Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


23.04.2019

Optymalizacja zużycia chmury

HPE GreenLake Hybrid Cloud
23.04.2019

Zarządzanie wydajnością

VMware vRealize Operations 7.5
19.04.2019

Technologie open source

SUSECON 2019
19.04.2019

Wyjątkowo małe

OKI seria C800
19.04.2019

Łatwy montaż

Rittal AX i KX
18.04.2019

Technologie wideo

Avaya IX Collaboration Unit
18.04.2019

Krótki rzut

Optoma W318STe i X318STe
18.04.2019

Do mobilnej pracy

Jabra Evolve 65e
27.03.2019

Pożegnanie z systemem Windows...

System operacyjny Windows 7 wciąż cieszy się dużą popularnością wśród użytkowników...

JOOMLA! – Jak dobrze zabezpieczyć witrynę

Data publikacji: 27-07-2016 Autor: Paweł Frankowski
AdminExile – ustawienia...

Kilkanaście lat temu ataki na strony WWW były egzotyką. Obecnie, według danych Sophos Labs, codziennie hakowanych jest 30 tysięcy stron. To olbrzymia liczba, która pokazuje, że niemal nikt nie jest bezpieczny. I nie ma znaczenia, czy jest to witryna hobbystyczna, firmowa, sklep internetowy czy serwis ogłoszeniowy. Każdy jest potencjalnym celem.

Większość właścicieli stron internetowych wychodzi z mylnego założenia, że skoro zaufali firmie, która od wielu lat tworzy strony WWW, to z pewnością ta realizacja posłuży im przez kilka lat, zagwarantuje powodzenie w biznesie i duże zyski. Także początkujący webmasterzy cieszą się, że za pomocą np. CMS-a Joomla! szybko i tanio zbudują niemal każdą witrynę. Niestety, dobrze jest do czasu. Później jest atak.

Na szczęście świadomość zagrożeń związanych z aktywnością sieciowych przestępców wzrasta i wielu administratorów oraz developerów stron już w procesie projektowania lub budowy uwzględnia mechanizmy bezpieczeństwa jako kluczowy składnik realizowanego projektu. Równocześnie atakujący szukają coraz to nowych sposobów, żeby ominąć stawiane im przeszkody. Często wykorzystują ludzką chęć oszczędzania. Modyfikują np. szablony oraz rozszerzenia, a następnie publikują je na serwisach z warezami. Bo wiedzą, że spora liczba osób korzysta z tych zasobów nie tylko do celów testowych, ale także produkcyjnych. Podobnie jest z tymczasowymi hasłami i loginami typu „admin”. Zatem co z tego, że sam CMS jest bezpieczny, skoro popełniamy błędy, które ułatwiają pracę internetowym włamywaczom.

Popularne przysłowie, które mówi, że lepiej zapobiegać, niż leczyć, odnosi się także do internetowych projektów. W artykule opisujemy kilka praktycznych rozwiązań, które utrudnią pracę włamywaczom do systemu Joomla!, a nam zaoszczędzą sporo nerwów i czasu.

> SPRAWDŹ STRONĘ, ZRÓB BACKUP

Nim zaczniemy zabezpieczać stronę, należy sprawdzić, czy nie staliśmy się już ofiarą cyberataku (polecamy tekst dotyczący analizy powłamaniowej pt. „Odzyskiwanie strony WWW po ataku”, „IT Professional”, 5/2016, s. 40). Następnie należy wykonać pełny back­up strony, łącznie z bazą danych. Jednym z najpopularniejszych komponentów do wykonywania kopii zapasowych jest Akeeba Backup, w którym, nawet w darmowej wersji, można znaleźć wszystko, czego oczekuje się od tego typu oprogramowania. Innym darmowym rozszerzeniem wartym zainteresowania jest Easy Joomla Backup. Co prawda tworzona za pomocą tego narzędzia kopia nie zawiera instalatora przywracania, ale obsługiwana ręcznie radzi sobie całkiem nieźle. Trzeba też pamiętać o jeszcze jednej kwestii – ponieważ kopie wykonane za pomocą wspomnianych i podobnych im narzędzi zazwyczaj domyślnie trzymane są na pierwotnym serwerze, to w razie awarii utracimy do nich dostęp. Niechlubnym przykładem były wydarzenia z marca 2016 r., kiedy to przez blisko miesiąc klienci firmy hostingowej 2be.pl byli pozbawieni dostępu do wszystkich wykupionych usług. Nie posiadając lokalnych kopii zapasowych, nie byli oni w stanie nawet zmienić usługodawcy. Dla wielu firm była to bolesna, także finansowo, lekcja. Dodatkowo, jeśli sieciowemu agresorowi uda się uzyskać dostęp do plików kopii, będzie miał dostęp do wszystkich danych, takich jak ustawienia CMS, bazy użytkowników/klientów, listy zainstalowanych rozszerzeń itp. Mając takie dane, będzie w stanie świetnie przygotować się do kolejnego, bardziej skutecznego ataku. Warto zatem wykonane kopie (np. bazy danych) wysyłać na bezpieczny dysk sieciowy lub adres e-mail, bądź za każdym razem zgrywać ją i kasować z serwera.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"