικό να διανείμετε προσεκτικά αυτούς τους ρόλους στην ομάδα χρηστών σας. Οποιοσδήποτε με προνόμια Super User είναι σε θέση να εκτελέσει κάθε ενέργεια μέσα στη σελίδα σας.

Εάν διανείμετε εργασίες σε κάποιο μέλος της ομάδας που απαιτεί λιγότερα δικαιώματα, παραχωρήστε την ελάχιστη απαιτούμενη πρόσβαση.

 

7 - Οι παλιοί, αχρησιμοποίητοι λογαριασμοί είναι ένας άλλος φορέας επίθεσης που πρέπει να γνωρίζουν.

Είναι κοινό για τον ιστότοπο να δημιουργεί έναν αυξανόμενο αριθμό Super Users & Administrators. Αυτό συμβαίνει με τους παλιούς προγραμματιστές που έχουν πρόσβαση σε έναν ιστότοπο ακόμα και μετά την το τελείωμα κάποιου project  στον ιστότοπο.

Μπορεί να έχετε ξεχάσει ότι έχετε δημιουργήσει έναν προσωρινό λογαριασμό, ούτως ώστε ένας προγραμματιστής να μπορέσει να μπει για να λύσει κάποιο πρόβλημα με κάποια από τις επεκτάσεις του ιστότοπου.

Αυτό θα μπορούσε να οδηγήσει εύκολα στην εισβολή ενός hacker που μπορεί να καταφέρει  να εισέλθει στον λογαριασμό και να εγκαταστήσει κάποιο κακόβουλο λογισμικό.

Ποιος είναι ο καλύτερος τρόπος να αποφευχθεί αυτό;

Μεταβείτε στη Διαχείριση χρηστών σας και φιλτράρετε τους Administrator και Super Users.

Joomla administrator

 

Στη συνέχεια, διαγράψτε (ή τροποποιήστε) λογαριασμούς που δεν απαιτούν πλέον πρόσβαση υψηλού επιπέδου.

Joomla User Manager

 

Θυμηθείτε: κάποιος που κάποτε εμπιστευθήκατε με την πρόσβαση Super User θα μπορούσε να επιστρέψει με κακές προθέσεις.

 

8 - Παρακολουθείστε την ιστοσελίδα σας

Η σωστή διαχείριση είναι καθοριστική. Είναι σημαντικό να εγκαταστήσετε εργαλεία  για να σας βοηθήσει να να έχετε μια πλήρη εικόνα του ιστότοπού σας. Η παρακολούθηση προσφέρει μια ευκαιρία έγκαιρης προειδοποίησης για τους πιθανά ζητήματα. 

Έλεγχοι ακεραιότητας: Τα εργαλεία παρακολούθησης της ακεραιότητας αρχείων θα πρέπει κανονικά να εγκατασταθούν σε ένα διακομιστή όπου μπορούν να δημιουργήσουν μια βασική εικόνα των αρχείων σας. Εάν κάποιο αρχείο ή εγγραφή τροποποιηθεί με οποιονδήποτε τρόπο, θα πρέπει λάβετε μια ειδοποίηση για τις αλλαγές.

Έλεγχος ιστοτόπου: Τα εργαλεία ελέγχου σας δίνουν τη δυνατότητα προβολής της δραστηριότητας των χρηστών στον ιστότοπο. Ως διαχειριστής του ιστοτόπου σας θα πρέπει να κάνετε ερωτήσεις όπως αυτές:

  • Ποιος συνδέετε τον ιστότοπό μου στο Joomla; Πρέπει να συνδεθούν;
  • Γιατί αλλάζουν αυτή το άρθρο;
  • Γιατί συνδέονται όταν πρέπει να κοιμούνται;
  • Ποιος έχει εγκαταστήσει αυτό το πρόσθετο;
  • Γιατί κάνουν αυτή την αλλαγή;

Δεν μπορούμε να τονίσουμε αρκετά τη σημασία της δραστηριότητας καταγραφής. Χρησιμοποιήστε ένα εργαλείο που καταγράφει και σας προειδοποιεί για τυχόν ενέργειες που έγιναν στον ιστότοπό σας.

 

9 - Δημιουργία αντιγράφων ασφαλείας

Η διατήρηση των αντιγράφων ασφαλείας του ιστότοπου σας θα πρέπει να είναι μία από τις πιο σημαντικές επαναλαμβανόμενες ενέργειες που κάνετε.

Ένα καλό σύνολο αντιγράφων ασφαλείας μπορεί να σώσει την ιστοσελίδα σας όταν απολύτως όλα τα άλλα έχουν πάει στραβά. Εάν ένας hacker αποφασίσει ότι θέλει να διαγράψει όλα τα αρχεία του ιστότοπού σας ή να πειράξει τα αρχεία του με τα οποιοδήποτε τρόπο, η ζημιά μπορεί να ανακληθεί απλά αποκαθιστώντας τον ιστότοπό σας από τα αντίγραφα ασφαλείας.

Ένα από τα πιο δημοφιλή εργαλεία δημιουργίας αντιγράφων ασφαλείας για το Joomla είναι το Akeeba. Διαβάστε εδώ΄ένα σχετικό κείμενο οδηγιών.

 

10 - Χρήση του HTTPS / SSL

Με ένα πιστοποιητικό SSL, ο ιστότοπός σας θα χρησιμοποιεί το πρωτόκολλο HTTPS για να μεταφέρει με ασφάλεια πληροφορίες μεταξύ του σημείου Α (πρόγραμμα περιήγησης) και του B (διακομιστή ιστού).

Αυτό είναι κρίσιμο όταν διαχειρίζεστε ευαίσθητες πληροφορίες όπως τα στοιχεία της πιστωτικής κάρτας στα eshop και τις προσωπικές πληροφορίες χρήστη στις φόρμες σύνδεσης και επικοινωνίας.

Εκτός από τα πλεονεκτήματα ασφάλειας, οι ιστότοποι Joomla που χρησιμοποιούν SSL λαμβάνουν καλύτερες βαθμολογίες στο Google και βελτιώνουν την απόδοση μέσω της χρήσης του HTTP / 2. Είναι επίσης σημαντικό να κατανοήσουμε ότι το SSL δεν κάνει κάτι για να προστατεύσει τον ιστότοπό σας από κάποιο hacking. Προστατεύει τα δεδομένα των χρηστών και είναι πολύ σημαντικό για ιστότοπους eshop.

 

11 - Χρησιμοποιήστε ένα τείχος προστασίας εφαρμογών

Ένα τείχος προστασίας εφαρμογών Web (WAF) είναι απαραίτητο για κάθε Joomla! για προστασία από τις επιθέσεις DDoS και τα τοπ 10 τρωτά σημεία του OWASP.

Με την ανίχνευση και τον τερματισμό γνωστών μεθόδων και συμπεριφορών hacking, ένα WAF διατηρεί τον ιστότοπο σας προστατευμένο. Επίσης, θα εμποδίσει γρήγορα την προσπάθεια εκμετάλλευσης των τρωτών σημείων στις επεκτάσεις και τα template, ακόμη και πιθανές καινούριες μεθόδους hacking .

Τα περισσότερα WAFs θα προσφέρουν προσωρινή αποθήκευση για ταχύτερη απόκριση της σελίδας σας. Αυτό κρατά τους επισκέπτες σας ευτυχείς και αποδεικνύεται ότι μειώνει τα ποσοστά εγκατάλειψης.

 

12 - Περιορισμός της δημόσιας πρόσβασης

Επιπλέον, μπορείτε επίσης να περιορίσετε την πρόσβαση στα directory / διαχείριση (ή οποιαδήποτε άλλη διαδρομή αρχείου) με επιλογή πρόσβασης μόνο από συγκεκριμένες διευθύνσεις IP. Για να βρείτε την IP σας, δοκιμάστε τη σελίδα What Is My IP.

Εάν δεν υπάρχει αρχείο με όνομα ".htaccess" στο directory / administrator, δημιουργήστε ένα. Στη συνέχεια, προσθέστε τις ακόλουθες γραμμές στο τέλος του αρχείου .htaccess:

Dent from ALL.

Allow from [εισαγάγετε IP διευθύνσεις εδώ]

Εάν χρησιμοποιείτε ένα WAF που βασίζεται σε σύστημα cloud, θα πρέπει επίσης να προσθέσετε τα IP από τον προμηθευτή τείχους προστασίας για να διασφαλίσετε ότι η κυκλοφορία με τη σελίδα σας φιλτράρεται και ότι το WAF μπορεί να επικοινωνήσει με τον διακομιστή σας.


Το όνομα και το λογότυπο Joomla!™ χρησιμοποιούνται στις Ηνωμένες Πολιτείες και σε άλλες χώρες μετά από περιορισμένη άδεια της Open Source Matters. Το joomla.gr δεν σχετίζεται με -ούτε υποστηρίζεται από- την Open Source Matters ή το Joomla!™ Project.


 

joomla.gr logo

Δημιουργήθηκε με τη χρήση του joomla
Συντήρηση - Φιλοξενία: Onscreen Web Services

Στείλτε μας μήνυμα