Συχνά ερχόμαστε αντιμέτωποι με ένα σημαντικό πρόβλημα που παρουσιάζεται στους πελάτες μας, το οποίο δεν είναι άλλο από την ασφάλεια του site τους.Ερωτήματα όπως “Μου κάνουν συχνά επιθέσεις στην ιστοσελίδα μου,πως μπορώ να τις αποφύγω;”, “Τι πρέπει να γίνει ώστε να μην μπορούν να παραβιάσουν τη σελίδα μου;”, παρουσιάζονται στο helpdesk κατά καιρούς.
Η εφαρμογή Joomla! είναι η πλέον δημοφιλής πλατφόρμα διαχείρισης περιεχομένου (CMS) και χρησιμοποιείται από πολλές ιστοσελίδες παγκοσμίως.
Είναι όμως ιδιαίτερα ευάλωτη και με πολλά κενά ασφαλείας, γεγονός που οφείλεται κυρίως στα χιλιάδες πρόσθετα (plugins) που έχουν δημιουργηθεί για αυτήν και τα οποία πολλές φορές δεν δίνουν την απαραίτητη προσοχή σε θέματα ασφαλείας.
Πολλές ιστοσελίδες που στηρίζονται στο Joomla παραβιάζονται καθημερινά σε όλο τον κόσμο και χρησιμοποιούνται κακόβουλα για αποστολή spam, διακίνηση παράνομου υλικού, επιθέσεις σε άλλα δίκτυα και άλλες παράνομες δραστηριότητες, προκαλώντας σε ορισμένες περιπτώσεις ακόμη και νομικά προβλήματα στον ιδιοκτήτη της ιστοσελίδας.
Εκτός από τα κενά ασφαλείας, ένας άλλος συνηθισμένος τρόπος για να αποκτήσει κάποιος τρίτος πρόσβαση στο διαχειριστικό τμήμα της εφαρμογής είναι μέσω αυτοματοποιημένων κακόβουλων προγραμμάτων. Γίνονται, έτσι, συνεχείς απόπειρες εισόδου στο διαχειριστικό περιβάλλον της εφαρμογής Joomla (/administrator/index.php). Τα προγράμματα αυτά προσπαθούν να μαντέψουν τον κωδικό πρόσβασης του διαχειριστή δοκιμάζοντας τυχαίους κωδικούς (brute force attack). Λόγω του μεγάλου αριθμού των επιθέσεων (εκατοντάδες απόπειρες το λεπτό) οι παραπάνω ενέργειες προκαλούν υπερβολικό φόρτο στο server που φιλοξενείται η σελίδα που δέχεται την επίθεση. Για το λόγο αυτό είναι σημαντικό να ενισχύσουμε την ασφάλεια μιας ιστοσελίδας που στηρίζεται στην πλατφόρμα Joomla με τις εξής ενέργειες:
- Προστατεύουμε άμεσα με κωδικό πρόσβασης το φάκελο administrator. Από το control panel του site μας επιλέγουμε: Password Protected Directories -> Find a Directory to Password Protect. Με αυτόν τον τρόπο ο server αποκλείει την πρόσβαση σε όλους σε αυτόν τον φάκελο, αποτρέποντας την επίθεση.
- Δημιουργούμε ένα αρχείο κειμένου(.txt) με την ονομασία .htaccess (το όνομα του αρχείου αρχίζει με τελεία .) και προσθέτουμε τον παρακάτω κώδικα:
AddHandler cgi-script .php .php4 .php5 .php6 .pl .py .htm .html .shtml .sh .cgi
Options -ExecCGIΣτη συνέχεια αντιγράφουμε αυτό το αρχείο μέσα στους φακέλους tmp και images.
- Πολλά κενά ασφαλείας του Joomla επιτρέπουν σε hackers τη μεταφόρτωση αρχείων σε αυτούς τους φακέλους. Ύστερα, τα αρχεία αυτά χρησιμοποιούνται με κακόβουλο τρόπο για να βλάψουν την ιστοσελίδα σας. Με τον παραπάνω τρόπο, τα αρχεία αυτά καθίστανται μη εκτελέσιμα, εξαλείφοντας την πιθανότητα αυτού του είδους επίθεσης.
- Αναβαθμίζουμε στην τελευταία έκδοση joomla της σειράς που χρησιμοποιούμε, για παράδειγμα, την τελευταία έκδοση της σειράς 1.5, 1.6, 1.7, 2.5, 3.0 κτλ. Κάθε νέα έκδοση συνήθως διορθώνει κενά ασφαλείας της προηγούμενης έκδοσης. Αν δεν έχετε εγκατεστημένη την τελευταία έκδοση της σειράς, πιθανότατα το site σας είναι ευάλωτο και παραβιάσιμο.
- Απεγκαθιστούμε και στη συνέχεια διαγράφουμε τα αρχεία τους από το server, όσα πρόσθετα (plugins, modules, templates) δεν χρησιμοποιούμε. Πολλές παραβιάσεις γίνονται μέσω αυτών, ενώ είναι πρακτικά άχρηστα. Με την διαγραφή τους μειώνετε τον κίνδυνο παραβίασης της ιστοσελίδας σας.
- Χρησιμοποιούμε πάντα ισχυρούς κωδικούς πρόσβασης. Κωδικοί όπως 123456, admin, password, 123abc κτλ παραβιάζονται σε δευτερόλεπτα.
- Δεν χρησιμοποιούμε “δωρεάν” templates και plugins από αναξιόπιστες πήγες. Τα περισσότερα είναι ήδη μολυσμένα με κακόβουλο κρυπτογραφημένο κώδικα.
Η ασφάλεια μιας ιστοσελίδας είναι επιτακτική και πρωτεύουσα ανάγκη για τη σωστή λειτουργία της. Σωστή λειτουργία σελίδας ισούται με γρήγορη και εύκολη περιήγηση του χρήστη, την οποία απαιτεί ο καθένας, κυρίως στον επαγγελματικό τομέα. “Προσέχουμε για να έχουμε”, λέει η παροιμία, σοφά και περιεκτικά λόγια.
Επιλέξτε ένα από τα Joomla hosting πακέτα φιλοξενίας στην Multihosting και σας εγγυούμαστε πως θα έχετε Joomla-Expert Υποστήριξη
