Welche Maßnahmen sollte man nach einer neuen Joomla-Installation ergreifen, um die Sicherheit zu gewährleisten? Sowohl auf gemeinsam genutzten als auch auf dedizierten Hosting-Servern.
security
installation
ilias
quelle
quelle
Antworten:
Eine Joomla-Website sicher halten
Detaillierte Anweisungen finden Sie in der offiziellen Sicherheits-Checkliste .
quelle
Es ist sehr wichtig, Backups auf einem separaten Server zu speichern. Ich sehe viele Leute, die Akeeba Backups treu ausführen ... und die auf demselben Server im selben Stammverzeichnis gespeichert sind. Nicht so hilfreich, wenn Sie ernsthaft gehackt werden, und sicherlich nicht hilfreich, um sich von einem Hosting-Fehler zu erholen.
Mit Akeeba Backup Pro können Sie Sicherungsdateien in einem externen Speicher wie der Amazon Cloud speichern und verwalten.
quelle
Alternativ zur .htaccess-Datei oder zum Sperren per IP können Sie auch jSecure verwenden, um Ihr Administrator-Login zu sichern.
Eine Sache, die nicht erwähnt wurde, ist die Verwendung eines seriösen Hosting-Anbieters. Sie möchten eine, die nicht nur mit der Sicherheit Schritt hält, sondern auch mit Ihnen zusammenarbeitet, wenn Sie gehackt werden oder ein Problem vorliegt (z. B. wenn die Datenbank beschädigt wird). Die Idee ist, den Schaden zu begrenzen, den Ihre Site anrichtet, und gleichzeitig zu ermöglichen, dass Sie sie bereinigen.
Die Grundidee, Sie wollen jemanden, der ..
Wenn Sie möchten, dass eine Liste mit Fragen einem Gastgeber ein besseres Gefühl vermittelt, lassen Sie es mich einfach wissen.
Hoffe das hilft.
quelle
Versuchen Sie das auch,
robots.txt
für gesicherte Ordner öffnen .Hoffe, es hilft ..
quelle
Grundsätzlich gibt es meiner Erfahrung nach bei der Größe von Joomla keine Möglichkeit, dies wirklich vollständig abzusichern. Also lieber als eine perfekte Sicherheitsrichtlinie, die alles verhindert. Es ist das Beste, Ihre Erwartungen zu senken, um den Gesamtschaden zu verringern.
Dies kann mit einer extrem häufigen Sicherungsrichtlinie geschehen, sodass bei jedem Eindringen ein Rollback der Site sowie Malware-Scans durchgeführt werden können. Bisher gab es keinen einzigen Hack, der darauf zurückzuführen war, dass unser Admin-Panel brutal gezwungen wurde.
Die meisten Hacks, die wir sehen, stammen von Komponenten von Drittanbietern oder dem Joomla-Kern. Wir haben sogar gesehen, dass Hacks es schaffen, auch in die neuesten Versionen von Joomla zu gelangen. Dies liegt daran, dass der Hack in der Regel wie eine normale Anforderung aussehen kann, bei der eine Datei mit einer schlechten Filterung auf den Server verschoben wird. Sobald sich eine Datei auf dem Server befindet, ist alles ein faires Spiel. Sie kann sich auf JEDER Site auf einem gesamten freigegebenen Server befinden und sich weiterhin auf Ihre auswirken. Wenn also eine Person auf einem freigegebenen Server nicht auf dem neuesten Stand ist, kann dies sich auf Sie auswirken.
Dies mag ein wenig extrem sein, aber basierend auf persönlichen Erfahrungen ist es am besten, auf das Schlimmste vorbereitet zu sein, und dann zu zuversichtlich, dass Ihre Politik alles verhindern wird.
Der beste Weg, um eine neue Joomla-Installation zu sichern, besteht darin, häufig zu sichern und Malware-Scans zu aktivieren. Wenn der Malware-Scanner eine E-Mail an Sie sendet, sobald er etwas findet, können Sie innerhalb kürzester Zeit ein Rollback auf die neueste Sicherung durchführen.
quelle
Ändern Sie den Benutzernamen und halten Sie das Administratorkennwort fest. Verwenden Sie die Zwei-Faktor-Authentifizierung (eingebaut für 3.3+, für andere http://www.readybytes.net/labs/two-factor-authentication.html ).
Installieren Sie kSecure ( http://extensions.joomla.org/extensions/access-a-security/site-security/login-protection/12271 )
Schützen Sie Ihre Website vor verschiedenen Angriffen, indem Sie diesen htaccess ( http://docs.joomla.org/Htaccess_examples_(security) verwenden.
quelle
Diese Liste aus einem Whitepaper zu "Pen-testing a Joomla site" im Blog ausleihen. Ich denke, diese Liste ist eine gründliche Richtlinie für die Grundlagen der Joomla-Sicherheit.
Verwenden Sie für alle Anmeldungen sichere Kennwörter. Mindestens 8 Zeichen, ein Sonderzeichen, eine Ziffer und ein Buchstabe, bei dem die Groß- und Kleinschreibung beachtet wird. Es schützt Ihre Installation vor brutaler Gewalt.
Behalten Sie in den Protokolldateien des Webservers immer den Überblick über "Letzte Besucher", um mögliche Angriffe abzufangen. Betrachten Sie Ihre Protokolldateien niemals nur als Information. Es ist sehr nützlich bei der Verfolgung und Überwachung der Benutzer.
Setzen Sie etwas Stress ein, um mehr Sicherheit für den gesamten Server zu implementieren, auf dem Ihre Joomla-basierte Site gehostet wird. Es wird auf einem gemeinsam genutzten oder einem dedizierten Server gehostet.
Erstellen Sie eine Liste aller von Ihnen verwendeten Erweiterungen und überwachen Sie diese weiterhin.
Halten Sie sich über die neuesten Sicherheitslücken und -meldungen bei verschiedenen Sicherheitshinweisen auf dem Laufenden. Exploit-db, osvdb, CVE usw. sind einige der guten Ressourcen.
Ändern Sie die Berechtigung für Ihre .htaccess-Datei, da sie standardmäßig Schreibberechtigungen verwendet (da Joomla sie aktualisieren muss). Es wird empfohlen, 444 (r-xr-xr-x) zu verwenden.
Die entsprechenden Dateiberechtigungen für die öffentlichen Verzeichnisse müssen erteilt werden, damit schädliche Dateien nicht hochgeladen oder ausgeführt werden können. Die beste Vorgehensweise in diesem Zusammenhang ist 766 (rwxrw-rw-), dh nur der Eigentümer kann lesen, schreiben und ausführen. Andere können nur lesen und schreiben.
Niemand muss die Berechtigung haben, in PHP-Dateien auf dem Server zu schreiben. Sie müssen alle mit 444 (r - r - r -) gesetzt sein, jeder kann nur lesen.
Delegieren Sie die Rollen. Dadurch wird Ihr Administratorkonto sicher. Hackt jemand in Ihren Computer ein, darf dieser nur auf den jeweiligen Benutzer und nicht auf das Administratorkonto zugreifen.
Die Datenbankbenutzer müssen nur die Berechtigung haben, Befehle wie INSERT-, UPDATE- und DELETE-Zeilen zu erteilen. Sie dürfen keine Tabellen DROPEN.
Ändern Sie die Namen der Backend-Ordner, z. B. können Sie / administrator in / admin12345 ändern. 16. Last but not least, bleiben Sie über die neuesten Sicherheitslücken auf dem Laufenden.
quelle
Ihre erste Verteidigungslinie ist Ihr Hosting-Service
Ihre nächste Verteidigungslinie ist Ihr cPanel
Ihre nächste Verteidigungslinie ist Ihr Administratorpanel
Ich bin mir sicher, dass es noch andere Schritte gibt, aber dies sind die wichtigsten, die ich auf meinem Server verwende, auf dem über 70 Websites aus dem ganzen Land gehostet werden. Ich hatte kürzlich einen massiven Angriff ähnlich einem DDoS-Angriff und es wurde nicht auf eine Website zugegriffen. Ich fühlte mich ungefähr 3 Meter groß und kugelsicher, aber ich weiß, dass ich nicht selbstgefällig sein kann, da morgen ein anderer Tag ist! LOL
quelle
Ich bin kein Fan von Zwei-Faktor-Authentifizierung
Installieren Sie die Akeeba Admin Tools, aktivieren Sie den erweiterten Zugriff, überprüfen Sie die Optionen und die Software-Firewall
https://www.akeebabackup.com/download/admin-tools.html
quelle