Joomla to wciąż drugi najpopularniejszy system CMS na świecie. W rankingu Polska zajmuje piątą pozycję w krajach najczęściej wykorzystujących rozwiązania oparte o CMS JOOMLA!. Im rozwiązanie jest popularniejsze tym więcej dochodzi do ataków na te rozwiązanie co jest rzeczą normalną w świecie internetu. Na tej liście znajdziesz podpowiedzi, do których będziesz mógł się zastosować natychmiast po przeczytaniu, aby większych bezpieczeństwo Twojej strony, bloga czy też sklepu. 

1 NIEBEZPIECZEŃSTWA

Ponieważ internet to prawdziwa otchłań użytkowników nie zawsze są tylko Ci dobrzy. Pamiętaj są osoby które włamują się po prostu dla zabawy, dla wyrządzenia największych szkód oraz i takie, które pokazują słabe punktu systemów. Ataki są różnego rodzaju, od osobistych poprzez boty, które szukają dziur w nie zaktualizowanych stronach czy komponentach. 

2 ODPOWIEDZIALNOŚĆ

Pamiętaj, ponieważ to Ty jesteś administratorem na Tobie spoczywa odpowiedzialność. Dbaj o stronę zaglądaj do niej regularnie sprawdzaj skanuj w poszukiwaniu złośliwego oprogramowania. Przeglądaj biuletyny, gdzie publikowane są na bieżąco wykryte luki. Odpowiedzialność za stronę leży tylko i wyłącznie w Twoich rękach. Jeśli się nie znasz lub nie masz czasu deleguj tą odpowiedzialność na osobę, która zrobi to wszystko za Ciebie. Jeśli problem już wystąpi to w Twoim interesie jest znaleźć jak najszybciej rozwiązanie. Google nie będzie czekać oznaczy stronę jako niebezpieczną, a Twój hosting może nawet zawiesić Twoje konto.

3 OGRANICZONE ZAUFANIE

Stosuj zasadę ograniczonego zaufania do osób, z którymi współpracujesz. Nie zawsze trzeba nadawać pełne prawa administracyjne szczególnie osobą, które na przykład piszą tylko artykuły dla Ciebie. 
Ograniczone zaufanie to również pobieranie rozszerzeń z niezaufanych źródeł. Uważaj na osoby, które wykonają dla Ciebie audyt za darmo, ale potrzebują wszystkich haseł dostępowych. Zastanów się wówczas czy rzeczywiście te hasła dostępowe są potrzebne do wykonania takiego audytu.

4 AKTUALIZACJE

Czy wiesz, że 66% administratorów zapomina o aktualizacji swoich stron. Jeśli Twoją stroną nie będzie aktualna ryzyko infekcji malware rośnie bardzo szybko. Powiadomienia o nowej wersji Joomla dostaniesz po zalogowaniu się do panelu administracyjnego. Wykonaj kopie swojego systemu i zaktualizuj go. Nigdy nie zaniedbuj aktualizacji. Zaktualizuj instalację Joomla od razu po ukazaniu się komunikatu o nowej wersji!

Na pewno nie chcesz znaleźć się w grupie 66% stron potencjalnych, które mogą rozsyłać spam.

5 ŚLEDŹ NA BIEŻĄCO

Śledź na bieżąco kanały informacyjne bezpieczeństwa, jak i aktualizacji Joomla. 

https://developer.joomla.org/security-centre.feed?type=rss

https://www.joomla.org/announcements.feed?type=rss

https://www.facebook.com/joomlagurupl

6 BEZPIECZNE HASŁO

Zastanawiałeś się jak bezpieczne jest Twoje hasło i czy czasem ustawienia imienia + roku urodzenia może nie być czymś bezpiecznym. Joomla pod względem restrykcji haseł jest bardzo pobłażliwa, bo na strat pozwala ustalić hasło 4 znakowe. Łamanie takiego hasła trwa bardzo krótko. Zwiększ poziom nie tylko dla siebie administratora, ale i swoich użytkowników wymuszając mocniejsze hasła, które zawierają duże znaki, cyfry oraz znaki specjalne. Takie minimum w dzisiejszych czasach to 8 znaków. 

Sprawdź siłę swojego hasła https://lastpass.com/howsecure.php 

7 POLITYKA HASEŁ

Zmień politykę haseł na silniejsze oraz możesz nauczyć swoich użytkowników zaplecza używania dwuskładnikowego uwierzytelniania. W każdej Joomla  bez instalacji dodatkowych dodatków (pluginów) możesz skorzystać z dwuskładnikowego uwierzytelniania od  Google Authenticator lub YubiKey.

Jeśli masz problemy z zapamiętywaniem haseł użyj rozszerzeń, które będą te hasła generować i pamiętać za Ciebie.

https://lastpass.com

https://www.dashlane.com

Jak wymusisz silniejsze hasło w Joomla https://joomlaguru.pl/joomla/kursy-video/365/nie-wysylaj-hasla-w-mailu-joomla-to-proste-18 

8 KONTA USER USERS

Zrób sobie wewnętrzny audyt przefiltruj konta i wybierz grupę super users. Sprawdź i zapytaj sam siebie czy obecnie osoby przypisane do tej grupy są godne zaufania. Być może nadałeś użytkownikowi lub koledze uprawnienia, aby pomógł Ci z problemem. A czy zmieniłeś jego uprawienia po wykonanej pracy? Zawsze staraj się ograniczać ilość osób, które mają najwyższe uprawnienia na stronie.

9 WYKORZYSTAJ HOSTING

Sprawdź, czy Twój hosting oferuje narzędzia do skanowania i wykrywania malware. Prawdopodobnie będziesz mógł ustawić takie skanowanie cyklicznie, a powiadomienia o znalezieniu ewentualnych zagrożeń dostaniesz na pocztę.

10 DODATKOWE HASŁO

Dostęp do panelu administracyjnego w zasadzie zna każdy kto miał styczność z CMS Joomla. Więc dobrze byłoby zabezpieczyć ten punkt dodatkowych hasłem. Możesz to prosto zrobić poprzez cPanel w swoim hostingu. A jeśli nie oferuję on takiej funkcjonalności zawsze możesz sam stworzyć wpis w .htaccess w internecie znajdziesz całą masę opisów i przykładów.

Jeśli nie chcesz się grzebać w kodzie możesz użyć narzędzi, które mają taka funkcjonalność:

  • RS!Firewall
  • Akeeba Admin Tools
  • jSecure Lite 

11 SSL

Czas najwyższy, abyś zaczął stosować komunikacje na stronie w sposób szyfrowany poprzez protokół SSL. Oczywiście nie wystarczy przełączyć w konfiguracji używania szyfrowanego połączenia. Musisz mieć jeszcze certyfikat SSL! Zdobędziesz go używając darmowego Let's Encrypts lub kupując certyfikat. 

Dlaczego warto to zrobić, ponieważ podczas przesyłania danych między komputerami użytkowników witryny a serwerem, na którym znajduje się witryna istnieje ryzyko, że dane te zostaną przechwycone przez osobę trzecią i wykorzystane do złośliwych celów. 
Powód drugi użytkownicy dostają ostrzeżenia na swoich przeglądarkach, że dana witryna nie jest bezpieczna i jest odpowiednio oznaczona. Google również bierze ten czynnik w pozycjonowaniu. 

12 KOPIA ZAPASOWA

Warto robić kopie zapasowe, czy to przed instalacją rozszerzeń, czy też przed aktualizacją CMS Joomla. Wystarczy zainstalować na przykład Akeeba Backup core przejść proces konfiguracyjny i cieszyć się kopią bezpieczeństwa strony. Jest to waży element strony, którego nie polecam lekceważyć. Twój hosting zapewne również robi kopie zapasowe jednak nie masz wpływu na to ile czasu je trzyma i jak często wykonuje. 

Jeśli chciałbyś mieć kopie, która robi się automatycznie koniecznie obejrzyj ten poradnik https://joomlaguru.pl/joomla/kursy-video/324/automatyczny-backup-akeeba-backup-core-joomla-to-proste-10

13 AUDYT ROZSZERZEŃ

Zbudowałeś stronię i pewnie testowałeś masę rozwiązań, ale czy posprzątałeś po sobie? Koniecznie przejrzyj komponenty, moduły oraz dodatki, które używasz. Te, które są zbędne koniecznie odinstaluj ze swojej strony. Zmniejszysz tym samym ryzyko potencjalnego ataku na swoją stronę.

Zwróć uwagę na rozszerzenia, które nie posiadają automatycznej aktualizacji! Ważne abyś sprawdzić u dewelopera Twoją wersje rozszerzenia, ponieważ mogło się stać tak, że w między czasie zdarzył wdrożyć już nowszą wersje o której Ty nie jesteś świadomy.

14 PROSTE ADRESY

Zadbaj o to, aby Twoja stroną miała proste adresy. Ważne jest to ze względów bezpieczeństwa, ponieważ tym sposobem ukrywasz jakich komponentów używasz.

Pamiętaj koniecznie przed mianą, a żeby zmienić plik htaccess.txt na .htaccess i dopiero wówczas w konfiguracji globalnej.

15 KOMPONENTY, MODUŁY, DODATKI

Instalujesz różne rzeczy na stronie, ale czy wszystkie pobrałeś od developera, które je wydaje? Jeśli odpowiedź brzmi NIE. Koniecznie pozbądź się ich czym prędzej. Rozszerzenia, które znajdują się na warezach lub innych forach mogą zawierać złośliwy zaszyty kod. Oszczędzasz pieniądze, ale bardzo szybko może się zemścić na Tobie i Twoim czasie, ponieważ będziesz musiał usunąć wirusy lub zapłacić specjaliście który to zrobi za Ciebie.

16 WEWNĘTRZNA POMOC

Korzystaj z takich rozszerzeń jak RS!FRIEWALL czy AKEEBA ADMIN TOOLS w celu dodatkowej ochrony swojej strony. Te narzędzia w sposób automatyczny bez Twojej wiedzy będą aktywnie chronić Twoja stronę przed różnymi rodzajami ataków. Oczywiście to nie jedyne narzędzia dostępne. Więcej znajdziesz w oficjalnym katalogu Joomla pod tym adresem w kategorii site security https://extensions.joomla.org/tags/site-security/

17 ZEWNĘTRZNA POMOC

Istnieją serwisy, które specjalizują się w wykrywaniu zarażonych plików. Takie serwisy bywają pomocne bo przygotowują dla Ciebie raport z bezpieczeństwa. Dzieje się to automatycznie więc nie musisz dawać nikomu dostępu do swojego zaplecza administracyjnego. Instalujesz rozszerzenie od firmy, która się specjalizuje w tym temacie i po chwili masz gotowy raport.

Lista serwisów:

https://myjoomla.com

https://www.siteguarding.com/en

https://hackertarget.com/joomla-security-scan/

18 POBIERZ LISTĘ KONTROLNĄ 

Przygotowałem specjalnie dla Ciebie listę kontrolną, abyś mógł ja wydrukować i krok po prostu sprawdzić bezpieczeństwo Twojej strony, bloga czy sklepu.

Lista kontrolna

 

PODSUMOWANIE

Oczywiście znalazło by się jeszcze kilkanaście punków, ale myślę że to jedne z najważniejszych. Jeśli się do nich zastosujesz Twoja stroną będzie o wiele bardziej bezpieczna niż pozostawiona sama sobie. Polecam zaplanować w kalendarzu raz na kwartał jeden dzień, który poświęcisz na audyt strony. Możesz również kierować się tym jak często zmieniasz rozszerzenia na stronię bądź wymieniasz personel. To też będzie dogodny moment, aby wykonać swój własny audyt. Jeśli masz pytania zostaw je w komentarzu.