joomla! turvalisuse tagamine
DESCRIPTION
Joomla! saidi turvalisekt tegemine on põhjalik protsess ning mõüningase ülevaate selle tegemiseks saad siit esitlusest.TRANSCRIPT
- 1. Vike levaade erinevatest turvamisega seotud ksimustest Joomla! 1.5
2. Maskeerimine Turvalised harjumused Serveri seaded Joomla! seaded 3. Serveri seaded 4. Serveri valik Kigil on omad eelistused, aga samas peaks olema ka siililegi selge, etkvaliteetne teenus maksab 5. Kaustade igused
- PHP-failid:644
6. Seadete failid:666 7. Muud failid:755
- Sageli kasutatakse rnnakutel just neid kahte kausta
- TMP-kaust
8. LOGs-kaust 9. Administraatori kausta kaitsmine
- .htaccess
10. cPaneli vimalused 11. On olemas ka erinevaid Joomla lisaprogramme
- (testi eelnevalt testisaidil samas serveris)
12. .htaccess ########## Begin - Rewrite rules to block out some common exploits # # Block out any script trying to set a mosConfig value through the URL RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [OR] # Block out any script trying to base64_encode crap to send via URL RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR] # Block out any script that includes a tag in URL RewriteCond %{QUERY_STRING} (|%3E) [NC,OR] # Block out any script trying to set a PHP GLOBALS variable via URL RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR] # Block out any script trying to modify a _REQUEST variable via URL RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2}) [OR] # Block out any script that tries to set CONFIG_EXT (com_extcal2 issue) RewriteCond %{QUERY_STRING} CONFIG_EXT([|%20|%5B).*= [NC,OR] # Block out any script that tries to set sbp or sb_authorname via URL (simpleboard) RewriteCond %{QUERY_STRING} sbp(=|%20|%3D) [OR] RewriteCond %{QUERY_STRING} sb_authorname(=|%20|%3D) # Send all blocked request to homepage with 403 Forbidden error! RewriteRule ^(.*)$ index.php [F,L] # ########## End - Rewrite rules to block out some common exploits 13. php.ini
- Pane ainultFrontendijaBackendijuurkaustadesse
14. disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open 15. open_basedir = /home/users/sait/public_html 16. allow_url_fopen = 0 17. Failide leslaadimised
- Kommenteerimised, foorumid, vormid
18. Luba ainult need, mille lisamine on testi vajalik
- Nt. pildifailid
Keela skriptifailide leslaadimine
- (.php, .php3, .php4, .php5, .phtml)
19. Joomla! seaded 20. Super Admini konto
- Turvaline parool
- Suurthed, vikethed, numbrid jne ...
Super Admini konto
- Loo uus Super Administraatori konto
21. Kustuta varasem adminikonto admin (ID=62) http://www.eraser.ee/opetused/113-turvaline-super-administraatori-konto.html
-
- Joomla! 1.6 on muutusi, aga nuanne jb praeguse seisuga kehtima
22. Andmebaasi seaded
- Turvaline parool ja kasutajanimi
23. Eelliide
- Enneta probleemi installi ajal
24. Olemasoleva saidi puhul
- phpMyAdmin > Ekspordi
25. Oma lemmikredaktorisReplace 26. phpMyAdmin > Import 27. Lisaprogrammide turvalisus
- Lae alla ainult usaldusvrsest kohast
28. Mis tpi vljalase (alfa, beeta, RC, stabiilne)? 29. Mida nitab komponentide ajalugu? 30. Milline on klienditugi?
- Kui kiiresti lapitakse turvaauke?
leldine vigade hulk http://www.eraser.ee/artiklid/artiklid/134-kudias-valida-turvalist-lisaprogrammi.html 31. Lisaprogrammide taust
32. Haavatavate lisaprogrammide nimekiri
- http://docs.joomla.org/Vulnerable_Extensions_List
Security Reason
- http://securityreason.com/exploit_alert/
Secunia
- http://secunia.com/advisories/search/
Vupen Security
- http://www.vupen.com/english/
MileOrm
- http://www.milw0rm.com/
33. Veel lisaprogrammidest
- Uusi lisaprogramme katseta testisaitidel
34. Eemalda lisad, mida sa ei kasuta
- Kehtib ka kujnduste kohta
Joomla! omadest llita vlja need, mida pole vaja 35. Veel mned mtted
- Installikaust kustuta
- mbernimetamine pole piisavalt hea
Eemalda lisad, mida sa ei kasuta
- Kehtib ka kujnduste kohta
Joomla! omadest llita vlja need, mida pole vaja 36. Maskeerimine 37. Favicon ja SEF
- favicon.ico
38. Otsingumootori sbralikud aadressid
- On ilus
39. Esimene asi, mille jrgi tunned ra Joomlaga tehtud saidi 40. Nitab mugavalt ra ka komponendid 41. META-info
- META-info
42. Asenda oma infoga 43. SildiGeneratorpeitmine vi asendamine
- /libraries/joomla/document/html/renderer/head.php
44. $strHtml .= $tab.'getGenerator().'" />'.$lnEnd; 45. Peida versioonide info
- Komponendi seadetest
46. Otse koodist
- Veendu, et litsents seda lubab
47. XML-failid
- Komponentide infot saab ktte XML-failidest
- nt. http://www.eraser.ee/administrator/components/com_rokbridge/manifest.xml
48. XML-failide peitmine
- .htaccess
Order allow, deny Deny from all Satisfy all 49. Turvalised harjumused 50. Varukoopiad
- Regulaarne varukoopia (ra looda hostingu pakkujale)
- Nii andmebaasist ...
51. kui ka failidest Varukoopiad ka enne lisa(de) paigaldamist 52. Annab erinevate lisadega suures osas automatiseerida
- Veendu, et varukoopia poleks kigile kttesaadav
53. Uuendused
- Kontrolli uuenduste olemasolu
- Joomla koduleht
54. Lisaprogrammide kodulehed 55. Mningatel siis ka sisseehitatud funktsioonina Kohati on ka siin abi lisaprogrammidest 56. Loodetavasti kergendab Joomla! 1.6 ka siin olukorda 57. Jlgi uudiseid
- Joomla! Turvalisuse Keskus
- http://developer.joomla.org/security.html
Joomla! ametlik foorum (turvalisus)
- http://forum.joomla.org/viewforum.php?f=432
Eestikeelne info
- eraser.ee