Πριν λίγες ημέρες έλαβα από αναγνώστη του blog μας ένα e-mail. Διαβάζοντας το άρθρο μου για την προστασία του αρχείου config.php στο WordPress, με ρώτησε αν υπάρχει τρόπος να προστατέψει την ιστοσελίδα του που βασίζεται στο Joomla με .htaccess. Φίλε Μανώλη, αν και έχεις λάβει off the record οδηγίες, το άρθρο που ακολουθεί είναι αφιερωμένο σε εσένα.
Η αλήθεια είναι πως στο Joomla, ο φάκελος /Administrator είναι πασίγνωστος στους απανταχού hackers ή script kids που βασίζονται σε exploits για να αποκτήσουν πρόσβαση στην σελίδα σας και να φέρουν… τα πάνω κάτω. Θα δοκιμάσουν την τύχη τους, το δίχως άλλο. Αν κάπου είστε ευάλωτοι, αν χρησιμοποιείτε συγκεκριμένα usernames και πολύ απλούς κωδικούς (βλ. 12345678, admin1234, qwerty, κ.α.), να είστε σίγουροι πως δεν θα μείνουν απλά στην προσπάθεια. Θα συνδεθούν, θα σας διαγράψουν περιεχόμενο, μπορεί να εισάγουν στα κείμενά σας συνδέσμους προς ιούς ώστε να μολύνουν τους αναγνώστες σας ή να επεκταθούν ακόμη περισσότερο λαμβάνοντας τον πλήρη έλεγχο του server σας.
Φυσικά, όσοι από εσάς έχετε επιλέξει έναν Linux server, τότε οφείλετε να ξέρετε πως δεν είστε άοπλοι στον πόλεμο. Το όπλο σας, καλείται .htaccess / .htpassw και θωρακίζει τον φάκελο /administrator/ με ακόμη ένα επίπεδο προστασίας. Ο λόγος που το προτείνουμε ανεπιφύλακτα; Μα φυσικά η σχετική ευκολία με την οποία θα μπορούσε κάποιος επιτιθέμενος να δημιουργήσει έναν λογαριασμό Super Admin και να αποκτήσει πλήρη πρόσβαση στην ιστοσελίδα σας. Πρόσφατο παράδειγμα; Το κενό ασφαλείας στο VirtueMart [διαβάστε περισσότερα εδώ].
Ένας ακόμη λόγος για τον οποίο θα έπρεπε να προστατέψετε τον φάκελο /administrator/ με .htaccess, είναι το γεγονός πως η σελίδα σύνδεσης του Joomla είναι ευάλωτη σε brute force επιθέσεις, όπου κακόβουλοι hackers δοκιμάζουν με αυτοματοποιημένο λογισμικό δεκάδες πιθανούς συνδυασμού ανα δευτερόλεπτο, ώρα, ημέρα. Το extra επίπεδο προστασίας το αποτρέπει αυτό.
Τέλος, κάτι που ίσως δεν γνωρίζατε -τουλάχιστον ορισμένοι από εσάς- είναι ότι αν ΔΕΝ έχετε το extra επίπεδο προστασίας που προσφέρει το htaccess, τότε ο κακόβουλος χρήστης που προσπαθεί να μαντέψει τους κωδικούς σας, όχι μόνο αποτελεί κίνδυνο για την ασφάλειά σας, μα ανεβάζει απίστευτα εύκολα, γρήγορα, και δραματικά, το server load σας, με αποτέλεσμα… οι σελίδες σας να «σέρνονται».
Υ.γ. Για όσους δεν γνωρίζουν από cPanel, στο αυριανό μου άρθρο θα εξηγήσω τα βήματα με τα οποία μπορεί κανείς να προστατέψει με κωδικό την πρόσβαση σε οποιονδήποτε φάκελο επιθυμεί.
