Siç u fol në postimet e tjera, ne e marrim seriozisht sigurinë në Hostinkos dhe kemi zbatuar disa sisteme për të mbrojtur aplikimet tuaja nga shfrytëzimi. Sidoqoftë, nuk mund të mbrojmë çdo pjesë të softuerëve që klientët operojnë në faqet e tyre – për fat të keq nuk ka asnjë mënyrë të garantuar për të mbrojtur faqet e internetit tuaja nga shfrytëzimi për shkak të dobësive që janë rezultat i mos azhurnimit në lansimet më të fundit, shtesave të koduara dobët ose custom kodit
Ky artikull synon të ofrojë disa këshilla dhe sugjerime që do t’ju ndihmojnë të shtoni një shtesë extra sigurie në instalimet tuaja të Joomla.
Pikat e Rëndësishme
- Gjithmonë mbani të azhurnuar instalimin tuaj të Joomla, duke përfshirë (thelbësisht!) çdo shtesë [ang. extensions] që keni instaluar
- Krijoni një përdorues të ri administratori me një emër përdoruesi të personalizuar dhe më pas fshini përdoruesin e parazgjedhur ‘administrator’ pasi shumë sulme do të synojnë emrat standard të përdoruesve
- Ndryshoni rregullisht fjalëkalimin e llogarisë suaj të administratorit
- Instaloni vetëm shtesa që janë rishikuar mirë nga komuniteti Joomla dhe janë zhvilluar në mënyrë aktive
- Kur instaloni Joomla, ndryshoni prefiksin e parazgjedhur të bazës së të dhënave. Të gjitha instalimet e parazgjedhura të Joomla përdorin parashtesën e bazës së të dhënave të “jos_” e cila e bën punën e çdo shfrytëzuesi [ang. exploiter’s] shumë më të lehtë. Ju mund ta ndryshoni këtë parashtesë në diçka unike gjatë instalimit, dhe nëse e keni instaluar tashmë, shtojca e mëposhtme mund t’ju ndihmojë lehtësisht të ndryshoni parashtesën tuaj të të dhënave Joomla me disa klikime: http://extensions.joomla.org/extensions/hosting- a-serverë / menaxhim të bazës së të dhënave /14895
Sigurimi i Joomla
Më poshtë është një listë e modifikimeve ose rregullimeve të rekomanduara për t’u bërë në instalimet tuaja të Joomla. Lexojeni me kujdes dhe nëse keni ndonjë pyetje mos ngurroni të kontaktoni me ekipin tonë të ndihmës përpara se të vazhdoni.
# 1 – Hiqni përbërësit ose shtesat [ang. extensions] që nuk i përdorni
Nëse provuat një shtesë ose një komponent dhe zbuluat se nuk ishte ajo që prisnit, mos e mbani të deaktivizuar [ang. disabled]. Fshije.
# 2 – Përdorni një komponent SEF
Një nga teknikat më të zakonshme nga hakerat është përdorimi i Google inurl: komanda për të kërkuar një vulnerable exploit. Ne fuqimisht rekomandojmë përdorimin e një shtojce SEF për të rishkruar URL-të tuaja dhe për të parandaluar që hakerat të gjejnë shfrytëzimet. Kjo gjithashtu duhet të përfitojë nga motorët e kërkimit të webfaqes tuaj duke përdorur URL-të miqësore. Kontrolloni shtesat e disponueshme SEF në Joomla: http://extensions.joomla.org/index.php?option=com_mtree&task=listcats&cat_id=1803&Itemid=35
# 3 – Bllokoni disa shftyëzime përmes .htaccess
Shtoni linjat e mëposhtme në skedarin tuaj .htaccess për të bllokuar disa shfrytëzime të zakonshme.
########## Begin - Rewrite rules to block out some common exploits # # Block out any script trying to set a mosConfig value through the URL RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [OR] # Block out any script trying to base64_encode to send via URL RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR] # Block out any script that includes a < script> tag in URL RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR] # Block out any script trying to set a PHP GLOBALS variable via URL RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR] # Block out any script trying to modify a _REQUEST variable via URL RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2}) [OR] # Block out any script that tries to set CONFIG_EXT (com_extcal2 issue) RewriteCond %{QUERY_STRING} CONFIG_EXT([|%20|%5B).*= [NC,OR] # Block out any script that tries to set sbp or sb_authorname via URL (simpleboard) RewriteCond %{QUERY_STRING} sbp(=|%20|%3D) [OR] RewriteCond %{QUERY_STRING} sb_authorname(=|%20|%3D) # Send all blocked request to homepage with 403 Forbidden error! RewriteRule ^(.*)$ index.php [F,L] # ########## End - Rewrite rules to block out some common exploits
# 4 – Mbroni dosjen tuaj “tmp”
Shtoni cron për të fshirë përmbajtjen e rregullatorit të dosjes tmp. Shumica e sulmeve të fundit që kemi parë në Joomla janë bërë për shkak të skedarëve të ngarkuar më parë në dosjen tmp. Ajo që ne rekomandojmë është të konfiguroni një punë cron [ang. cron job] për të fshirë çdo ditë përmbajtjen e kësaj dosjeje, mund të përdorni komandën e mëposhtme:
nice -n 15 /bin/find /home/YOUR-CONTROL-PANEL-USER/public_html/tmp/ -type f -mtime +1 -exec rm -rf {} \;
Ju gjithashtu duhet të çaktivizoni web aksesin në dosjen tmp duke shtuar një skedar .htaccess në të që përmban rreshtin e mëposhtëm:
deny from all
# 5 – Instaloni një shtesë sigurie
Ka shumë shtesa sigurie të ofruara në direktorinë e shtesave apo ekstensioneve Joomla. Disa prej tyre kanë licencë tregtare, disa prej tyre janë falas. Rishikoni dhe zgjidhni atë me vlerësim më pozitiv ose atë që ju përshtatet më shumë: http://extensions.joomla.org/extensions/access-a-security/site-security/site-protection
# 6 – Parandaloni sulmet e forcës brutale [ang. brute force attacks] në follderin e administratorit Joomla
Ju mund të mbroni follderin e administratorit me një kërkesë fillestare të fjalëkalimit përpara faqes standarde të hyrjes në Joomla – thjesht përdorni opsionin “Password Protect Directory” në panelin e kontrollit të llogarisë suaj të web hosting dhe shtoni atë shtresën e dytë të sigurisë për t’u mbrojtur nga ky sulm.