Υποστήριξη
Hosting

Πως μπορώ να κάνω το Joomla! site μου πιο ασφαλές;

Η εφαρμογή Joomla! είναι η πλέον δημοφιλής πλατφόρμα διαχείρισης περιεχομένου (CMS) και χρησιμοποιείται από πολλές ιστοσελίδες παγκοσμίως.

Είναι όμως ιδιαίτερα ευάλωτη και με πολλά κενά ασφαλείας, γεγονός που οφείλεται κυρίως στα χιλιάδες πρόσθετα (plugins) που έχουν γραφτεί για αυτή την εφαρμογή, και τα οποία πολλές φορές δεν δίνουν τη δέουσα προσοχή σε θέματα ασφαλείας. Το ερώτημα Joomla exploit (κενό ασφαλείας στο Joomla) στη μηχανή αναζήτησης Google επιστρέφει 2.700.000 αποτελέσματα!

Πολλές ιστοσελίδες που στηρίζονται στην εφαρμογή Joomla παραβιάζονται καθημερινά σε όλο τον κόσμο και χρησιμοποιούνται κακόβουλα για αποστολή spam, διακίνηση παράνομου υλικού, επιθέσεις σε άλλα δίκτυα και άλλες παράνομες δραστηριότητες, προκαλώντας σε ορισμένες περιπτώσεις ακόμη και νομικά προβλήματα στον ιδιοκτήτη της ιστοσελίδας.

Εκτός από τις παραβιάσεις που οφείλονται στα κενά ασφαλείας, ένας άλλος συνηθισμένος τρόπος για να αποκτήσει κάποιος τρίτος πρόσβαση στο διαχειριστικό τμήμα της εφαρμογής είναι ο εξής:

Μέσω αυτοματοποιημένων κακόβουλων προγραμμάτων, γίνονται συνεχείς απόπειρες εισόδου στο διαχειριστικό περιβάλλον της εφαρμογής Joomla (/administrator/index.php).

Τα προγράμματα αυτά προσπαθούν να μαντέψουν τον κωδικό πρόσβασης του διαχειριστή δοκιμάζοντας τυχαίους κωδικούς (brute force attack).

Λόγω της μεγάλης σφοδρότητας των επιθέσεων (εκατοντάδες απόπειρες το λεπτό) οι παραπάνω ενέργειες προκαλούν υπερβολικό φόρτο στο server που φιλοξενείται η σελίδα που δέχεται την επίθεση. Για το λόγο αυτό είναι σημαντικό να υπάρχει ελεγχόμενη και περιορισμένη πρόσβαση στο φάκελο administrator.

Αυτό μπορεί να γίνει προστατεύοντας την πρόσβαση στο φάκελο administrator με κωδικό.

Η ασφάλεια μιας ιστοσελίδας που στηρίζεται στην πλατφόρμα Joomla μπορεί να ενισχυθεί σημαντικά αν πάρουμε τα παρακάτω απλά μέτρα:

- Προστατεύουμε άμεσα με κωδικό πρόσβασης το φάκελο administrator.

Από το control panel του site μας επιλέγουμε:

Password Protected Directories -> Find a Directory to Password Protect

Με αυτόν τον τρόπο ο server αποκλείει την πρόσβαση σε όλους σε αυτόν τον φάκελο, εξουδετερώνοντας την επίθεση.

- Δημιουργούμε ένα αρχείο κειμένου την ονομασία .htaccess (το όνομα του αρχείου αρχίζει με τελεία .) και προσθέτουμε τον παρακάτω κώδικα:

AddHandler cgi-script .php .php4 .php5 .php6 .pl .py  .htm .html .shtml .sh .cgi
Options -ExecCGI

Στη συνέχεια μεταφορτώνουμε αυτό το αρχείο μέσα στους φακέλους tmp και images.

Πολλά κενά ασφαλείας του Joomla επιτρέπουν σε κακόβουλους χρήστες του διαδικτύου τη μεταφόρτωση αρχείων σε αυτούς τους φακέλους. Στη συνέχεια τα αρχεία αυτά χρησιμοποιούνται με κακόβουλο τρόπο για να βλάψουν την ιστοσελίδα μας. Με τον παραπάνω τρόπο, τα αρχεία αυτά καθίστανται μη εκτελέσιμα.

- Αναβαθμίζουμε στην τελευταία έκδοση joomla της σειράς που χρησιμοποιούμε, για παράδειγμα, την τελευταία έκδοση της σειράς 1.5, 1.6, 1.7, 2.5, 3.0 κτλ. Κάθε νέα έκδοση συνήθως διορθώνει κενά ασφαλείας της προηγούμενης έκδοσης. Αν δεν έχουμε εγκατεστημένη την τελευταία έκδοση της σειράς,πιθανότατα το site μας είναι ευάλωτο και παραβιάσιμο.

- Απεγκαθιστούμε και στη συνέχεια διαγράφουμε τα αρχεία τους από το server όσα πρόσθετα, plugins, modules, templates δεν χρησιμοποιούμε. Πολλές παραβιάσεις γίνονται μέσω αυτών, ενώ είναι πρακτικά άχρηστα. Με την διαγραφή τους μειώνετε τον κίνδυνο παραβίασης της ιστοσελίδας σας.

- Χρησιμοποιούμε πάντα ισχυρούς κωδικούς πρόσβασης. Κωδικοί όπως 123456, admin, password, 123abc κτλ παραβιάζονται σε δευτερόλεπτα.

- Δεν χρησιμοποιούμε "δωρεάν" templates και plugins από αναξιόπιστες πήγες. Τα περισσότερα είναι ήδη μολυσμένα με κακόβουλο κρυπτογραφημένο κώδικα.

- Προσοχή θα πρέπει να δώσουμε επίσης στα δικαιώματα αρχείων και φακέλων (CHMOD). Τα δικαιώματα των αρχείων .php θα πρέπει να είναι 644 και των φακέλων 755. Σε καμία περίπτωση δε θα πρέπει αρχεία και φάκελοι να έχουν δικαιώματα 777, να είναι δηλαδή εγγράψιμα. Ειδικά για το αρχείο configuration.php, τα δικαιώματα καλό θα ήταν τα δικαιώματά του να είναι 444. Μόνο σε περίπτωση που πραγματοποιούμε αλλαγές στο αρχείο αυτό, μπορούμε να τα αλλάξουμε προσωρινά σε 644 και στη συνέχεια, αφού ολοκληρωθούν οι αλλαγές μας, να τα αλλάξουμε ξανά σε 444.

Τα λογότυπα Internet Promotions και IP.GR είναι κατοχυρωμένα εμπορικά σήματα της IP.GR  |  IP.GR web hosting and domain registration services in Greece