Üks asi on turvalisusest rääkida ning teha nalja "türklastest" kräkkerite üle hoopis teine asi on aga see, kui su oma sait on sattunud selliste "värvikate" külaliste külaskäigu osalisteks.Tark lähenemise viis oleks otseloomulikult siisteha ennetavalt mõningaid samme, et sellist kogemust üldse tulemagi ei peaks. Soovitusi on palju, aga vaatame üle mõned elementaarsemad viisid tagamaks, et sinu Joomla! sait võiks püsida jätkuvalt kõigi külastajate rõõmuks veebiavaruses alles.
Varukoopiad
Esmane soovitus, mida pole võimalik piisavalt palju rõhutada, on varukoopiad. Ükskõik kui osav sa võid olla oma saiti turvama ja kaitsma, ikka leidub keegi sinust targem tegelane, kes võib ikka su saidile mingi hetk üks null ära teha. Ning kui sul pole selliseks juhuks oma saidist varukoopiat olemas, siis on olukord ikka päris nutune.
Varukoopia olgu siis tehtud nii failidest, kui ka andmebaasist. Failidest saad hädapärast teha koopia FTP-ga kogu Joomla! kausta allalaadides. Võimalik, et su kodulehe majutajal on olemas ka mugavamaid viise selle korraldmiseks. Sama seis on ka andmebaasist varukoopia tegemiseks - kui sul on asisem veebimajutuse pakkuja, siis on sul varukoopiate loomiseks mõni kenam viis, aga samas saab selle töö edukalt tehtud ka phpMyAdminiga. Täpsemalt infot saad uurida juba siis näiteks oma virtuaalserveri haldaja käest.
Muuda ära andmebaasi eelliides
Paljudes rünnakutes, mis Joomla! vastu tehakse, suunatakse tähelepanu just andmebaasi tabelist jos_users info saamisele. Sel viisil saadakse Super Administraatori kasutajanimi ja parool ning sealt edasi on neil siis juba võim kogu lehekülje üle. Enamikke selliseid ründeid saab ennetada andmebaasi tabelite eelliidese jos_ asendamisega mingi muu eelliidesega.
Uue Joomla! saidi puhul on selle tegemine väga lihtne kuna Joomla! paigaldamise nõustaja pakub võimaluse ise see eelliides valida. Juba toimiva saidi puhulon nikerdamist tsipake rohkem - kogenumale tegijale pole seegi mingi suur probleem. Kui sa oled seda tegemas esimest korda, siis on võib-olla targem see keegi kogenum kõrvale abiks võtta. Või kui sa ei tunne end andmebaasiga toimetades mugavalt, siis jäta see asi üldse ette võtmata.
Eemalda lisade nimed ja versiooninumbrid
Enamik turvaauke esinevad just mingi spetsiifilise lisa juures ja ainult mingitel konkreetsetes versioonides. Seega pole kindlasti otstarbekas jagada kõigele külalistele suure hurraaga, et kasutan seda komponenti ning kasutatav versioon kannab numbrit x.x. Mõningatel lisadel on võimalik sellise info näitamine kodulehel välja lülitada. Paljudel tuleb aga lihtsalt koodist vastav rida üles otsida ning see sealt ära kustutada.
Kasuta otsingumootori sõbralikke aadresse
Enamikud häkkerid kasutavad lehtede otsimiseks Google'i abi. Seda aitavad siis need ilusad aadressid vältida. Ning kõigele lisaks on neid ka silmal palju kenam vaadata.
Hoia oma Joomla! ja lisaprogrammid ajakohasena
Lisafunktsioonid on ainult üks külg versiooniuuendustest. Suur võit võib tulla ka turvalisuse osas. Enamikud teadaolevatest turvaaukudest on viimastes versioonides parandatud. Viimase aja parim näide on Joomla 1.5.6. Pärast seda uuendust oli päris mitmetel lehtedel probleeme kräkkimisega - probleeme, mida oleks saanud vältida kohese versiooni uuendamisega.
Kaustade ja failide ligipääsu õigused paika
Lihtsuse või siis laiskuse huvides on paljud kaustade ja failide võigused 777 peale. Sellised õigused on kaustale vajalikud ainult siis, kui mingi skript peab sellesse kausta midagi kirjutama. Teistele kaustadele ja failidele peaks piisama järgnevatest õigustest:
- PHP faildele: 644
- Seadetefailile: 666
- Muudele kaustadele: 755
Kustuta üleliigsed failid
Kui sa paigaldasid komponendi, plugina või mooduli, mis sulle ei meeldinud, siis veendu, et sa selle oma saidilt ka eemaldad. Ainult väljalülitamisest (disable) ei pruugi piisata.
Kasuta faili .htaccessvõimalusi
Lisa oma .htaccess faili need read. Sellega saad blokeerida mõned levinumad turvavead
########## Begin - Rewrite rules to block out some common exploits
#
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR]
# Block out any script that includes a tag in URL
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2}) [OR]
# Block out any script that tries to set CONFIG_EXT (com_extcal2 issue)
RewriteCond %{QUERY_STRING} CONFIG_EXT([|%20|%5B).*= [NC,OR]
# Block out any script that tries to set sbp or sb_authorname via URL (simpleboard)
RewriteCond %{QUERY_STRING} sbp(=|%20|%3D) [OR]
RewriteCond %{QUERY_STRING} sb_authorname(=|%20|%3D)
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## End - Rewrite rules to block out some common exploits
Muud lisainfot ja nõuandeid leiad siit:
- Joomla Administrators Security Checklist
- Jälgi pidevalt ja Joomla turvateemalisi foorumeid (1.0.x and 1.5.x)
Joomla! turvalisusega seotud probleeme saad jälgida neilt lehtedelt:
