Kuidas turvata Joomla CMS-i

Järgnev tekst on mõeldud eelkõige Joomla CMS-i vanemate versioonide kasutajatele. Paljud meie kliendid kasutavad siiamaani Joomla ver.1.5 sisuhaldustarkvara. Tegemist on vananenud versiooniga, mida arendaja enam ei toeta, ning baasinstall sisaldab hulganisti turvaauke.

Mida peaks tegema et leht oleks turvaline:

1. Ärge kasutage vaikimisi administraatori kasutajatunnust “admin”, vaid muutke selle nimi ära!

2. Joomla CMS’i installides ärge kasutage vaikimisi andmebaasi SQL tabeli perfixi “jos_” – muutke see ära mistahes kujule a’la “XXXXXXXX_” , kus XXXXXXXX on teiepoolt vabalt valitud lühend

3. Kasutage oma kontol ainult tugevaid paroole mida ei ole võimalik nö “sõnaraamatu” ründega kõrvaldada. Näide:
Turvaline parool ei ole:
salasõna (sõna leidub sõnaraamatus – lihtne – ei ole tÕsTuTuNdLik, ei sisalda erimärke ega numbreid, liiga lühike)

Turvaline parool:
S4L4so!Na$ (küll liiga lühike kuid muud turvanõuded on täidetud)

4. Kasutades File Manager’i või FTP programmi, muutke kõigi Joomla kaustade õigused “755” ja failidel “644” . Kui teil on võimalus kasutada CRON’i, saate seda teha ka:
Failidele:
find /home/xxxxxx/domains/xxxxxxx.com/public_html -type f -exec chmod 644 {} \;

Kaustadele:
find /home/xxxxxx/domains/xxxxxxx.com/public_html -type d -exec chmod 755 {} \;

5. Lisage oma Joomla /administrator/ kataloogi .htaccess fail, millega lubate ligipääsu ainult enda IP’ga arvutilt (NB! Toimib kui teil on staatiline IP, dünaamilise IP korral võib IP aadress muutuda)

order deny,allow
deny from all
allow from YOURIPADDRESS

Kui teil on mitu IP aadressi, siis toimige järgnevalt:

order deny,allow
deny from all
allow from YOURIPADDRESS YOURSECONDIPADDRESS

6. Viige “configuration.php” turvalisse kataloogi väljapool “public_html” kausta ja nimetage see ümber (Näiteks: joomla.conf) . Looge uus “configuration.php” milles oleks järgnev kood (kasutades eeltoodud näidet)
require( dirname( __FILE__ ) . ‘/../joomla.conf’ );
?>

“/../” peaks siis näitama täpset asukohta!

Muutke ära failiõigused configuration.php’l: 644

7. Uuendage oma Joomla CMS versioon ja moodulid ning pluginad ALATI kõige uuemate vastu! See parandab turvavead, mis on raporteeritud kolmandate osapoolte poolt. NB! See ei kõrvalda aga kogu probleemi olemust!

8. Kontrollige oma Joomla lisamooduleid ja pluginaid üldtuntud vigade nimekirja vastu: http://vel.joomla.org/index.php/live-vel

9. Kasutage korralikke turvalisusmooduleid/pluginaid! (re-Captha laadne plugin oleks soovituslik installida et suvalised spammibotid ei saaks spämmida.)

Need oleksid esialgsed soovitused kuidas teha oma Joomla lehte turvalisemaks.
Tehnilisemat ja targemat juttu leidub: http://docs.joomla.org/Security_Checklist .
Kui juba on leht lahti häkitud siis: http://docs.joomla.org/Security_Checklist/You_have_been_hacked_or_defaced

Comments are currently closed.