Sigurniji Joomla sajt

Autor miki, 11. Travanj 2012, 23:07

0 Članovi i 3 Gosti pregledava ovu temu.

miki

Vidim nisam jedini s problemima oko sigurnosti, no u svakom slučaju bi i ovdje napisao da neke sigurnosne mjere i preporuke  ZLATA VRIJEDE, i živaca :).
Naime (sličan post napisao sam i na webmajstorima) imam praksu kod instalacije Joomle promjeniti nazive tablica iz _jos u nesto drugo,
i za admina dati neko drugo ime, što se pokazalo izgleda dobrim.
Naravno uvjek aktiviram .htaccess fajl (preimenujem htaccess.txt u .htaccess ).
Neki frik ili frikovi mi na jednom sajtu već mjesec dana pokušavaju preko SQL injection 'metoda' hakirati sajt, no za sada bezuspješno:). Redovito update-ujem Joomlu 2.5 i komponente.
No ove upade sam otkrio preko standardne komponente u Joomli 2.5 a zove se Preusmjeravanje (linkova).


Bernard [ExaByte]

Citat: miki  u 11. Travanj 2012, 23:07
Naime (sličan post napisao sam i na webmajstorima) imam praksu kod instalacije Joomle promjeniti nazive tablica iz _jos u nesto drugo,
i za admina dati neko drugo ime, što se pokazalo izgleda dobrim.
Naravno uvjek aktiviram .htaccess fajl (preimenujem htaccess.txt u .htaccess ).
Neki frik ili frikovi mi na jednom sajtu već mjesec dana pokušavaju preko SQL injection 'metoda' hakirati sajt, no za sada bezuspješno:). Redovito update-ujem Joomlu 2.5 i komponente.
No ove upade sam otkrio preko standardne komponente u Joomli 2.5 a zove se Preusmjeravanje (linkova).

Miki, hvala što dijeliš svoja iskustva sa nama. Svakako je preporučljivo napraviti sve dostupne izmjene defaultnog Joomla ponašanja. Ali bitno je time ne dobiti lažnu sigurnost da je to dovoljna zaštita od recimo SQL ili drugih vrsta injectiona. Za uspješan SQL injection dovoljna je loše napisana ekstenzija i nikakvi podaci o bazi nisu nužni. U "idealnom" slučaju, koji nažalost nije rijedak, napadač će odmah dobiti i popis imena svih tablica...

Ja bi ovako sročio jako skraćenu ToDo sigurnosnu listu:

miki

U potpunosti se slažem. No uglavnom teoriju i upozorenja, dok ne zagusti, dosta njih zaobilaze.
U praksi gledaući kodove koje su upućivali prema sajtu (preko 400), vidim uglavnom piše standardni jos_ prefiks na tablici user, preko faličnih komponenti. Nadalje je vidljivo i pokušaj pokretanja skripti koje na sajtu ne postoje (to je sad najnovije).
Pravim mini izvještaj u kome slažem podatke o skriptama, datumu, ip adresi, popratnim mailovima koji mi stižu itd. :)
Upozorio bih i na to da ako Kome stigne sumljiv mail s nekom od primamljivih ponuda ili usluga u kome se traži registrcija na neki sajt ili neki vaši podaci  - izbjegavajte ih, jer registracijom na takav sajt vrlo vjerojatno će te upisati lozinku koju koristite i za pristup svom webu.....

dada

Citat: miki  u 11. Travanj 2012, 23:07
Vidim nisam jedini s problemima oko sigurnosti, no u svakom slučaju bi i ovdje napisao da neke sigurnosne mjere i preporuke  ZLATA VRIJEDE, i živaca :).
Naime (sličan post napisao sam i na webmajstorima) imam praksu kod instalacije Joomle promjeniti nazive tablica iz _jos u nesto drugo,
i za admina dati neko drugo ime, što se pokazalo izgleda dobrim.
Naravno uvjek aktiviram .htaccess fajl (preimenujem htaccess.txt u .htaccess ).
Neki frik ili frikovi mi na jednom sajtu već mjesec dana pokušavaju preko SQL injection 'metoda' hakirati sajt, no za sada bezuspješno:). Redovito update-ujem Joomlu 2.5 i komponente.
No ove upade sam otkrio preko standardne komponente u Joomli 2.5 a zove se Preusmjeravanje (linkova).

POZZ,

Kako koristiš to preusmjeravanje linkova i kako to možeš vidjeti ... šaljem prilog ... može malo objašnjenje oko priloženog hvala

Dario

Citat: dada  u 16. Ožujak 2013, 19:27
Kako koristiš to preusmjeravanje linkova i kako to možeš vidjeti ... šaljem prilog ... može malo objašnjenje oko priloženog hvala
Dada, ako samo otvoriš Redirect komponentu u Joomli 2.5 i klikneš na bilo koji link tamo, vidiš da imaš stari URL i novi URL. Staru URL su linkovi kojima je netko pokušao pristupiti pa sad vidi po linkovima, ako se radi o nečem smislenom - onda redirektaš na ono što misliš da je korisnik htio - a za sve ostalo ti je najbolje
Napraviti Članak "Sadržaj kojem pokušavate pristupiti ne postoji" i jednostavno preusmjeriš sve te ostale nesmislene linkove na taj članak... Također pripazi, sve redirekcije koje su već unutra su ti isključene - dakle sustav ih zabilježi, ali ništa ne poduzima, pa ih treba uključiti.
---
Molim da mi ne šaljete privatne poruke sa zahtjevima za pomoć, takve poruke ignoriram - zato služi forum :)
2b || !2b; this.question();
http://www.dblaze.eu