it-swarm-tr.com

Yeni bir Joomla kurulumu nasıl güvenli hale getirilir?

Yeni bir Joomla kurulumundan sonra güvenliğini sağlamak için yapılması gerekenler nelerdir? Hem paylaşılan barındırma sunucularında hem de özel sunucularda.

34
ilias

Joomla Web Sitesini Güvende Tutmak

  1. Güçlü parolalar kullanın.
  2. Yönetici hesabı sayısını en aza indirin.
  3. Kullanılmayan kullanıcı hesaplarını devre dışı bırakın veya kaldırın.
  4. Üçüncü taraf uzantılarının sayısını en aza indirin ve üçüncü taraf uzantıların gerekli olduğu yerlerde, güvendiğiniz yerleşik geliştiricilerin iyi desteklenen uzantılarını kullanın.
  5. Joomla ve üçüncü taraf uzantılara düzenli olarak Joomla EOL sürümleri için güvenlik düzeltmeleri dahil olmak üzere düzenli olarak uygulayın.
  6. Temel Joomla güvenlik güncellemelerinden haberdar olmak için Joomla Security News özet akışına abone olun
  7. Joomla Güvenlik Açığı Uzantıları Listesi (VEL) adresine abone olun, böylece yeni güvenlik açıklarına hızlı bir şekilde katılabilirsiniz. abonelik bağlantısı için sayfanın en altına gidin - Twitter'da VEL öğesini de takip edebilirsiniz.
  8. Uygun bir PHP dosya işleyicisi ve mod_security gibi güvenlik uzantıları da dahil olmak üzere kaliteli güvenli web barındırma kullanın. PHP'nin desteklenen sürümü kullanın.
  9. Yalnızca web barındırma şirketinizin yedeklerine güvenmek yerine, düzenli olarak web sitesinin kendi yedeklemelerini gerçekleştirin, yedek dosyalarını site dışına kopyalayın ve yedeklemelerinizin kalitesini kontrol etmek için düzenli olarak test geri yüklemeleri yapın.
  10. Https'yi etkinleştir.
  11. Akeeba Yönetici Araçları'nın profesyonel sürümü ile sağlanan gibi bir web uygulaması güvenlik duvarı uygulayın.
  12. Standart tablo önekini kullanmayın.
  13. Varsayılan Süper Yönetici kullanıcı adını ve kimliğini başka bir şeyle değiştirin. Akeeba Yönetici Araçları'nın profesyonel sürümünde Süper Yönetici Kimliğini değiştirmek için bir araç vardır.
  14. IP ile Joomla Yöneticisine erişimi kısıtlayın. Yalnızca güvenilir IP'lere izin ver.
  15. Yönetici hesapları için 2 faktörlü kimlik doğrulamayı etkinleştir (Joomla 3.2 ve üstü için geçerlidir).
  16. Çapraz kontaminasyonu önlemek için aynı barındırma hesabını paylaşan veya ideal olarak web sitelerini kendi web barındırma hesaplarına ayıran diğer web siteleri için yukarıdaki adımları tekrarlayın.
  17. Web sitesi yöneticilerinin kişisel bilgisayarlarının da benzer şekilde güvenli olduğundan emin olun. Örneğin, kaliteli bir virüs ve kötü amaçlı yazılım tarayıcısı uygulayın. Bu, kişisel bilgisayarlarda depolanan tüm web sitesi kimlik bilgilerinin korunmasına yardımcı olur. İdeal olarak web sitesi ve diğer kimlik bilgilerini saklamak için bir şifreleme aracı veya uygulaması kullanın.
  18. Yapılmayacak hakkında bilgi için En aptalca 10 yönetici hilesi bölümünü okuyun.

Daha ayrıntılı talimatlar için yetkiliye Güvenlik Kontrol Listesi bakın.

36
Neil Robertson

Yedekleri ayrı bir sunucuda saklamak çok önemlidir. Akeeba Backups'ı sadakatle çalıştıran birçok insan görüyorum ... ve aynı sunucuda aynı kök dizinde depolanıyorlar. Ciddi bir şekilde saldırıya uğramış ve kesinlikle bir barındırma hatası kurtarmak için yararlı değil çok yararlı değil.

Akeeba Backup Pro, yedekleme dosyalarını Amazon bulutu gibi harici bir depolama biriminde saklamanızı ve yönetmenizi sağlar.

14
Deb Cinkus

.Htaccess dosyasına alternatif olarak veya IP ile kilitlemenin yanı sıra, yönetici oturum açma işleminizi güvenli hale getirmek için jSecure'u da kullanabilirsiniz.

Bahsedilmemiş bir şey saygın bir hosting sağlayıcısı kullanmaktır. Sadece güvenliğe ayak uydurmakla kalmaz, aynı zamanda saldırıya uğramış veya bir sorun varsa da sizinle birlikte çalışır (veritabanı bozulur). Fikir, sitenizin temizlenmesine izin verirken verdiği hasarı sınırlamaktır.

Temel fikir, birisini istiyorsun ..

  • etrafında olacak
  • gece uçuşu değil
  • seninle çalışacak
  • ve sağlam bir ortam sağlar.

Bir Host'dan daha iyi bir his almasını istemek için bir soru listesi istiyorsanız, bana bildirin.

Bu yardımcı olur umarım.

7
Donald Champion

Bunu da deneyin,

  • Joomla'nızı uzantılarıyla birlikte güncel tutun.
  • Sitenizin yedeklerini düzenli olarak bulutlar olarak saklayın.
  • Açma robots.txt güvenli klasörler için.
  • En son Joomla sürümleri için, iki faktörlü kimlik doğrulamanın kullanılması daha güvenli olacaktır.
  • Klasörlerin ve dosyaların doğru izinlere sahip olduğundan emin olun.
  • Cloudfare'i Joomla için kullanın.

Umarım yardımcı olur ..

6
Jobin Jose

Temelde tecrübelerime göre, Joomla'nın büyüklüğü ile gerçekten tamamen güvenceye almanın bir yolu yok. Bu nedenle, her şeyi durduran mükemmel bir güvenlik politikası, genel hasarı denemek ve azaltmak için beklentilerinizi azaltmak en iyisidir.

Bu, herhangi bir saldırı durumunda sitenin ve kötü amaçlı yazılım taramalarının geri alınabilmesi için son derece sık bir yedekleme politikasıyla yapılabilir. Şimdiye kadar sahip olduğumuz bir hack, yönetici panelimizin kaba zorla çalıştırılmasından kaynaklanmıyor.

Gördüğümüz çoğu hack, üçüncü taraf bileşenlerinden veya Joomla çekirdeğinden geliyor, hatta hacklerin Joomla'nın en son sürümlerine girmeyi başardığını gördük. Bunun nedeni, bir dosyanın sunucuya aktarılması için kötü filtreleme kullanarak saldırı genellikle normal bir istek gibi görünebilir. Bir dosya sunucuda olduğunda her şey adil bir oyundur, tüm paylaşılan bir sunucuda HERHANGI BIR sitesinde olabilir ve yine de sizinkini etkiler, paylaşılan bir sunucu güncel kalmaz, sizi etkileyebilir.

Bu biraz aşırı olabilir, ancak kişisel deneyime dayanarak, en kötüsüne hazırlanmak için elinden gelenin en iyisini yapın, ardından politikanızın hepsini engelleyeceğinden emin olun.

Bu nedenle, yeni bir Joomla yüklemesini güvenli hale getirmenin en iyi yolu, sık sık yedekleme yapmak ve kötü amaçlı yazılım taramalarını etkinleştirmektir; kötü amaçlı yazılım tarayıcısı bir şey bulur bulmaz size e-posta gönderebilirse, çok kısa bir süre içinde en son yedeklemeye geri dönebilirsiniz.

5
Jordan Ramstad
  1. Kullanıcı adını değiştirin ve yönetici şifresini güçlü tutun, iki faktörlü kimlik doğrulamayı kullanın (diğerleri için 3.3+ için dahili http://www.readybytes.net/labs/two-factor-authentication.html )

  2. KSecure uygulamasını yükleyin ( http://extensions.joomla.org/extensions/access-a-security/site-security/login-protection/12271 )

  3. Bu htaccess'i kullanarak web sitenizi çeşitli saldırılara karşı koruyun http://docs.joomla.org/Htaccess_examples_ (security)

4
Shyam

İlk savunma hattınız barındırma hizmetinizdir

  • Güvenilir bir barındırma hizmetinden özel bir sunucu kiralayın
  • Sunucunuzda 2FA'yı etkinleştirdiğinizden ve 'ÇOK GÜÇLÜ' bir şifre kullandığınızdan emin olun
  • Sunucunuza güvenilir bir güvenlik duvarı yükleyin - ConfigServer kullanıyorum
  • Bir antivirüs programını kurun/yapılandırın, ClamAV kullanıyorum
  • Her web sitesi kullanıcı adının alan adının ilk 8 karakterini KULLANMADIĞINDAN ve 'ÇOK GÜÇLÜ' bir şifre kullandığından emin olun
  • Her web sitesinde bir SSL sertifikası yüklü olduğundan emin olun
  • Her web sitesinin 'Hapiste' olduğundan emin olun, yani sunucu köküne erişmeniz gerekmedikçe root erişimi yoktur. Bu durumda, Secure Shell'in (SSH) kurulu ve yapılandırılmış olduğundan emin olun. Sunucu etki alanı web sitemi kullanıyorum ancak diğer tüm web sitelerinde 'Hapiste' var.
  • Tüm sunucu güncellemelerinin hemen yüklendiğinden emin olun !!!!

Bir sonraki savunma hattınız cPanel'iniz

  • "ÇOK GÜÇLÜ" bir şifre kullanın
  • Kullanıcılar için kullanıcı parolası gücünü yapılandırma
  • Bir cPanel tam yedekleme yapmak ve harici bir kaynağa kaydetmek için bir cron işi ayarlayın
  • CPanel'in erişim için SSL kullanacak şekilde ayarlandığından emin olun
  • Başka hangi ince ayarların gerekli olabileceğini görmek için 'Site Güvenlik Denetimi'ni çalıştırın
  • Tüm cPanel güncellemelerinin derhal yüklendiğinden emin olun !!!!

Bir sonraki savunma hattınız yönetici panelinizdir

  • Güçlü parolalar (büyük/küçük harf, sayı ve en az 18 karakter uzunluğunda en az 1 noktalama işareti) sağlamak için parola biçimi gereksinimlerini düzenleyin.
  • Kullanıcılar için 2FA'yı etkinleştir - Süper Kullanıcı ve Yönetici hesapları için kullanın
  • Süper Kullanıcı hesaplarının sayısını sınırlayın (en iyisi sadece bir tanesine sahip olmak)
  • Yönetici hesaplarının sayısını sınırlayın (ne kadar az olursa o kadar iyidir)
  • Yöneticilerin erişebileceği alanları sınırlayın
  • Yayıncıların, Editörlerin ve Yazarların erişebileceği alanları sınırlayın
  • AdminTools'u yükleme ve yapılandırma
  • AdminTools üzerinden yönetici URL şifresi ayarlama
  • Kritik dosyaların (HTACCESS, ROBOTS.TXT, WEBCONFIG, INDEX.PHP (hem kök hem de şablon) 444 olarak ayarlandığından emin olun. Dosyaları yine de cPanel pr Plesk kontrol paneli dosya yöneticisi aracılığıyla düzenleyebilirsiniz.
  • AkeebaBackup'ı yükleme ve yapılandırma
  • AkeebaBackup'ı yedeklemeleri harici olarak, şirket dışında kaydetmek üzere yapılandırın
  • Eklentileri yalnızca Joomla Uzantı sayfaları aracılığıyla yükleyin, hiçbir zaman Joomla Uzantı sayfasında listelenmeyen 3. taraflardan bir eklenti kurmayın.
  • Kullanılmayan ve Joomla işlevselliği için gerekli olmayan eklentileri devre dışı bırakma ve/veya kaldırma
  • Joomla ve eklenti güncellemelerini hemen yükleyin !!!

Eminim başka adımlar vardır ama bunlar benim ülke çapında 70'den fazla web siteleri barındırma sunucumda kullandığım ana olanlar. Son zamanlarda DDoS saldırısına benzer büyük bir saldırı yaşadım ve bir web sitesine erişilmedi. Kendimi 10 feet boyunda ve kurşun geçirmez hissettim ama yarın başka bir gün olduğundan şikayetçi olamayacağımı biliyorum! LOL

3
Luke Douglas

Bu listeyi blogda bulunan bir "Joomla sitesini kalem testi" kitabından ödünç almak. Bu listenin Joomla güvenliğinin temelleri için kapsamlı bir rehber olduğunu düşünüyorum.

  1. Joomla'yı daima güncel tut. Yükseltme yayınlanır yayınlanmaz en son yükseltmeyi yükleyin.
  2. Hangi uzantı kullanılıyorsa kullanılsın, en son yükseltme sürümleriyle doğru bir şekilde yamaları gerekir. Herhangi bir eski uzantı saldırgana sitenin güvenliğini aşma yolu verebilir.
  3. Tarafından kullanılmayan veya düzgün bir şekilde test edilmemiş uzantıları kullanmayın.
  4. Tüm kullanıcı girişleri doğru bir şekilde doğrulanmalıdır. Bu girişler formlar, URI, resim yüklemeleri vb. Biçiminde girişler olabilir. Bir BROWSE düğmesinin kullanıcının resmi yüklemesine izin vermesi durumunda, daha sonra çalışabilecek bir PHP Kabuğu değil, yalnızca bir resim yüklemesini etkinleştirmesi gerektiğini varsayalım. sunucudaki bir arka kapı gibi.
  5. Tüm girişler için güçlü şifreler kullanın. En az 8 karakter, bir özel karakter, bir sayı ve bir büyük/küçük harf duyarlı harf. Tesisatınızı kaba bir kuvvetten koruyacaktır.

  6. Potansiyel saldırıları yakalamak için her zaman Web Sunucusunun günlük dosyalarındaki "Son Ziyaretçiler" in kaydını tutun. Günlük dosyalarınızı hiçbir zaman yalnızca bir bilgi parçası olarak düşünmeyin. Kullanıcıları izleme ve izleme konusunda oldukça kullanışlıdır.

  7. Joomla tabanlı sitenin barındırıldığı tüm sunucuya daha fazla güvenlik uygulamak için biraz stres atın; paylaşılan sunucuda veya özel bir sunucuda barındırılması.

  8. Kullandığınız tüm uzantıların bir listesini yapın ve izlemeye devam edin.

  9. Çeşitli güvenlik danışmalarındaki en son güvenlik açıkları ve açıklamalar ile kendinizi güncel tutun. Exploit-db, osvdb, CVE vb. İyi kaynaklardan bazılarıdır.

  10. Yazma izinlerini kullanarak (Joomla'nın güncelleştirmesi gerektiği gibi) .htaccess dosyanızdaki izni varsayılan olarak olduğu gibi değiştirin. En iyi uygulama 444 (r-xr-xr-x) kullanmaktır.

  11. Genel dizinlerde uygun dosya izinleri verilmeli, böylece herhangi bir kötü amaçlı dosya yüklenmemeli veya yürütülmemelidir. Bu bağlamdaki en iyi uygulama 766'dır (rwxrw-rw-), yani sadece Sahibi okuyabilir, yazabilir ve yürütebilir. Diğerleri sadece okuma ve yazma yapabilir.

  12. Hiç kimse sunucudaki PHP dosyalarına yazma iznine sahip olmamalıdır. Hepsi 444 (r — r — r--) ile ayarlanmalıdır, herkes sadece okuyabilir.

  13. Rolleri devredin. Yönetici hesabınızın güvenli olmasını sağlar. Birinin makinenize girmesi durumunda yönetici hesabına değil, yalnızca ilgili kullanıcıya erişimi olmalıdır.

  14. Veritabanı kullanıcılarının yalnızca INSERT, UPDATE ve DELETE satırları gibi komutlar verme izni olmalıdır. DROP tablolarına izin verilmemelidir.

  15. Arka uç klasörlerinin adlarını değiştirin, ör./admin öğesini/admin12345 olarak değiştirebilirsiniz. 16. Sonuncu ama en önemlisi, en son güvenlik açıklarıyla güncel kalın.

3
FFrewin