Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


07.08.2019

Kurzinformation it-sa, 8-10...

It-sa is one of the leading international trade fairs for IT security. With around 700...
08.07.2019

Narzędzie EDR

ESET Enterprise Inspector
08.07.2019

Usuwanie skutków awarii

Veeam Availability Orchestrator v2
08.07.2019

Indywidualna konfiguracja

baramundi Management Suite 2019
05.07.2019

Technologia Ceph

SUSE Enterprise Storage 6
05.07.2019

Szybkie i bezpieczne...

Konica Minolta bizhub i-Series
05.07.2019

Edge computing

Atos BullSequana Edge
04.07.2019

Terabitowa ochrona

Check Point 16000 i 26000
04.07.2019

Obsługa wideokonferencji

Poly G7500

JOOMLA! – Jak dobrze zabezpieczyć witrynę

Data publikacji: 27-07-2016 Autor: Paweł Frankowski
AdminExile – ustawienia...

Kilkanaście lat temu ataki na strony WWW były egzotyką. Obecnie, według danych Sophos Labs, codziennie hakowanych jest 30 tysięcy stron. To olbrzymia liczba, która pokazuje, że niemal nikt nie jest bezpieczny. I nie ma znaczenia, czy jest to witryna hobbystyczna, firmowa, sklep internetowy czy serwis ogłoszeniowy. Każdy jest potencjalnym celem.

Większość właścicieli stron internetowych wychodzi z mylnego założenia, że skoro zaufali firmie, która od wielu lat tworzy strony WWW, to z pewnością ta realizacja posłuży im przez kilka lat, zagwarantuje powodzenie w biznesie i duże zyski. Także początkujący webmasterzy cieszą się, że za pomocą np. CMS-a Joomla! szybko i tanio zbudują niemal każdą witrynę. Niestety, dobrze jest do czasu. Później jest atak.

Na szczęście świadomość zagrożeń związanych z aktywnością sieciowych przestępców wzrasta i wielu administratorów oraz developerów stron już w procesie projektowania lub budowy uwzględnia mechanizmy bezpieczeństwa jako kluczowy składnik realizowanego projektu. Równocześnie atakujący szukają coraz to nowych sposobów, żeby ominąć stawiane im przeszkody. Często wykorzystują ludzką chęć oszczędzania. Modyfikują np. szablony oraz rozszerzenia, a następnie publikują je na serwisach z warezami. Bo wiedzą, że spora liczba osób korzysta z tych zasobów nie tylko do celów testowych, ale także produkcyjnych. Podobnie jest z tymczasowymi hasłami i loginami typu „admin”. Zatem co z tego, że sam CMS jest bezpieczny, skoro popełniamy błędy, które ułatwiają pracę internetowym włamywaczom.

Popularne przysłowie, które mówi, że lepiej zapobiegać, niż leczyć, odnosi się także do internetowych projektów. W artykule opisujemy kilka praktycznych rozwiązań, które utrudnią pracę włamywaczom do systemu Joomla!, a nam zaoszczędzą sporo nerwów i czasu.

> SPRAWDŹ STRONĘ, ZRÓB BACKUP

Nim zaczniemy zabezpieczać stronę, należy sprawdzić, czy nie staliśmy się już ofiarą cyberataku (polecamy tekst dotyczący analizy powłamaniowej pt. „Odzyskiwanie strony WWW po ataku”, „IT Professional”, 5/2016, s. 40). Następnie należy wykonać pełny back­up strony, łącznie z bazą danych. Jednym z najpopularniejszych komponentów do wykonywania kopii zapasowych jest Akeeba Backup, w którym, nawet w darmowej wersji, można znaleźć wszystko, czego oczekuje się od tego typu oprogramowania. Innym darmowym rozszerzeniem wartym zainteresowania jest Easy Joomla Backup. Co prawda tworzona za pomocą tego narzędzia kopia nie zawiera instalatora przywracania, ale obsługiwana ręcznie radzi sobie całkiem nieźle. Trzeba też pamiętać o jeszcze jednej kwestii – ponieważ kopie wykonane za pomocą wspomnianych i podobnych im narzędzi zazwyczaj domyślnie trzymane są na pierwotnym serwerze, to w razie awarii utracimy do nich dostęp. Niechlubnym przykładem były wydarzenia z marca 2016 r., kiedy to przez blisko miesiąc klienci firmy hostingowej 2be.pl byli pozbawieni dostępu do wszystkich wykupionych usług. Nie posiadając lokalnych kopii zapasowych, nie byli oni w stanie nawet zmienić usługodawcy. Dla wielu firm była to bolesna, także finansowo, lekcja. Dodatkowo, jeśli sieciowemu agresorowi uda się uzyskać dostęp do plików kopii, będzie miał dostęp do wszystkich danych, takich jak ustawienia CMS, bazy użytkowników/klientów, listy zainstalowanych rozszerzeń itp. Mając takie dane, będzie w stanie świetnie przygotować się do kolejnego, bardziej skutecznego ataku. Warto zatem wykonane kopie (np. bazy danych) wysyłać na bezpieczny dysk sieciowy lub adres e-mail, bądź za każdym razem zgrywać ją i kasować z serwera.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"