SlideShare ist ein Scribd-Unternehmen logo

Защита и сигурност на Joomla! сайт - Joomla! Day 2013 Bulgaria

Mihail Semerdzhiev
Mihail Semerdzhiev

Презентация от Joomla! Day 2013, Bulgaria

Bildung
1 von 25
Спонсори: Медийни партньори:
Как да защитим своя Joomla! сайт? Михаил Семерджиев
Малко статистика  През последните месеци се наблюдава значителна активност към всички Joomla! сайтове. Независимо къде се намират, колко са големи и колко са посещавани. Зловреден достъп към сайтове на Superhosting през последните 12 месеца.  Основните цели на Лошите са да открият слабо защитени сайтове или такива със стара версия на CMS-a или инсталираните приложения.  Основните методи за пробив, които се използват са:  bruteforce на формата за админ вход  ботове сканиращи за определени файлове, компоненти и версии  Процесът по заразяване е автоматизиран Source: sucuri.net; superhosting.bg Bruteforce атаки към сайтове от мрежата на sucuri.net през последните 2 месеца
Опознай врага  Кой?  Силно казано е, ако ги наричаме хакери. Използват готови автоматизирани инструменти и известни пролуки.  Истинският хакер няма да остави след, че сайтът вие е хакнат.  Кога?  Всеки ден.  По всяко време.  Дори в момента.  Как?  Автоматизирани ботове/скритпове търсещи пролуки  Основно търсят стари компоненти и версии на Joomla!  Все по-често се правят bruteforce атаки  Защо?      изпращане на спам - 81.05% site deface - 5,73% разполагане на фишинг сайтове - 6,53% инжектиране на злонамерен код - 4,77% пренасочвания в .htaccess файл към други сайтове - 1,92% Source: superhosting.bg
Защита на Joomla! сайт
Права на папки и файлове  Папките на Joomla! трябва да бъдат с права 755  Файловете на Joomla! трябва да бъдат с права 644  Файлът configuration.php трябва да бъде с права 444  Никога не използвайте 777(пълен достъп) права! Автоматична промяна на права на файлове и папки чрез FileZilla Можете да инсталирате компонент който да следи за правата
Актуален софтуер на сървъра Проверете версията на PHP, MySQL, FTP Client, Apache… Aко е прекалено стара, помолете хостинг компанията да ги актуализира или да ви премести на друг сървър.
Актуализирахте ли? Update! Update! Update!  Използвайте последната версия на Joomla!  Следете и ъпдейтвайте регулярно всички добавки – тежко е, но трябва!  Не отлагайте ъпдейта за утре! Source: superhosting.bg
Използвайте сложни пароли Един Супер-Компютър за разбиване на пароли струва $2 700... ... през 2010г.
Използвайте сложни пароли Парола Битове Операции Време за разбиване 15082005 13,6 12 416 0,00038 msec admin 15,9 61 147 0.00185 msec ortrtaortftaaidbt 67,7 2,39е+20 228,95 години 0rtrTA0rtfTa&idbT 88,2 3,55е+26 340 милиона години Златни правила:  Паролата ви трябва да е поне 8 знака  Трябва да съдържа  малки букви  главни букви  специални знаци  цифри Source: superhosting.bg
Защитаване на админ папката Заключването на папката /administrator ви предпазва до 80% от всички потенциални заплахи. По този начин ограничавате достъпа за вход до администрацията на Joomla! и до файловете на инсталираните компоненти и добавки. Защита с парола  През cPanel: Сигурност -> Директории защитени с парола .htaccess файл в /administrator: .httaccess file: AuthUserFile /home/site/.htpasswd AuthName “Message“ AuthType Basic require user mihail .htpasswd password file: mihail:[password] Защита с бисквитка За достъп до админ папката трябва да се отвори: http://site.com/_secretFolder/  .htaccess файл в /administrator: RewriteEngine On RewriteCond %{REQUEST_URI} ^/administrator RewriteCond %{HTTP_COOKIE} ! JoomlaAdminSession=56lw4hy184ad5984fj h3ea4d64i3de4936dsdfb RewriteRule .* - [L,F]  index.php файл в /_secretFolder: <?php $admin_cookie_code="56lw4hy184ad5984f jh3ea4d64i3de4936dsdfb"; setcookie("JoomlaAdminSession", $admin_cookie_code,0,"/"); header("Location: /administrator/index.php"); ?> Защита по IP  .htaccess файл в /administrator : .httaccess file: Order Deny,Allow Deny from all Allow from 100.100.100.100
Архивиране  Задължително архивирайте своя Joomla! сайт  Akeeba backup е страхотен компонент за архивиране на Joomla!  Настройте създаване на чести и автоматични архиви  Спестява много време  Сваляйте архивите на външен носител  Има платена и безплатна версия  Може да се автоматизира
Vulnerable Extensions List vel.joomla.org @JoomlaVel
Компоненти подобряващи защитата Аdmin tools е компонент, който след и автоматизира всички необходими дейности за повишаване на сигурност: права на папки, актуализации и други RS Firewall следи и блокира всички потенциални заплахи към вашия сайт. Също така има режим, който ви уведомява при потенциални проблеми. jSecure променя URLто до формата за админ логин и по този начин затруднява bruteforce атаки. jHackGuard е плъгин, който защитава Joomla! от следните опасности: SQL Injections, Remote URL/File Inclusions, Remote Code Executions и XSS атаки
Без паника! Ако сайтът вие е хакнат трябва да изпълните следни стъпки: 1. Откриване на дупката и какво е направил Лошият 2. Изчистване сайта от заразените файлове/лошия код 3. Запълване дупката
Откриване на дупката 1. Филтрирайте за скоро променяни файлове 2. След като откриете кога е бил хакнат сайта, проверете логовете от тази дата и час 1. cPanel -> Raw Access logs 2. Използвайте инструмент за логове – ще ви улесни значително 3. Apache Logs Viewer – инструмента който използвам аз
Apache Log Viewer
Изчистване на сайта След като откриете проблема е необходимо да изчистите зловредения код или файлове: 1. Прегледайте сайта за непознати файлове и папки (index.php, mod_text, mod_ads…) 2. Направете Diff на целия сайт за да откриете разликите в кода 3. Проверете за нови администратори 4. Проверете за нови статии или за добавен код в тях 5. Прегледайте базата данни за нови таблици или нетипечен обем 6. Ако не изчистите напълно сайта, може да сте сигурни, че ще бъдете хакнати от ново
Автоматичен одит на Joomla! с myJoomla.com
Запълване на дупката 1. Ако е възможно – възстановете архив 2. Разархивирайте Joomla! върху стария сайт (не сте променяли ядрото, нали ;)) 3. Актуализирайте всички разширения 4. Сменете имената и паролите на старите администратори 5. Сменете вашия .htaccess с този на Nicholas K. Dionysopoulos: http://code.google.com/p/joomla-masterhtaccess/source/browse/trunk/joomlamaster-htaccess.txt 6. Създайте автоматичен архив, ако нямате такъв 7. Бъдете подозрителни, не инсталирайте нови добавки с лека ръка – винаги проверявайте какви са отзивите за тях
Защита на Joomla! сайт Защитата на вашия сайт е процес, за който трябва да се грижите постоянно.
Въпроси?
Въпроси от играта на Superhosting.bg 1. Joomla! 2.5 vs Joomla! 3.x – коя е по-сигурна 2. Трябва ли да не инсталирам никакви компоненти, за да защитя максимално Джумлата си? 3. Кой компонент за сигурност бихте ми препоръчали? 4. Трябват ли някакви специални действия с configuration.php, за да предпазя сайта си? 5. Как да предпазим Joomla! сайтовете си от спам коментари? За и против допълнителни компоненти за коментари? 6. До колко може да се доверим на софтуер свален от някой руски сайт. И дали купуването на лицензен софтуер, гарантира защитата на сайта ни? 7. Достатъчно ли е да ограничим достъпа до тази страница чрез блокиране на всички други IP адреси, за да предотвратим хакването на сайта през администраторския панел? 8. Използването на SSL ще защити ли сайта по някакъв начин?
Благодаря ви! Организатор:

Empfohlen

Какво ново в Joomla?- Joomla! Day 2013 Bulgaria
Какво ново в Joomla?- Joomla! Day 2013 BulgariaКакво ново в Joomla?- Joomla! Day 2013 Bulgaria
Какво ново в Joomla?- Joomla! Day 2013 BulgariaMihail Semerdzhiev
 
Netpeak Talks: Базови SEO съвети за сайтове на Wordpress 2020
Netpeak Talks: Базови SEO съвети за сайтове на Wordpress 2020Netpeak Talks: Базови SEO съвети за сайтове на Wordpress 2020
Netpeak Talks: Базови SEO съвети за сайтове на Wordpress 2020Netpeak
 
Drupal Security
Drupal SecurityDrupal Security
Drupal SecurityMartin Martinov
 
SEO курс, лекция 11 - От заявка до рендиране
SEO курс, лекция 11 - От заявка до рендиранеSEO курс, лекция 11 - От заявка до рендиране
SEO курс, лекция 11 - От заявка до рендиранеLily Grozeva
 
1 install-wordpress
1 install-wordpress1 install-wordpress
1 install-wordpressEvelina St
 
DrupalCamp Sofia 2015
DrupalCamp Sofia 2015DrupalCamp Sofia 2015
DrupalCamp Sofia 2015Bozhidar Boshnakov
 
Успешна оптимизация и конверсия за WordPress
Успешна оптимизация и конверсия за WordPressУспешна оптимизация и конверсия за WordPress
Успешна оптимизация и конверсия за WordPressBanko Stoianov
 
Mozllla Labs presentation
Mozllla Labs presentationMozllla Labs presentation
Mozllla Labs presentationBogomil Shopov
 

Empfohlen

Какво ново в Joomla?- Joomla! Day 2013 Bulgaria
Какво ново в Joomla?- Joomla! Day 2013 BulgariaКакво ново в Joomla?- Joomla! Day 2013 Bulgaria
Какво ново в Joomla?- Joomla! Day 2013 BulgariaMihail Semerdzhiev
 
Netpeak Talks: Базови SEO съвети за сайтове на Wordpress 2020
Netpeak Talks: Базови SEO съвети за сайтове на Wordpress 2020Netpeak Talks: Базови SEO съвети за сайтове на Wordpress 2020
Netpeak Talks: Базови SEO съвети за сайтове на Wordpress 2020Netpeak
 
Drupal Security
Drupal SecurityDrupal Security
Drupal SecurityMartin Martinov
 
SEO курс, лекция 11 - От заявка до рендиране
SEO курс, лекция 11 - От заявка до рендиранеSEO курс, лекция 11 - От заявка до рендиране
SEO курс, лекция 11 - От заявка до рендиранеLily Grozeva
 
1 install-wordpress
1 install-wordpress1 install-wordpress
1 install-wordpressEvelina St
 
DrupalCamp Sofia 2015
DrupalCamp Sofia 2015DrupalCamp Sofia 2015
DrupalCamp Sofia 2015Bozhidar Boshnakov
 
Успешна оптимизация и конверсия за WordPress
Успешна оптимизация и конверсия за WordPressУспешна оптимизация и конверсия за WordPress
Успешна оптимизация и конверсия за WordPressBanko Stoianov
 
Mozllla Labs presentation
Mozllla Labs presentationMozllla Labs presentation
Mozllla Labs presentationBogomil Shopov
 
11086 browser security-presentation
11086 browser security-presentation11086 browser security-presentation
11086 browser security-presentationAtanas Sqnkov
 
Html search engine optimization
Html search engine optimizationHtml search engine optimization
Html search engine optimizationBoian Ivanov
 
WordPress SEO - Digital4Varna
WordPress SEO - Digital4VarnaWordPress SEO - Digital4Varna
WordPress SEO - Digital4VarnaNicky Krastev
 
Seo plovdiv 2011
Seo plovdiv 2011 Seo plovdiv 2011
Seo plovdiv 2011 Borislav Arapchev
 
Word Press за маниаци
Word Press за маниациWord Press за маниаци
Word Press за маниациKaloyan Tsvetkov
 
Джумла! 1.6
Джумла! 1.6Джумла! 1.6
Джумла! 1.6ivo.apostolov
 
Appetite suppressants
Appetite suppressantsAppetite suppressants
Appetite suppressantsRob Stock
 
Get pure hoodia select
Get pure hoodia selectGet pure hoodia select
Get pure hoodia selectRob Stock
 
Mito low acid final JFS#1 10.1111-1750-3841.12937
Mito low acid final JFS#1 10.1111-1750-3841.12937Mito low acid final JFS#1 10.1111-1750-3841.12937
Mito low acid final JFS#1 10.1111-1750-3841.12937Jane Caldwell
 
Learn scratch-programming-e book
Learn scratch-programming-e bookLearn scratch-programming-e book
Learn scratch-programming-e booktechnicalteam
 
Residential
ResidentialResidential
ResidentialLaura Benson
 
How We Built AppExchange and our Communities on the App Cloud (Platform)
How We Built AppExchange and our Communities on the App Cloud (Platform)How We Built AppExchange and our Communities on the App Cloud (Platform)
How We Built AppExchange and our Communities on the App Cloud (Platform)Dreamforce
 
VIDEOTALENTOS - Bases Legales.
VIDEOTALENTOS - Bases Legales.VIDEOTALENTOS - Bases Legales.
VIDEOTALENTOS - Bases Legales.Fundación Banco Santander
 
0023
00230023
0023JIuc
 
Family Schedule Tips
Family Schedule TipsFamily Schedule Tips
Family Schedule TipsMaidPro Windsor
 
Tintas
TintasTintas
TintasFelipe Oliveira
 
NSH_HC_Workbook_Assessor_Jan15FINAL
NSH_HC_Workbook_Assessor_Jan15FINALNSH_HC_Workbook_Assessor_Jan15FINAL
NSH_HC_Workbook_Assessor_Jan15FINALLouise Cleaver
 
The Daily.The History Page.Lighting a Torch
The Daily.The History Page.Lighting a TorchThe Daily.The History Page.Lighting a Torch
The Daily.The History Page.Lighting a TorchMarjorieBackman
 
Cat devant un souffle cardiaque
Cat devant un souffle cardiaqueCat devant un souffle cardiaque
Cat devant un souffle cardiaqueDr A. ILBOUDO
 
Iato
IatoIato
IatoNoufal Naheem kk
 
Power point it afdal
Power point it afdalPower point it afdal
Power point it afdalAfdheal BeRlos
 
Drupal security lecture
Drupal security lectureDrupal security lecture
Drupal security lectureslide9991
 

Weitere ähnliche Inhalte

Was ist angesagt?

11086 browser security-presentation
11086 browser security-presentation11086 browser security-presentation
11086 browser security-presentationAtanas Sqnkov
 
Html search engine optimization
Html search engine optimizationHtml search engine optimization
Html search engine optimizationBoian Ivanov
 
WordPress SEO - Digital4Varna
WordPress SEO - Digital4VarnaWordPress SEO - Digital4Varna
WordPress SEO - Digital4VarnaNicky Krastev
 
Word Press за маниаци
Word Press за маниациWord Press за маниаци
Word Press за маниациKaloyan Tsvetkov
 

Was ist angesagt? (6)

11086 browser security-presentation
11086 browser security-presentation11086 browser security-presentation
11086 browser security-presentation
 
Html search engine optimization
Html search engine optimizationHtml search engine optimization
Html search engine optimization
 
WordPress SEO - Digital4Varna
WordPress SEO - Digital4VarnaWordPress SEO - Digital4Varna
WordPress SEO - Digital4Varna
 
Seo plovdiv 2011
Seo plovdiv 2011 Seo plovdiv 2011
Seo plovdiv 2011
 
Word Press за маниаци
Word Press за маниациWord Press за маниаци
Word Press за маниаци
 
Джумла! 1.6
Джумла! 1.6Джумла! 1.6
Джумла! 1.6
 

Andere mochten auch

Appetite suppressants
Appetite suppressantsAppetite suppressants
Appetite suppressantsRob Stock
 
Get pure hoodia select
Get pure hoodia selectGet pure hoodia select
Get pure hoodia selectRob Stock
 
Mito low acid final JFS#1 10.1111-1750-3841.12937
Mito low acid final JFS#1 10.1111-1750-3841.12937Mito low acid final JFS#1 10.1111-1750-3841.12937
Mito low acid final JFS#1 10.1111-1750-3841.12937Jane Caldwell
 
Learn scratch-programming-e book
Learn scratch-programming-e bookLearn scratch-programming-e book
Learn scratch-programming-e booktechnicalteam
 
How We Built AppExchange and our Communities on the App Cloud (Platform)
How We Built AppExchange and our Communities on the App Cloud (Platform)How We Built AppExchange and our Communities on the App Cloud (Platform)
How We Built AppExchange and our Communities on the App Cloud (Platform)Dreamforce
 
0023
00230023
0023JIuc
 
NSH_HC_Workbook_Assessor_Jan15FINAL
NSH_HC_Workbook_Assessor_Jan15FINALNSH_HC_Workbook_Assessor_Jan15FINAL
NSH_HC_Workbook_Assessor_Jan15FINALLouise Cleaver
 
The Daily.The History Page.Lighting a Torch
The Daily.The History Page.Lighting a TorchThe Daily.The History Page.Lighting a Torch
The Daily.The History Page.Lighting a TorchMarjorieBackman
 
Cat devant un souffle cardiaque
Cat devant un souffle cardiaqueCat devant un souffle cardiaque
Cat devant un souffle cardiaqueDr A. ILBOUDO
 

Andere mochten auch (15)

Appetite suppressants
Appetite suppressantsAppetite suppressants
Appetite suppressants
 
Get pure hoodia select
Get pure hoodia selectGet pure hoodia select
Get pure hoodia select
 
Mito low acid final JFS#1 10.1111-1750-3841.12937
Mito low acid final JFS#1 10.1111-1750-3841.12937Mito low acid final JFS#1 10.1111-1750-3841.12937
Mito low acid final JFS#1 10.1111-1750-3841.12937
 
Learn scratch-programming-e book
Learn scratch-programming-e bookLearn scratch-programming-e book
Learn scratch-programming-e book
 
Residential
ResidentialResidential
Residential
 
How We Built AppExchange and our Communities on the App Cloud (Platform)
How We Built AppExchange and our Communities on the App Cloud (Platform)How We Built AppExchange and our Communities on the App Cloud (Platform)
How We Built AppExchange and our Communities on the App Cloud (Platform)
 
VIDEOTALENTOS - Bases Legales.
VIDEOTALENTOS - Bases Legales.VIDEOTALENTOS - Bases Legales.
VIDEOTALENTOS - Bases Legales.
 
0023
00230023
0023
 
Family Schedule Tips
Family Schedule TipsFamily Schedule Tips
Family Schedule Tips
 
Tintas
TintasTintas
Tintas
 
NSH_HC_Workbook_Assessor_Jan15FINAL
NSH_HC_Workbook_Assessor_Jan15FINALNSH_HC_Workbook_Assessor_Jan15FINAL
NSH_HC_Workbook_Assessor_Jan15FINAL
 
The Daily.The History Page.Lighting a Torch
The Daily.The History Page.Lighting a TorchThe Daily.The History Page.Lighting a Torch
The Daily.The History Page.Lighting a Torch
 
Cat devant un souffle cardiaque
Cat devant un souffle cardiaqueCat devant un souffle cardiaque
Cat devant un souffle cardiaque
 
Iato
IatoIato
Iato
 
Power point it afdal
Power point it afdalPower point it afdal
Power point it afdal
 

Ähnlich wie Защита и сигурност на Joomla! сайт - Joomla! Day 2013 Bulgaria

Drupal security lecture
Drupal security lectureDrupal security lecture
Drupal security lectureslide9991
 
Презентация Фатих
Презентация ФатихПрезентация Фатих
Презентация ФатихFatih Dmrl
 
Защита в интернет bgs.goinnovation.org
Защита в интернет bgs.goinnovation.orgЗащита в интернет bgs.goinnovation.org
Защита в интернет bgs.goinnovation.orgAvraam Mihailov
 
Php security
Php securityPhp security
Php securityphristov
 
Penetration testing for dummies
Penetration testing for dummiesPenetration testing for dummies
Penetration testing for dummiesCode Runners
 
SEO курс 2014, лекция 3: Техническа оптимизация, част 1
SEO курс 2014, лекция 3: Техническа оптимизация, част 1SEO курс 2014, лекция 3: Техническа оптимизация, част 1
SEO курс 2014, лекция 3: Техническа оптимизация, част 1Lily Grozeva
 
11086 browser-security
11086 browser-security11086 browser-security
11086 browser-securityAtanas Sqnkov
 
Защита при създаване на PHP-приложения в Интернет
Защита при създаване на PHP-приложения в ИнтернетЗащита при създаване на PHP-приложения в Интернет
Защита при създаване на PHP-приложения в Интернетeismail
 
Kursova 116679
Kursova 116679Kursova 116679
Kursova 116679superazo
 
Безопасност и защита при използване на Web-браузъри.
Безопасност и защита при използване на Web-браузъри.Безопасност и защита при използване на Web-браузъри.
Безопасност и защита при използване на Web-браузъри.MarT0oo
 
Lotus Domino Admin Blast: LCTY 2011
Lotus Domino Admin Blast: LCTY 2011Lotus Domino Admin Blast: LCTY 2011
Lotus Domino Admin Blast: LCTY 2011IBS Bulgaria
 
The Mobile version of a web-site - a plus for SEO optimization 2011
The Mobile version of a web-site - a plus for SEO optimization 2011 The Mobile version of a web-site - a plus for SEO optimization 2011
The Mobile version of a web-site - a plus for SEO optimization 2011 Borislav Arapchev
 

Ähnlich wie Защита и сигурност на Joomla! сайт - Joomla! Day 2013 Bulgaria (20)

Drupal security lecture
Drupal security lectureDrupal security lecture
Drupal security lecture
 
Презентация Фатих
Презентация ФатихПрезентация Фатих
Презентация Фатих
 
Защита в интернет bgs.goinnovation.org
Защита в интернет bgs.goinnovation.orgЗащита в интернет bgs.goinnovation.org
Защита в интернет bgs.goinnovation.org
 
Php security
Php securityPhp security
Php security
 
Webloz2011
Webloz2011Webloz2011
Webloz2011
 
Penetration testing for dummies
Penetration testing for dummiesPenetration testing for dummies
Penetration testing for dummies
 
Security Log Management
Security Log ManagementSecurity Log Management
Security Log Management
 
SEO курс 2014, лекция 3: Техническа оптимизация, част 1
SEO курс 2014, лекция 3: Техническа оптимизация, част 1SEO курс 2014, лекция 3: Техническа оптимизация, част 1
SEO курс 2014, лекция 3: Техническа оптимизация, част 1
 
WordPress Security
WordPress SecurityWordPress Security
WordPress Security
 
11086 browser-security
11086 browser-security11086 browser-security
11086 browser-security
 
Защита при създаване на PHP-приложения в Интернет
Защита при създаване на PHP-приложения в ИнтернетЗащита при създаване на PHP-приложения в Интернет
Защита при създаване на PHP-приложения в Интернет
 
Wordcamp2011
Wordcamp2011Wordcamp2011
Wordcamp2011
 
Kursova 116679
Kursova 116679Kursova 116679
Kursova 116679
 
Безопасност и защита при използване на Web-браузъри.
Безопасност и защита при използване на Web-браузъри.Безопасност и защита при използване на Web-браузъри.
Безопасност и защита при използване на Web-браузъри.
 
B4 t4 include_files
B4 t4 include_filesB4 t4 include_files
B4 t4 include_files
 
B4 t4 include_files
B4 t4 include_filesB4 t4 include_files
B4 t4 include_files
 
B4 t4 include_files
B4 t4 include_filesB4 t4 include_files
B4 t4 include_files
 
Virus.info
Virus.infoVirus.info
Virus.info
 
Lotus Domino Admin Blast: LCTY 2011
Lotus Domino Admin Blast: LCTY 2011Lotus Domino Admin Blast: LCTY 2011
Lotus Domino Admin Blast: LCTY 2011
 
The Mobile version of a web-site - a plus for SEO optimization 2011
The Mobile version of a web-site - a plus for SEO optimization 2011 The Mobile version of a web-site - a plus for SEO optimization 2011
The Mobile version of a web-site - a plus for SEO optimization 2011
 

Защита и сигурност на Joomla! сайт - Joomla! Day 2013 Bulgaria

  • 2. Как да защитим своя Joomla! сайт? Михаил Семерджиев
  • 3. Малко статистика  През последните месеци се наблюдава значителна активност към всички Joomla! сайтове. Независимо къде се намират, колко са големи и колко са посещавани. Зловреден достъп към сайтове на Superhosting през последните 12 месеца.  Основните цели на Лошите са да открият слабо защитени сайтове или такива със стара версия на CMS-a или инсталираните приложения.  Основните методи за пробив, които се използват са:  bruteforce на формата за админ вход  ботове сканиращи за определени файлове, компоненти и версии  Процесът по заразяване е автоматизиран Source: sucuri.net; superhosting.bg Bruteforce атаки към сайтове от мрежата на sucuri.net през последните 2 месеца
  • 4. Опознай врага  Кой?  Силно казано е, ако ги наричаме хакери. Използват готови автоматизирани инструменти и известни пролуки.  Истинският хакер няма да остави след, че сайтът вие е хакнат.  Кога?  Всеки ден.  По всяко време.  Дори в момента.  Как?  Автоматизирани ботове/скритпове търсещи пролуки  Основно търсят стари компоненти и версии на Joomla!  Все по-често се правят bruteforce атаки  Защо?      изпращане на спам - 81.05% site deface - 5,73% разполагане на фишинг сайтове - 6,53% инжектиране на злонамерен код - 4,77% пренасочвания в .htaccess файл към други сайтове - 1,92% Source: superhosting.bg
  • 6. Права на папки и файлове  Папките на Joomla! трябва да бъдат с права 755  Файловете на Joomla! трябва да бъдат с права 644  Файлът configuration.php трябва да бъде с права 444  Никога не използвайте 777(пълен достъп) права! Автоматична промяна на права на файлове и папки чрез FileZilla Можете да инсталирате компонент който да следи за правата
  • 7. Актуален софтуер на сървъра Проверете версията на PHP, MySQL, FTP Client, Apache… Aко е прекалено стара, помолете хостинг компанията да ги актуализира или да ви премести на друг сървър.
  • 8. Актуализирахте ли? Update! Update! Update!  Използвайте последната версия на Joomla!  Следете и ъпдейтвайте регулярно всички добавки – тежко е, но трябва!  Не отлагайте ъпдейта за утре! Source: superhosting.bg
  • 9. Използвайте сложни пароли Един Супер-Компютър за разбиване на пароли струва $2 700... ... през 2010г.
  • 10. Използвайте сложни пароли Парола Битове Операции Време за разбиване 15082005 13,6 12 416 0,00038 msec admin 15,9 61 147 0.00185 msec ortrtaortftaaidbt 67,7 2,39е+20 228,95 години 0rtrTA0rtfTa&idbT 88,2 3,55е+26 340 милиона години Златни правила:  Паролата ви трябва да е поне 8 знака  Трябва да съдържа  малки букви  главни букви  специални знаци  цифри Source: superhosting.bg
  • 11. Защитаване на админ папката Заключването на папката /administrator ви предпазва до 80% от всички потенциални заплахи. По този начин ограничавате достъпа за вход до администрацията на Joomla! и до файловете на инсталираните компоненти и добавки. Защита с парола  През cPanel: Сигурност -> Директории защитени с парола .htaccess файл в /administrator: .httaccess file: AuthUserFile /home/site/.htpasswd AuthName “Message“ AuthType Basic require user mihail .htpasswd password file: mihail:[password] Защита с бисквитка За достъп до админ папката трябва да се отвори: http://site.com/_secretFolder/  .htaccess файл в /administrator: RewriteEngine On RewriteCond %{REQUEST_URI} ^/administrator RewriteCond %{HTTP_COOKIE} ! JoomlaAdminSession=56lw4hy184ad5984fj h3ea4d64i3de4936dsdfb RewriteRule .* - [L,F]  index.php файл в /_secretFolder: <?php $admin_cookie_code="56lw4hy184ad5984f jh3ea4d64i3de4936dsdfb"; setcookie("JoomlaAdminSession", $admin_cookie_code,0,"/"); header("Location: /administrator/index.php"); ?> Защита по IP  .htaccess файл в /administrator : .httaccess file: Order Deny,Allow Deny from all Allow from 100.100.100.100
  • 12. Архивиране  Задължително архивирайте своя Joomla! сайт  Akeeba backup е страхотен компонент за архивиране на Joomla!  Настройте създаване на чести и автоматични архиви  Спестява много време  Сваляйте архивите на външен носител  Има платена и безплатна версия  Може да се автоматизира
  • 14. Компоненти подобряващи защитата Аdmin tools е компонент, който след и автоматизира всички необходими дейности за повишаване на сигурност: права на папки, актуализации и други RS Firewall следи и блокира всички потенциални заплахи към вашия сайт. Също така има режим, който ви уведомява при потенциални проблеми. jSecure променя URLто до формата за админ логин и по този начин затруднява bruteforce атаки. jHackGuard е плъгин, който защитава Joomla! от следните опасности: SQL Injections, Remote URL/File Inclusions, Remote Code Executions и XSS атаки
  • 15.
  • 16. Без паника! Ако сайтът вие е хакнат трябва да изпълните следни стъпки: 1. Откриване на дупката и какво е направил Лошият 2. Изчистване сайта от заразените файлове/лошия код 3. Запълване дупката
  • 17. Откриване на дупката 1. Филтрирайте за скоро променяни файлове 2. След като откриете кога е бил хакнат сайта, проверете логовете от тази дата и час 1. cPanel -> Raw Access logs 2. Използвайте инструмент за логове – ще ви улесни значително 3. Apache Logs Viewer – инструмента който използвам аз
  • 19. Изчистване на сайта След като откриете проблема е необходимо да изчистите зловредения код или файлове: 1. Прегледайте сайта за непознати файлове и папки (index.php, mod_text, mod_ads…) 2. Направете Diff на целия сайт за да откриете разликите в кода 3. Проверете за нови администратори 4. Проверете за нови статии или за добавен код в тях 5. Прегледайте базата данни за нови таблици или нетипечен обем 6. Ако не изчистите напълно сайта, може да сте сигурни, че ще бъдете хакнати от ново
  • 20. Автоматичен одит на Joomla! с myJoomla.com
  • 21. Запълване на дупката 1. Ако е възможно – възстановете архив 2. Разархивирайте Joomla! върху стария сайт (не сте променяли ядрото, нали ;)) 3. Актуализирайте всички разширения 4. Сменете имената и паролите на старите администратори 5. Сменете вашия .htaccess с този на Nicholas K. Dionysopoulos: http://code.google.com/p/joomla-masterhtaccess/source/browse/trunk/joomlamaster-htaccess.txt 6. Създайте автоматичен архив, ако нямате такъв 7. Бъдете подозрителни, не инсталирайте нови добавки с лека ръка – винаги проверявайте какви са отзивите за тях
  • 22. Защита на Joomla! сайт Защитата на вашия сайт е процес, за който трябва да се грижите постоянно.
  • 24. Въпроси от играта на Superhosting.bg 1. Joomla! 2.5 vs Joomla! 3.x – коя е по-сигурна 2. Трябва ли да не инсталирам никакви компоненти, за да защитя максимално Джумлата си? 3. Кой компонент за сигурност бихте ми препоръчали? 4. Трябват ли някакви специални действия с configuration.php, за да предпазя сайта си? 5. Как да предпазим Joomla! сайтовете си от спам коментари? За и против допълнителни компоненти за коментари? 6. До колко може да се доверим на софтуер свален от някой руски сайт. И дали купуването на лицензен софтуер, гарантира защитата на сайта ни? 7. Достатъчно ли е да ограничим достъпа до тази страница чрез блокиране на всички други IP адреси, за да предотвратим хакването на сайта през администраторския панел? 8. Използването на SSL ще защити ли сайта по някакъв начин?

Hinweis der Redaktion

  1. {}