Як забезпечити нову установку Joomla?

Які дії слід здійснити після нової установки Joomla, щоб забезпечити її безпеку? Як на спільних хостинг-серверах, так і на виділених серверах.

Захист веб-сайту Joomla

1. Використовуйте надійні паролі.
2. Мінімізуйте кількість облікових записів адміністратора.
3. Вимкнення або видалення невикористаних облікових записів користувачів.
4. Мінімізуйте кількість розширень сторонніх розробників і там, де необхідні розширення сторонніх розробників, використовуйте добре підтримувані розширення від відомих розробників, яким ви довіряєте.
5. Регулярно застосовуйте останні оновлення до розширень Joomla та сторонніх розробників, включаючи виправлення безпеки для версій Joomla EOL, де це можливо.
6. Підпишіться на канал новин безпеки Joomla, щоб ви були в курсі основних оновлень безпеки Joomla
7. Підпишіться на список вразливих розширень Joomla (VEL), щоб можна було швидко відвідати нові вразливості. Прокрутіть донизу сторінки посилання на підписку - ви також можете перейти за VEL у Twitter .
8. Використовуйте безпечний веб-хостинг хорошої якості, включаючи відповідний обробник файлів PHP, такий як suPHP або FastCGI та розширення безпеки, такі як mod_security. Використовуйте підтримувану версію PHP .
9. Замість того, щоб покладатися виключно на резервні копії веб-хостингу, регулярно виконайте власні резервні копії веб-сайту, копіюйте файли резервних копій за межами сайту та регулярно виконайте тестові відновлення до тестового місця, щоб перевірити якість ваших резервних копій.
10. Увімкнути https.
11. Реалізуйте брандмауер веб-додатків, такий як той, який надається у професійній версії Akeeba Admin Tools.
12. Не використовуйте стандартний префікс таблиці.
13. Змініть ім'я та ідентифікатор користувача Super Administrator за замовчуванням на щось інше. У професійній версії Akeeba Admin Tools є інструмент для зміни ідентифікатора Super Administrator.
14. Обмежте доступ до IP-адреси Joomla через IP. Дозволити лише надійні IP-адреси.
15. Увімкніть двофакторну автентифікацію для облікових записів адміністратора (стосується Joomla 3.2 та новіших версій).
16. Повторіть наведені вище дії для інших веб-сайтів, які мають той самий обліковий запис хостингу, або в ідеалі, окремі веб-сайти для власних облікових записів веб-хостингу, щоб запобігти перехресному забрудненню.
17. Переконайтесь, що персональні комп’ютери адміністраторів веб-сайтів захищені аналогічно. Наприклад, застосуйте сканер хорошої якості на віруси та зловмисне програмне забезпечення. Це допомагає захистити будь-які облікові дані веб-сайтів, які зберігаються на персональних комп’ютерах. Ідеально використовувати інструмент чи додаток для шифрування для зберігання веб-сайтів та інших облікових даних.
18. Прочитайте Топ-10 найглухіших хитрощів адміністратора, щоб дізнатися, що не робити.

Детальніші інструкції див. В офіційному контрольному списку безпеки .

Дуже важливо зберігати резервні копії на окремому сервері. Я бачу дуже багато людей, які сумлінно виконують резервні копії Akeeba ... і вони зберігаються на одному сервері в одному кореневому каталозі. Не так корисно, якщо вас зламують серйозно, і, звичайно, не корисно відновитись після відмови в хостінгу.

Akeeba Backup Pro дозволяє зберігати та керувати файлами резервного копіювання у зовнішніх сховищах, як хмара Amazon.

В якості альтернативи .htaccess-файлу або блокуючи його IP-адресою, ви також можете використовувати jSecure для захисту свого адміністратора.

Одне, що не згадувалося, - це використання авторитетного хостинг-провайдера. Ви хочете той, який не тільки буде в курсі безпеки, але також буде працювати з вами, якщо вас зламали або виникла проблема (наприклад, база даних пошкоджується). Ідея полягає у обмеженні шкоди, яку робить ваш сайт, дозволяючи вам очистити його.

Основна ідея, ти хочеш того, хто ..

• буде навколо
• це не цілодобова операція
• буде працювати з вами
• і забезпечує міцне середовище.

Якщо ви хочете зі списком питань, щоб задати господареві, щоб краще відчути себе, просто дайте мені знати.

Сподіваюся, це допомагає.

Спробуйте і це,

• Слідкуйте за оновленнями Joomla разом із її розширеннями.
• Регулярно зберігайте резервні копії свого веб-сайту у хмарах .
• Не відкривайте robots.txtдля захищених папок.
• Для останніх версій Joomla використання двофакторної аутентифікації буде більш безпечним.
• Переконайтеся, що в папках та файлах дозволені правильні дозволи.
• Використовуйте Cloudfare для Joomla .

Сподіваюся, що це допомагає ..

Згідно з моїм досвідом, розмір Joomla не може реально забезпечити його повністю. Тож швидше, ніж ідеальна політика безпеки, яка все це зупиняє, найкраще знизити ваші очікування, щоб спробувати зменшити загальний збиток.

Це можна зробити за допомогою надзвичайно частої політики резервного копіювання, щоб при будь-якому вторгненні сайт можна було відкотити назад, а також сканувати зловмисне програмне забезпечення. Поки що жодного злому у нас не було через те, що наша адміністративна панель була жорстокою.

Більшість хакерів, які ми бачимо, - із сторонніх компонентів або ядра Joomla, ми навіть бачили, як хакам вдається потрапити і в останні версії Joomla. Це тому, що хак може виглядати як звичайний запит, використовуючи погану фільтрацію для натискання файлу на сервер. Після того, як файл на сервері, все є чесною грою, він може знаходитися на будь-якому сайті на всьому загальному сервері і все одно впливати на ваш, тому якщо одна людина на спільному сервері не буде в курсі, це може вплинути на вас.

Це може бути трохи крайнім, але грунтуючись на особистому досвіді, найкраще бути готовим до гіршого, а потім переконатись у тому, що ваша політика все це заважатиме.

Тож найкращий спосіб забезпечити нову установку Joomla - це часто створювати резервну копію та включати сканування шкідливих програм. Якщо сканер шкідливого програмного забезпечення може надіслати вам електронний лист, як тільки щось знайде, ви зможете повернутися до останньої резервної копії за дуже короткий проміжок часу.

1. Змініть ім’я користувача та збережіть пароль адміністратора міцним, використовуйте двофакторну автентифікацію (вбудовану для 3.3+, для інших http://www.readybytes.net/labs/two-factor-authentication.html )

2. Встановіть kSecure ( http://extensions.joomla.org/extensions/access-a-security/site-security/login-protection/12271 )

3. Захистіть свій веб-сайт від різних атак, використовуючи цей htaccess http://docs.joomla.org/Htaccess_examples_(security)

Запозичення цього списку з довідки "Пен-тестування сайту Joomla", знайденої в блозі. Я думаю, що цей список є ретельним орієнтиром щодо основ безпеки Joomla.

1. Завжди інформуйте вас про Joomla. Встановіть останню оновлення, як тільки оновлення буде випущено.
2. Які б розширення не використовувалися, вони повинні бути належним чином зафіксовані останніми версіями оновлення. Будь-яке старе розширення може дати зловмисникові спосіб компрометувати сайт.
3. Не використовуйте розширення, які не використовувались або не були перевірені належним чином.
4. Усі введення користувачів повинні бути належним чином підтверджені. Ці входи можуть бути введеннями у формах, URI, завантаженням зображень тощо. Припустимо, якщо кнопка BROWSE дозволяє користувачеві завантажувати зображення, вона повинна лише дозволити йому завантажити зображення, а не оболонку PHP, яка згодом може працювати як backdoor on сервер.

5. Використовуйте надійні паролі для всіх входів. Щонайменше 8 символів, один спеціальний символ, одне число та одна літера, що відрізняється від регістру. Це захистить вашу установку від грубої сили.

6. Завжди слідкуйте за "Останніми відвідувачами" у файлах журналу веб-сервера, щоб виявити потенційні атаки. Ніколи не вважайте свої файли журналів лише частиною інформації. Це дуже корисно для відстеження та моніторингу користувачів.

7. Поставте деякий стрес для впровадження більшої безпеки для всього сервера, на якому розміщений веб-сайт Joomla; як він розміщений на спільному сервері або на спеціальному сервері.

8. Складіть список усіх розширень, які ви використовуєте, і продовжуйте їх моніторинг.

9. Будьте в курсі останніх уразливостей та розкриттів у різних рекомендаціях щодо безпеки. Exploit-db, osvdb, CVE тощо - деякі хороші ресурси.

10. Змініть дозвіл на файл .htaccess таким, яким він є за замовчуванням, використовуючи дозволи на запис (оскільки Joomla має його оновлювати). Найкращою практикою є використання 444 (r-xr-xr-x).

11. Належні права доступу до файлів у загальнодоступних каталогах повинні бути надані таким чином, щоб будь-який шкідливий файл не повинен бути завантажений чи виконаний. Найкраща практика в цьому контексті - 766 (rwxrw-rw-), тобто лише власник може читати, писати та виконувати. Інші можуть лише читати і писати.

12. Ніхто не повинен мати дозволу писати у файли PHP на сервері. Усі вони мають бути встановлені з 444 (r — r — r--), кожен може читати лише.

13. Делегуйте ролі. Це робить ваш обліковий запис адміністратора безпечним. Якщо хтось увірвається у вашу машину, він повинен мати доступ лише до відповідного користувача, а не до облікового запису адміністратора.

14. Користувачі бази даних повинні мати лише дозвіл на надання таких команд, як рядки INSERT, UPDATE та DELETE. Їх не можна допускати до таблиць DROP.

15. Змініть назви папок, які можна створити, наприклад, ви можете змінити / адміністратора на / admin12345. 16. Останнє, але не в останню чергу, постійно оновлюйте останні вразливості.

    • Повний документ можна знайти тут: http://www.exploit-db.com/wp-content/themes/exploit/docs/22763.pdf

Ваша перша лінія захисту - ваш хостинг

• Орендуйте виділений сервер від надійної послуги хостингу
• Переконайтеся, що ви активуєте 2FA на своєму сервері та використовуєте пароль "ДУЖЕ СИЛЬНО"
• Встановіть на свій сервер надійний брандмауер - я використовую ConfigServer
• Встановити / налаштувати антивірусну програму, я використовую ClamAV
• Переконайтеся, що кожне ім’я користувача веб-сайту НЕ використовує 1-й 8 символів доменного імені та використовує пароль "ДУЖЕ СИЛЬНО"
• Переконайтеся, що на кожному веб-сайті встановлено сертифікат SSL
• Переконайтеся, що на кожному веб-сайті є "У в'язниці", тобто вони не мають кореневого доступу, якщо вам не потрібен доступ до кореня сервера. У цьому випадку переконайтеся, що у вас встановлена ​​та налаштована безпечна оболонка (SSH). Я використовую веб-сайт свого домену, але всі інші веб-сайти "У в'язниці".
• Переконайтесь, що всі оновлення сервера встановлені негайно !!!!

Наступна лінія захисту - ваш cPanel

• Використовуйте пароль "ДУЖЕ СИЛЬНО"
• Налаштуйте надійність пароля для користувачів
• Налаштуйте роботу cron, щоб зробити повну резервну копію cPanel та зберегти до зовнішнього джерела
• Переконайтеся, що cPanel налаштований для використання SSL для доступу
• Запустіть "Перевірка безпеки сайту", щоб побачити, які ще можливі зміни
• Переконайтесь, що всі оновлення cPanel будуть встановлені негайно !!!!

Наступна лінія захисту - панель адміністратора

• Відредагуйте вимоги до формату пароля, щоб забезпечити надійні паролі (великі та малі символи, цифри та принаймні 1 розділовий знак з мінімальною довжиною 18 символів.
• Увімкнути 2FA для користувачів - використовувати для акаунтів Super User та Administrator
• Обмежте кількість облікових записів Super User (найкраще мати лише один)
• Обмежте кількість облікових записів адміністратора (чим менше, тим краще)
• Обмежте сфери, до яких можуть отримати доступ адміністратори
• Обмежте сфери доступу до видавців, редакторів та авторів
• Встановлення та налаштування AdminTools
• Налаштування пароля URL-адреси адміністратора через AdminTools
• Переконайтесь, що критичні файли (HTACCESS, ROBOTS.TXT, WEBCONFIG, INDEX.PHP (як кореневі, так і шаблонні) встановлені на 444. Ви можете редагувати файли через менеджер файлів панелі керування cPanel pr Plesk
• Встановлення та налаштування AkeebaBackup
• Налаштуйте AkeebaBackup для збереження резервних копій зовні, поза межами сайту
• Встановлюйте надбудови лише через сторінки Joomla Extension, ніколи не встановлюйте надбудову від сторонніх осіб, які не вказані на сторінці розширення Joomla.
• Вимкнути та / або видалити додатки, які не використовуються та не потрібні для функцій Joomla
• Встановіть Joomla та додаткові оновлення негайно !!!

Я впевнений, що є інші кроки, але це основні з них, які я використовую на своєму сервері, що розміщує понад 70 веб-сайтів з усієї країни. Нещодавно у мене була масштабна атака, схожа на DDoS-атаку, і жоден веб-сайт не був доступний. Я начебто відчував висоту 10 футів і куленепробивний, але я знаю, що не можу поступатися, оскільки завтра - ще один день! Лол

1. Я не прихильник двофакторної аутентифікації

2. Встановіть Akeeba Admin Tools, увімкніть розширений htaccess, перевірте параметри та брандмауер програмного забезпечення

https://www.akeebabackup.com/download/admin-tools.html

1. Увімкнути пароль URL-адреси бекендера