1. Vike levaade erinevatest turvamisega seotud ksimustest Joomla! 1.5

2. Maskeerimine Turvalised harjumused Serveri seaded Joomla! seaded 3. Serveri seaded 4. Serveri valik Kigil on omad eelistused, aga samas peaks olema ka siililegi selge, etkvaliteetne teenus maksab 5. Kaustade igused

PHP-failid:644

6. Seadete failid:666 7. Muud failid:755

Sageli kasutatakse rnnakutel just neid kahte kausta

TMP-kaust

8. LOGs-kaust 9. Administraatori kausta kaitsmine

.htaccess

10. cPaneli vimalused 11. On olemas ka erinevaid Joomla lisaprogramme

(testi eelnevalt testisaidil samas serveris)

12. .htaccess ########## Begin - Rewrite rules to block out some common exploits # # Block out any script trying to set a mosConfig value through the URL RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [OR] # Block out any script trying to base64_encode crap to send via URL RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR] # Block out any script that includes a tag in URL RewriteCond %{QUERY_STRING} (|%3E) [NC,OR] # Block out any script trying to set a PHP GLOBALS variable via URL RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR] # Block out any script trying to modify a _REQUEST variable via URL RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2}) [OR] # Block out any script that tries to set CONFIG_EXT (com_extcal2 issue) RewriteCond %{QUERY_STRING} CONFIG_EXT([|%20|%5B).*= [NC,OR] # Block out any script that tries to set sbp or sb_authorname via URL (simpleboard) RewriteCond %{QUERY_STRING} sbp(=|%20|%3D) [OR] RewriteCond %{QUERY_STRING} sb_authorname(=|%20|%3D) # Send all blocked request to homepage with 403 Forbidden error! RewriteRule ^(.*)$ index.php [F,L] # ########## End - Rewrite rules to block out some common exploits 13. php.ini

Pane ainultFrontendijaBackendijuurkaustadesse

14. disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open 15. open_basedir = /home/users/sait/public_html 16. allow_url_fopen = 0 17. Failide leslaadimised

Kommenteerimised, foorumid, vormid

18. Luba ainult need, mille lisamine on testi vajalik

Nt. pildifailid

Keela skriptifailide leslaadimine

(.php, .php3, .php4, .php5, .phtml)

19. Joomla! seaded 20. Super Admini konto

Turvaline parool

Suurthed, vikethed, numbrid jne ...

Super Admini konto

Loo uus Super Administraatori konto

21. Kustuta varasem adminikonto admin (ID=62) http://www.eraser.ee/opetused/113-turvaline-super-administraatori-konto.html

• Joomla! 1.6 on muutusi, aga nuanne jb praeguse seisuga kehtima

22. Andmebaasi seaded

Turvaline parool ja kasutajanimi

23. Eelliide

Enneta probleemi installi ajal

24. Olemasoleva saidi puhul

phpMyAdmin > Ekspordi

25. Oma lemmikredaktorisReplace 26. phpMyAdmin > Import 27. Lisaprogrammide turvalisus

Lae alla ainult usaldusvrsest kohast

28. Mis tpi vljalase (alfa, beeta, RC, stabiilne)? 29. Mida nitab komponentide ajalugu? 30. Milline on klienditugi?

Kui kiiresti lapitakse turvaauke?

leldine vigade hulk http://www.eraser.ee/artiklid/artiklid/134-kudias-valida-turvalist-lisaprogrammi.html 31. Lisaprogrammide taust

Google

32. Haavatavate lisaprogrammide nimekiri

http://docs.joomla.org/Vulnerable_Extensions_List

Security Reason

http://securityreason.com/exploit_alert/

Secunia

http://secunia.com/advisories/search/

Vupen Security

http://www.vupen.com/english/

MileOrm

http://www.milw0rm.com/

33. Veel lisaprogrammidest

Uusi lisaprogramme katseta testisaitidel

34. Eemalda lisad, mida sa ei kasuta

Kehtib ka kujnduste kohta

Joomla! omadest llita vlja need, mida pole vaja 35. Veel mned mtted

Installikaust kustuta

mbernimetamine pole piisavalt hea

Eemalda lisad, mida sa ei kasuta

Kehtib ka kujnduste kohta

Joomla! omadest llita vlja need, mida pole vaja 36. Maskeerimine 37. Favicon ja SEF

favicon.ico

38. Otsingumootori sbralikud aadressid

On ilus

39. Esimene asi, mille jrgi tunned ra Joomlaga tehtud saidi 40. Nitab mugavalt ra ka komponendid 41. META-info

META-info

42. Asenda oma infoga 43. SildiGeneratorpeitmine vi asendamine

/libraries/joomla/document/html/renderer/head.php

44. $strHtml .= $tab.'getGenerator().'" />'.$lnEnd; 45. Peida versioonide info

Komponendi seadetest

46. Otse koodist

Veendu, et litsents seda lubab

47. XML-failid

Komponentide infot saab ktte XML-failidest

nt. http://www.eraser.ee/administrator/components/com_rokbridge/manifest.xml

48. XML-failide peitmine

.htaccess

Order allow, deny Deny from all Satisfy all 49. Turvalised harjumused 50. Varukoopiad

Regulaarne varukoopia (ra looda hostingu pakkujale)

Nii andmebaasist ...

51. kui ka failidest Varukoopiad ka enne lisa(de) paigaldamist 52. Annab erinevate lisadega suures osas automatiseerida

Veendu, et varukoopia poleks kigile kttesaadav

53. Uuendused

Kontrolli uuenduste olemasolu

Joomla koduleht

54. Lisaprogrammide kodulehed 55. Mningatel siis ka sisseehitatud funktsioonina Kohati on ka siin abi lisaprogrammidest 56. Loodetavasti kergendab Joomla! 1.6 ka siin olukorda 57. Jlgi uudiseid

Joomla! Turvalisuse Keskus

http://developer.joomla.org/security.html

Joomla! ametlik foorum (turvalisus)

http://forum.joomla.org/viewforum.php?f=432

Eestikeelne info

eraser.ee