Kuidas kaitsta Joomla CMS lehte…
Statistiliselt võttes arvavad palju inimesed tänini et Joomla ver.1.5 on kõige uuem ja parem sisuhaldustarkvara ning ainult baasinstallist piisab et leht oleks turvaline – paraku see aga nii ei ole.Mida peaks tegema et leht oleks turvaline:
- Ärge kasutage vaikimisi administraatori kontot “admin” vaid muutke selle nimi ära!
- Joomla CMS’i installides ärge kasutage vaikimisi andmebaasi SQL tabeli perfixi “jos_” – muutke see ära mistahes kujule a’la “XXXXXXXX_” , kus XXXXXXXX on teiepoolt vabalt valitud lühend
- Kasutage oma kontol ainult tugevaid paroole mida ei ole võimalik nö “sõnaraamatu” ründega kõrvaldada. Näide:
Ei ole hea parool: roosiõis (Ründega tuvastatav - lihtne - ei ole tÕsTuTuNdLik, ei sisalda erimärke ega numbreid, liiga lühike) Hea parool: R0o5i6i$. (küll liiga lühike kuid muud turvanõuded on täidetud)
- Kasutades File Manager’i või FTP programmi, muutke kõigi Joomla kaustade õigused “755” ja failidel “644” . Kui teil on võimalus kasutada CRON’i, saate seda teha ka:
Failidele: find /home/xxxxxx/domains/xxxxxxx.com/public_html -type f -exec chmod 644 {} ; Kaustadele: find /home/xxxxxx/domains/xxxxxxx.com/public_html -type d -exec chmod 755 {} ;
- Lisage oma Joomla /administrator/ kataloogi .htaccess fail, millega lubate ligipääsu ainult enda IP’ga arvutilt (NB! Toimib kui teil on staatiline IP, dünaamilise IP korral võib IP aadress muutuda)
order deny,allow deny from all allow from YOURIPADDRESS
Kui teil on mitu IP aadressi, siis toimige järgnevalt:
order deny,allow deny from all allow from YOURIPADDRESS YOURSECONDIPADDRESS
- Viige “configuration.php” turvalisse kataloogi väljapool “public_html” kausta ja nimetage see ümber (Näiteks: joomla.conf) . Looge uus “configuration.php” milles oleks järgnev kood (kasutades eeltoodud näidet)
<?php require( dirname( __FILE__ ) . '/../joomla.conf' ); ?>
“/../” peaks siis näitama täpset asukohta!
Muutke ära failiõigused configuration.php’l: 644 - Uuendage oma Joomla CMS versioon ja moodulid ning pluginad ALATI kõige uuemate vastu! See parandab turvavead, mis on raporteeritud kolmandate osapoolte poolt ning ei luba ründajatel teie veebilehega kurjasti käituda. NB! See ei kõrvalda aga kogu probleemi olemust!
- Kontrollige oma Joomla lisamooduleid ja pluginaid üldtuntud vigade nimekirja vastu: http://vel.joomla.org/index.php/live-vel
- Kasutage korralikke turvalisusmooduleid/pluginaid! (re-Captha laadne plugin oleks soovituslik installida et suvalised spammibotid ei saaks spämmida.)
Need oleksid esialgsed soovitused kuidas teha oma Joomla lehte turvalisemaks.
Tehnilisemat ja targemat juttu leidub: http://docs.joomla.org/Security_Checklist . Kui juba on leht lahti häkitud siis: http://docs.joomla.org/Security_Checklist/You_have_been_hacked_or_defaced
NB! Võimaluse korral soovitaksin ka kasutada CloudFlare lisateenusena – kuna antud lisa toimib puhverserverina ning ei lase enamus pahalasi teie domeenini kui õigesti konfigureeritud.
On olemas ka igasuguseid lisavõimalusi – Kui teie hostingupakkuja pakub automaatset Joomla installi võimalust, siis päärduge tema poole täpsemate juhiste saamiseks.
Edu!
.htaccess Veebilehe probleemid ja kuidas neid uurida…