Administrowanie witryną
Używaj mocnych haseł
- Zmieniaj hasła regularnie i twórz je jako unikalne ciągi. Używaj przypadkowej kombinacji liter, liczb lub symboli i unikaj pojedynczych nazw lub słów znajdujących się w słownikach. Nigdy nie używaj imion twoich krewnych, zwierząt itp. Poszukaj na forum skryptu autorstwa Wizzie, który automatycznie zmienia hasła. To wspaniałe narzędzie dla administratorów szczególnie prowadzących wiele stron.
Używaj schematu haseł wielopoziomowych
- Większość użytkowników może potrzebować nie więcej niż trzy poziomy haseł, a webmasterzy nie więcej niż pięć. Poziomy nie mogą w żaden sposób być ze sobą powiązane, jeżeli chodzi o to, którzy użytkownicy i które hasła są używane.
Regularnie wykonuj kopie strony
- Nigdy nie polegaj na czyichś kopiach. Przyjmij odpowiedzialność za procedury kopiowania. Wielu dostawców informuje w umowach, że nie możesz opierać się wyłącznie o ich kopie.
Monitoruj próby włamań
- Użytkownicy VPS i serwerów dedykowanych mogą uruchomić TripWire lub SAMHAIN. Te aplikacje, zapewniając wyczerpujące sprawdzanie plików i raportowanie ich funkcjonalności, mogą być instalowane w ukryty sposób, aby zabezpieczyć siebie w przypadku poważnej infiltracji. (Uwaga: użytkownicy serwerów współdzielonych nie mogą używać tej techniki.)
Uruchom automatyczną detekcję intruzów
- Stosuj Prevention/Detection Systems aby zablokować/zaalarmować podejrzane zapytania HTTP.
Nie rezygnuj z ręcznej detekcji intruzów
- Regularnie sprawdzaj zapisy logów pod kątem podejrzanej aktywności. Nie ufaj podsumowaniom i wykresom.
Bądź na bieżąco z łatkami bezpieczeństwa i aktualizacjami
- Stosuj łatki bezpieczeństwa ASAP wydawane przez dostawcę. (ASAP - popularny akronim angielskiego wyrażenia As Soon As Possible, czyli Tak szybko, jak to możliwe.)
Aktywnie szukaj słabych stron Twojej instalacji
- Przeprowadzaj częste skanowanie sieci.
Aktywnie szukaj słabych stron bazy SQL
- Używaj narzędzi takich jak Paros Proxy do przeprowadzania automatycznych testów SQL Injection (wstrzyknięć SQL), przeciwko twojej aplikacji PHP.
Używaj skryptów powłoki do zautomatyzowania zadań z zakresu bezpieczeństwa
- Odszukaj na forach Joomla! te popularne skrypty:
- Joomla! Version Checking
- Joomla! Component/Module Version Checking
- Exploit Checking
Rozwijaj wiedzę o oprogramowaniu bezpieczeństwa
- Nie istnieje pojedyncze narzędzie, które zabezpieczy Twoją stronę. Gdyby istniało, byłoby prawdopodobnie tak zaciekle atakowane, że stałoby się bezużyteczne.
Nie wynajduj ponownie koła!
- Zawsze zatrudniaj profesjonalnego konsultanta Joomla! ds. bezpieczeństwa, aby przejrzał Twoją konfigurację. Pamiętasz to powiedzenie "Tylko głupiec reprezentowałby siebie w sądzie"? To samo dotyczy budowy stron. Nie oczekuj, że wyłapiesz wszystkie błędy w swojej instalacji.
Wybierz listę kontrolną
- Lista kontrolna 1: Zanim rozpoczniesz
- Lista kontrolna 2: Hosting i ustawienia serwera
- Lista kontrolna 3: Testowanie i rozbudowa
- Lista kontrolna 4: Konfiguracja Joomla!
- Lista kontrolna 5: Administrowanie witryną
- Lista kontrolna 6: Odtwarzanie witryny