Το Joomla κατά καιρούς παρουσιάζει αρκετές σοβαρές ευπάθειες που μπορούν να επιτρέψουν σε ανεπιθύμητους χρήστες να αποκτήσουν πρόσβαση στην ιστοσελίδα σας. Σε περίπτωση που πιστεύετε πως κάποιος έχει πρόσβαση στο Joomla site σας καλό θα ήταν να ακολουθήσετε τα παρακάτω βήματα για την καλύτερη ασφάλιση του.
- Βρείτε και διαγράψτε ύποπτους χρήστες
- Αλλάξτε τους κωδικούς όλων των χρηστών
- Προστατέψτε τον φάκελο administrator με κωδικό πρόσβασης
- Ενημερώστε μας για περαιτέρω έλεγχο
Βήμα 1: Βρείτε και διαγράψτε ύποπτους χρήστες
Το πρώτο πράγμα που θα πρέπει να κάνετε είναι να ψάξετε στη λίστα των εγγεγραμμένων χρηστών για λογαριασμούς που δεν γνωρίζετε ή που έχουν δικαιώματα τα οποία δεν έχετε εσείς προηγουμένως εκχωρήσει.
Κάντε σύνδεση ως διαχειριστής στο πίνακα ελέγχου του Joomla.
Πηγαίνετε στην επιλογή Users που βρίσκεται στο αριστερό μενού.
Από εδώ ελέγξτε τη στήλη User Groups όλων των χρηστών σας και δείτε τι δικαιώματα έχει ο κάθε χρήστης. Οποιοσδήποτε χρήστης έχει διαβαθμισμένα δικαιώματα όπως Author, Editor και Publisher είναι επικίνδυνος με ιδιαίτερη προσοχή σε αυτούς που έχουν δικαιώματα Manager ή Administrator. Θα πρέπει να βεβαιωθείτε πως σε αυτούς δεν υπάρχει κάποιος κακόβουλος εξωτερικός χρήστης.
Αν βρείτε κάποιο τέτοιο χρήστη επιλέξτε τον κάνοντας κλικ στο κουτάκι ελέγχου μπροστά από τη γραμμή του ονόματος του και έπειτα στο κουμπί X Delete στη μπάρα πάνω από τη λίστα χρηστών. Μπορείτε να επιλέξετε και να διαγράψετε πολλούς χρήστες μαζί.
Βήμα 2: Αλλάξτε τους κωδικούς όλων των χρηστών
Αφού βεβαιωθείτε πως όλοι οι χρήστες που έχουν μείνει στη σελίδα σας είναι αξιόπιστοι θα πρέπει να αλλάξετε τους κωδικούς τους έτσι ώστε αν κάποιος κακόβουλος έχει αποκτήσει αντίγραφο τους να μη μπορεί να ξανά συνδεθεί με αυτά τα στοιχεία.
Κάντε σύνδεση ως διαχειριστής και πηγαίνετε στην επιλογή Users από το αριστερό μενού όπως κάναμε και στο προηγούμενο βήμα. Από εδώ επιλέξτε τον χρήστη που θέλετε και πατήστε το κουμπί Edit στη μπάρα από πάνω. Στην επόμενη οθόνη επεξεργαστείτε τα πεδία Password και Retype Password με την επιθυμητή τιμή που θέλετε.
Και μετά κάντε κλικ στο πράσινο κουμπί Save.
Θα πρέπει να το κάνετε αυτό για κάθε χρήστη, ειδικά για τους Administrators και τους Managers.
Βήμα 3: Προστατέψτε τον φάκελο administrator με κωδικό πρόσβασης
Κάντε σύνδεση στο cPanel σας.
Μετά κλικ στο εικονίδιο Password Protect Directories που βρίσκεται κάτω από την ενότητα Security.
Επιλέξτε Web Root (φροντίστε να είναι επιλεγμένη η εμφάνιση κρυφών αρχείων - Show Hidden Files (dotfiles) )
Κάντε κλικ στο εικονίδιο του φακέλου public_html και μετά στο όνομα του καταλόγου administrator τον οποίο θέλουμε να προστατεύσουμε με κωδικό πρόσβασης.
Επιλέξτε το πλαίσιο Password protect this directory και στη συνέχεια συμπληρώστε το πεδίο Enter a name for the protected directory. Αυτό θα εμφανίζεται σαν μήνυμα στους επισκέπτες όταν προσπαθούν να συνδεθούν και μπορεί να είναι οτιδήποτε θελήσετε εσείς. Μετά κάντε κλικ στο κουμπί Save απο κάτω.
Στη συνέχεια κάντε κλικ στο Go Back.
Συμπληρώστε ένα Όνομα Χρήστη και ένα Κωδικό Πρόσβασης στο κάτω μέρος της σελίδας και μετά κάντε κλικ στο Add or Modify The Authorized User.
Στην επόμενη σελίδα επιλέξτε Go Back.
Για να διασφαλίσετε ότι ο κατάλογος σας έχει προστατευτεί, επισκεφτείτε τον μέσα από το πρόγραμμα περιήγησης σας (browser) www.onomaselidas.com/administrator/. Εάν το πρόγραμμα περιήγησης σας ζητά να κάνετε login, τότε ο φάκελος σας έχει προστατευτεί με κωδικό πρόσβασης.
Σημείωση! Αν κατά τη πρόσβαση σας στο φάκελο administrator εμφανίζεται μήνυμα λάθους Error 404 σε αυτή τη περίπτωση θα πρέπει να γίνει ένα ακόμη βήμα ώστε να μπορεί να προστατευτεί σωστά ο φάκελος με κωδικό πρόσβασης.
Πηγαίνετε στο cPanel στη κατηγορία Files και ανοίξτε τον File Manager. Από εκεί επιλέξτε και ανοίξτε το φάκελο administrator. Μετά κάντε δεξί κλικ και επιλέξτε Edit στο αρχείο .htaccess . Θα βρεθείτε στη σελίδα επεξεργασίας όπου θα πρέπει να προσθέσετε τη παρακάτω γραμμή κώδικα στο τέλος του αρχείου.
ErrorDocument 401 "Authorisation Required"
Κάντε κλικ στο κουμπί Save πάνω δεξιά.
Δοκιμάστε πάλι να επισκεφτείτε τη σελίδα σας για να βεβαιωθείτε πως η προστασία με κωδικό λειτουργεί πλέον κανονικά.
Βήμα 4: Ενημερώστε μας για περαιτέρω έλεγχο
Σε περίπτωση που εντοπίσετε ότι η σελίδα σας παραβιάστηκε ενημερώστε μας και το τεχνικό τμήμα της IP.GR θα πραγματοποιήσει έλεγχο με εξελιγμένο αντιικό λογισμικό για να βρει αρχεία κακόβουλου λογισμικού που ίσως έχει προσθέσει ο ανεπιθύμητος χρήστης.
