Aσφαλές Joomla site με 8 κινήσεις

Έχετε φτιάξει ένα ή περισσότερα sites με το Joomla και κάποιος κακόβουλος χρήστης (τύπου χάκερ 🙂 του έκανε ζημιά; Τότε είναι η ώρα να λάβετε σοβαρά υπ’όψιν σας την παράμετρο ασφάλεια στο Joomla σας.

Δείτε μαζί μας, μερικές συμβουλές για ένα ασφαλές και… υγιές Joomla site!

Κινήσεις για ένα ασφαλές Joomla site

1. Αναβαθμίζετε το Joomla σας, συχνά!

Το Α και το Ω στην ασφάλεια των web εφαρμογών σαν το Joomla, WordPress, Drupal κλπ είναι η άμεση αναβάθμιση στην επόμενη έκδοση όταν κυκλοφορήσει νέα έκδοση της εφαρμογής ή μια μικρότερη (αλλά εξίσου σημαντική) ενημέρωση ασφαλείας (security update). Έτσι, θα διορθωθούν όποια κενά ασφαλείας υπήρχαν και είχαν εντοπιστεί στην προηγούμενη έκδοση.

Εγγραφείτε στο newsletter του Joomla από τη σελίδα http://www.joomla.org/download.html

και στις υπόλοιπες λίστες, twitter, facebook ή youtube  http://www.joomla.org/mailing-lists.html

[important]Προσοχή: θα πρέπει πάντα να κάνετε ένα backup του site σας πριν κάνετε οποιαδήποτε αναβάθμιση, ώστε να μπορέσετε να το επαναφέρετε σε λειτουργία αν κάτι δεν πάει καλά.[/important]

Ένα άλλο σημαντικό που συχνά παραβλέπεται από τους χρήστες, είναι η αναβάθμιση των πρόσθετων (add-ons, extensions) που έχετε περάσει στο site σας.

Αφήνοντας ένα Joomla component χωρίς αναβάθμιση, μπορεί να λειτουργήσει σαν Δούρειος Ίππος για επιθέσεις στο site σας. Δείτε λίστα με ευπαθή Joomla extensiosn: http://docs.joomla.org/Vulnerable_Extensions_List

2. Χρησιμοποιήστε μόνο τα απαραίτητα Add-ons

Για το Joomla έχουν φτιαχτεί χιλιάδες εφαρμογές τρίτων (components-modules-plugins). Αν και οι περισσότερες συμβαδίζουν με τους κανόνες ασφάλειας του Joomla, πολλές από αυτές έχουν κακογραμμένο κώδικα και  ίσως να προκαλέσουν κενά ασφαλείας στο Joomla σας. Για του λόγου το αληθές: http://docs.joomla.org/Vulnerable_Extensions_List

Οπότε θα πρέπει να έχετε μέτρο στη χρήση τους και να κάνετε έλεγχο πριν την εγκατάσταση τους.
Πάντα να τεστάρετε μια εφαρμογή σε ένα δοκιμαστικό περιβάλλον, πριν το εγκαταστήσετε στο website σας και να διαβάζετε τα σχόλια που αφήνουν οι άλλοι χρήστες στην ιστοσελίδα του πρόσθετου.

[notice]Εάν εγκαταστήσατε κάποιο πρόσθετο που τελικά δεν χρησιμοποιήσατε ή δεν έκανε τη δουλειά που θέλατε, μην το κάνετε μόνο unpublish αλλά UNINSTALL (απεγκατάσταση), γιατί αλλιώς τα αρχεία θα παραμείνουν στο domain σας.[/notice]

3. Αλλάξτε το Όνομα Χρήστη (username) σας

Αν το έχετε αφήσει admin είναι επικίνδυνο, ενώ αν το αλλάξετε σε κάτι τυχαίο (πχ dbet5rf2f3d) θα προστατευθείτε από πολλές κακόβουλες επιθέσεις.

Η αλλαγή γίνεται από το μενού «User Manager» —> κλικ πάνω στο Όνομα Χρήστη σας —> Αλλάξτε το Username σε κάτι άλλο και πατήστε Save.

Παρομοίως και ο κωδικός πρόσβασης (password) θα πρέπει να είναι τυχαίος συνδυασμός αριθμών, χαρακτήρων και συμβόλων, τουλάχιστον 8 ψηφίων, πχ &R!%8354d7@j και σε καμία περίπτωση κάτι εύκολο.

[notice]Ίσως περιττό, αλλά και ο κωδικός εισόδου στο FTP σας πρέπει να είναι εξίσου, πολύ ισχυρός, πχ oS*V9n969$Wf [/notice]

4. Αλλάξτε το default table prefix της MySQL του Joomla

Αν έχετε έκδοση Joomla 1.x, 1.5.x, 1.6.x η αλλαγή του προθέματος (default prefix) στην ονομασία της MySQL θα βοηθήσει ενάντια στις επιθέσεις που τυχόν γίνουν στo site σας. 

[important]Από την έκδοση 1.7 και μετά, το Joomla παράγει ένα τυχαίο πρόθεμα στο όνομα της βάσης, οπότε είστε καλυμμένοι.[/important]
Μπορείτε να αλλάξετε το prefix (jos_) μέσα από το περιβάλλον διαχείρισης του site σας > «Site» —-> «Global Configuration» —->«Server» —–> «Database Settings» —-> αλλάξτε το πρόθεμα στο πεδίο «Database Tables Prefix».

Αλλιώς, από το File Manager του domain στο Plesk σας —-> ανοίξτε το αρχείο configuration.php —->  αλλάξτε στη γραμμή var $dbprefix = ‘value’ σε π.χ. var $dbprefix = ‘jos_’

5. Προστατεύστε το admin σας με κωδικό

Επιπλέον, μπορείτε να επιβάλετε την εισαγωγή Ονόματος Χρήστη και Κωδικού Εισόδου στην περιοχή του Διαχειριστικού σας (έτσι θα χρειάζεται να κάνετε δύο φορές σύνδεση), πρίν ακόμη εμφανιστεί η οθόνη σύνδεσης στο Διαχειριστικό του Joomla σας.

Από το Plesk σας κάντε κλικ στο domain σας —-> Files —> File Manager —-> Password Protected Directories —-> κλικ στο “Add Protected Directory” —–> γράψτε το όνομα του φακέλου που θέλετε να προστατεύσετε με κωδικό (πχ τον /administrator) —-> πατήστε πάνω στο όνομα του φακέλου —–> κλικ στο “Add new user” και εισάγετε το Όνομα Χρήστη και τον Κωδικό που θέλετε.

Έτσι, ακόμα και αν κάποιος ξέρει τα στοιχεία εισόδου στο admin σας, δεν θα μπορεί καν να προσεγγίσει στο περιβάλλον διαχείρισης του Joomla σας.

[notice]Αν μετά από αυτές τις ενέργειες προστασίας με κωδικό, δε λειτουργούν σωστά κάποια add-ons/plug-ins/componets του Joomla σας, αφαιρείτε το plugin/component ή απενεργοποιήστε την προστασία κωδικού που φτιάξατε στο admin σας.[/notice]

[important]Μια πολύ καλη εφαρμογή που μπορεί να σας βοηθήσει για αυτό το σκοπό είναι το Secure Authentication. Με αυτό το plugin μπορείτε να αποκρύψετε την περιοχή διαχειριστή σύνδεσης από απρόσκλητους επισκέπτες και hackers.[/important]

6. Σωστά permissions (δικαιώματα) στα αρχεία του Joomla

Tα δικαιώματα (permissions) των (PHP και μη) αρχείων πρέπει να είναι 644, τα Config αρχεία να είναι στο 666 και όλοι οι υπόλοιποι φάκελοι στο 755. Αρχεία και φάκελοι θα πρέπει να έχουν permissions 777,  μόνο όταν κάποιο script απαιτεί δικαιώματα εγγραφής πάνω στο αρχείο ή στο φάκελο. Στους servers της dnHost έχουμε φροντίσει για απροβλημάτιστη στη χρήση και ασφαλή εγκατάσταση του Joomla.

7. Φιλοξενήστε το σε ασφαλή κι αξιόπιστο host.

Είναι πολύ σημαντικό ο πάροχος hosting να τηρεί ισχυρά μέτρα ασφαλείας στους servers του αλλά και να μπορεί να σας παράσχει άμεσα backup, αν το χρειαστείτε. Στη dnhost έχουμε αναγάγει την ασφάλεια σε πολύ πιο υψηλό επίπεδο απ’ότι συνηθίζεται στην αγορά hosting και παρέχουμε backup έως και 2 εβδομάδες πίσω.

Επίσης, παρέχουμε το Joomla προεγκατεστημένο (που σημαίνει ότι δεν χρειάζεται να ανεβάσετε όλα τα αρχεία στο server και να κάνετε όλες εκείνες τις κινήσεις για να το εγκαταστήσετε, αλλά είναι έτοιμο για χρήση με 2 κλίκ και τη συμπλήρωση λίγων στοιχείων).

Εργαλεία για περισσότερη ασφάλεια στο Joomla

1. 1. Η κοινότητα του OWASP έχει αναπτύξει το open source Joomla Vulnerability Scanner Project που θα πρέπει να ελέγξετε και να δοκιμάσετε στο site σας.
   2. [warning]Για περισσότερους ελέγχους στην ασφάλεια του Joomla σας, ρίξτε μια ματιά και στο http://docs.joomla.org/Category:Security_Checklist[/warning]
   3. Για να έχετε πλήρη εικόνα και είστε ενημερωμένοι αν κάτι δεν πάει καλά με το/τα Joomla sites και τα Extensions τους, υπάρχει το JMonitoring και είναι ιδανικό για διαχειριστές πολλών Joomla εγκαταστάσεων.
   4. Επίσης, το RSFirewall και το JFirewall προστατεύουν το Joomla από επιθέσεις & ευπάθειες και σας βοηθάνε να μείνετε ενήμεροι για νέες εκδόσεις του Joomla.

1. [warning]Φυσικά αξίζει να δοκιμάσετε και τα Admin Tools του Αkeeba Βackup, που έχει επιμεληθεί ο Έλληνας Νικόλαος Κ. Διονυσόπουλος -καμάρι :)- που σας βοηθάει να ενημερώνετε, βελτιστοποιείτε, συντηρείτε, εξασφαλίζετε, προστατεύετε, αυτοματοποιείτε (ούφ!) το Joomla σας!![/warning]
2. Αν είστε webmaster, δείτε την αναβαθμισμένη έκδοση του εργαλείου ελέγχου ασφάλειας Joomscan (απαιτεί εγκατάσταση Perl).  Eίναι ένα signature-based εργαλείο σάρωσης που μπορεί να ανιχνεύσει ευπάθειεςτύπου file inclusion, SQL injection, command execution, XSS, DOS, Directory Traversal σε ένα Joomla site.
   Κατεβάστε το Joomascan για Windows ή για Linux ενώ υπάρχει και σχετικό forum. Οδηγίες για χρήση σε περιβάλλον Linux εδώ και για Windows εδώ. Μέσω του Joomscan μπορείτε να ελέγξετε για νέες αναβαθμίσεις με την εντολή: ./joomscan.pl ή ./joomscan.pl update.

Αφήστε τα σχόλια σας αν έχετε να προτείνετε κάποια άλλη συμβουλή, για περισσότερη ασφάλεια στο Joomla.