--=REKLAMA=--

Ochrona witryny przed włamaniem

Z Joomla!WikiPL

Jak zabezpieczyć się przed włamaniem na hostingu dzierżawionym? Kilka porad dla początkujących administratorów Joomla!

  • Upewnij się że wszystkie komponenty, moduły, pluginy są w najnowszych wersjach. Często nowsze wersje oprogramowania zawierają łatki bezpieczeństwa, dzięki którym Twoja strona jest w mniejszym stopniu narażona na ataki.
  • Ustaw trudne do odgadnięcia hasła do konta cPanel, MySQL, FTP, poczty oraz do konta Administratora na Twojej stronie. Nigdy nie używaj jednego hasła w wielu miejscach. Dla przykładu cPanel nie powinien mieć takiego samego hasła jak MySQL oraz FTP. Istotne jest, by hasła których używasz do logowania nie były możliwe do znalezienia w żadnym z plików znajdujących się na serwerze.
  • Unikaj ustawiania praw dostępu do plików (chmod) na katalogi powyżej 755. Jeśli jakaś z aplikacji potrzebuje takich uprawnień, postaraj się by umieścić jej katalog poza głównym katalogiem plików na serwerze (public_html). Istnieje także prostsza alternatywa - zabezpieczenie katalogu plikiem .htaccess - wystarczy stworzyć taki plik i umieścić w pliku .htaccess komendę deny from all, by zablokować publiczny dostęp do tego katalogu.
  • Używaj regularnie programu antywirusowego na swoim komputerze. Twój komputer także jest zagrożeniem dla bezpieczeństwa Twojej strony - niektóre wirusy mogą podglądać, jakie hasła wpisujesz, logując się na różne strony.
  • Używaj bezpiecznego połączenia w momencie gdy logujesz się do konta cPanel (https://twojadomena.pl:2083). Gdy posiadasz inny panel administracyjny, sprawdź, czy jest możliwość korzystania z bezpiecznego połączenia (łatwo je rozpoznać - zawiera literkę 's' po http, oraz w większości nowych przeglądarek pojawia się kłódeczka w widocznym miejscu), w przypadku braku takiej możliwości - skontaktuj się z administratorem hostingu, by wprowadził taką użyteczność.
  • Skonfiguruj Twoją stronę, by korzystała z dobrodziejstw najnowszego PHP 5.2 poprzez dodanie do pliku .htaccess następującej lini:
AddHandler application/x-httpd-php52 .php .php3 .php4 .php5 .phtml
PHP 5.2 posiada wzbogaconą, ulepszoną obsługę skryptów wykonywanych zdalnie, w związku z czym rozwiązuje to wiele problemów związanych z bezpieczeństwem Twojej strony.
  • Popraw lokalne ustawienia PHP by zwiększyć bezpieczeństwo. Może to zostać zrobione poprzez wyłączenie zbędnych funkcji i opcji. Poniżej zalecamy kilka zalecanych ustawień:
allow_url_fopen=off
disable_functions = proc_open, popen, disk_free_space, set_time_limit,
leak, tmpfile, exec, system, shell_exec, passthru

Poniższe wskazówki mogą spowodować błędne funkcjonowanie Twojej strony - w takim przypadku spróbuj metodą prób i błędów zastosować choć część z nich. Ustawienia te powinny być wklejone do pliku php.ini w każdym folderze, w którym chcemy je zastosować.

  • Jeśli nie używasz żadnych skryptów napisanych w Perlu, wyłącz ich wykonywanie na stronie. W Twoim katalogu domowym stwórz plik .htaccess zawierający następującą treść:
##Blokuje dostęp plikom do skryptów CGI, Perl, Python i plików tekstowych
<FilesMatch "\.(cgi|pl|py|txt)">
Deny from all
</FilesMatch>
  • Jeśli używasz plików robots.txt dopisz te 3 linie do pliku .htaccess:
##by umożliwić poprawną pracę temu plikowi
<FilesMatch robots.txt>
Allow from all
</FilesMatch>

Powyższe ustawienia zapobiegną wykonywaniu skryptów napisanych w Perl, CGI oraz w Pythonie. Wiele z exploitów/koni trojańskich jest napisanych w Perlu, a powyższy skrypt uniemożliwi im działanie na Twojej stronie. Komenda umieszczona w głównym katalogu strony będzie obowiązywać również w podkatalogach.</p>

  • Filtruj potencjalne zagrożenia za pomocą Apache Mod Security. Mod Security jest systemowym firewallem, który działa na poziomie Apache.
Mod Security może być w łatwy sposób uruchomiony poprzez określenie zasad w pliku .htaccess. Tutaj są przykłady, które możesz użyć na swojej stronie.

WAŻNE: Po tym, gdy Twoje konto zostało zaatakowane, istnieje wielkie prawdopodobieństwo że intruz zostawił sobie wejście do Twojej strony, by znów w łatwy sposób się na nią włamać. Dlatego samo nadpisywanie i poprawianie plików może być nieskuteczne. Znalezienie tylnego wejścia, które pozostawił sobie cracker jest bardzo czasochłonne i wymaga sporej wiedzy, za którą profesjonaliści każą sobie słono płacić. Dlatego często młodzi, niedoświadczeni administratorzy stron wolą zacząć przygodę ze stroną od nowa.

Wybierz listę kontrolną

  1. Lista kontrolna 1: Zanim rozpoczniesz
  2. Lista kontrolna 2: Hosting i ustawienia serwera
  3. Lista kontrolna 3: Testowanie i rozbudowa
  4. Lista kontrolna 4: Konfiguracja Joomla!
  5. Lista kontrolna 5: Administrowanie witryną
  6. Lista kontrolna 6: Odtwarzanie witryny

Dziękujemy za wkład

» Stefan Wajda [zwiastun],