Kuinka turvallinen sivustosi on?

  • Kharadus
  • Kharadus hahmo Aiheen kirjoittaja
  • Vieras
  • Vieras
15.02.2013 12:03 #4600 : Kharadus
Kharadus loi aiheen: Kuinka turvallinen sivustosi on?
Alkuperäisen artikkelin kirjoitti Ruth Cheesley, artikkeli löytyy osoitteesta: magazine.joomla.org/issues/issue-jan-2013/item/103...-secure-is-your-joomla-website ?

Kuinka turvattu Joomla-sivustosi on?

Joomlasta on kovaa vauhtia tulossa yksi maailman suosituimmista sisällönhallintajärjestelmistä, kattaen lähes kolme prosenttia avoimella lähdekoodilla (OpenSource) tuotetuista julkaisujärjestelmistä (Content Management Systems) ja on ylittänyt 30 miljoonaa latausta – todennäköisesti törmäät päivän aikana ainakin yhteen Joomlalla tehtyyn sivustoon. Monet yritykset luottavat Joomlaan verkkojulkaisuissaan, mutta usein yrityksen omistajat eivät ole tarpeeksi tietoisia pitääkseen huolta siitä, että heidän sivustonsa on asiallisesti ylläpidetty tai päivitettynä aina ajan tasalle. Tämän artikkelin tarkoitus on antaa Joomla-sivuston omistajille helppoja vinkkejä sivustonsa päivittämiseen ja joitakin työkaluja, joilla tehdä tästä prosessista helpompaa.


Käyttääkö sivustosi Joomlan viimeisintä tuettua versiota?

Tärkein tehtävä, joka sinulla Joomlan käyttäjänä on, on pitää Joomlasi perusasennus päivitettynä. Aivan kuten muissakin ohjelmissa, bugeja ja turvallisuusaukkoja löydetään ja tukitaan säännöllisesti, ja korjaustiedostoja julkaistaan säännöllisesti näitä ongelmia paikkaamaan. Joomla-projektilla on oma turvallisuustiiminsä (Security Strike Team), jonka tehtävänä on löytää ja korjata tietoturva-aukkoja. Kriittisten ja korkean tason turvallisuusongelmien ilmaantuessa korjaustiedosto julkaistaan välittömästi, kun taas pienemmät turvallisuusaukot korjataan säännöllisen päivityskierron osana. Joomlan päivityksistä tiedotetaan yleensä monella taholla, Joomlan omilla verkkosivuilla, Facebookissa, Twitterissä ja Google+ -yhteisössä.

On kaksi tapaa selvittää, mitä versiota Joomlasta sivustosi käyttää. Molemmat näistä vaativat, että kirjaudut sivustosi ylläpitopuolelle ( www.sinunsivusi.com/administrator ). Jollet voi kirjautua sinne, sinulla ei ole ylläpitotiliä, ja joudut ottamaan yhteyttä sivustosi kehittäjään.

Joomlasta on useita versioita:
• Joomla! 1.0.x – tämä on merkitty vanhentuneeksi jo pitkään ja sille ei ole minkäänlaista tukea, mutta edelleen on olemassa sivustoja, jotka käyttävät sitä (häpeällistä!). Yleensä tunnistettavissa punamustasta palkista sivun yläosassa, versio numero löytyy sivun alalaidasta. Viimeisin vakaa versio on 1.0.15.
• Joomla! 1.5.x – tämän version tuen on ilmoitettu loppuneen syksyllä 2012, joten edelleen on monia sivustoja, jotka käyttävät sitä. Virallinen tuki on kuitenkin vedetty pois ja monet liitännäisten kehittäjät eivät enää tue tätä versiota. Tunnistetaan vihermustasta palkista sivun yläosassa, versionumero löytyy sivun ylälaidan oikealta puolelta. Viimeisin vakaa versio on 1.5.26.
• Joomla! 1.6.x ja 1.7.x – nämä olivat lyhytaikaisia julkaisuja, joita ei enää tueta. Tunnistettavissa sinimustasta palkista sivun yläosassa ylläpitopuolella, versionumero löytyy sivun alaosasta. Päivitä viipymättä, sillä näistä löytyy useita turvallisuusriskejä, jotka korjattiin 1.7-2.5 päivityksessä.
• Joomla! 2.5.x – tämä on tämän hetkinen vakaa versio Joomlasta, jonka tunnistaa sinimustasta palkista sivun yläosassa ylläpitopuolella. Versionumero löytyy sivun alalaidasta.

Jos et näe versionumeroa, voit käydä Järjestelmän tiedot-sivulla, mistä näet Joomlan versionumeron lisäksi muitakin tietoja Joomlasi asennuksesta ja isännöintiympäristöstä.


Miten se päivitetään?

Sivustosi päivittäminen ei aiheuta harmaita hiuksia, mutta on silti tärkeää ottaa aina sivustostasi varmuuskopio ensin. Voit joko ladata päivitystiedostot Joomlan kotisivuilta (1.7.x aiempia versioita käytettäessä) ja siirtää ne palvelimelle FTP:tä käyttäen, tai voit Admin Tools-lisäosaa käyttäen päivittää sivuston napinpainalluksella (1.7.x ja siitä uudemmat versiot).


Pitäisikö minun siirtyä?

Jos käytät Joomlan versiota 1.0.x, 1.5.x, 1.6.x tai 1.7.x sinun tulee vakavasti harkita siirtymistä viimeisimpään vakaaseen 2.5.x versioon. Joomlan turvallisuustiimi tukee vain uusinta versiota, ja monet lisäosat eivät ole enää tarjolla vanhojen versioiden käyttäjille, mistä johtuen turvallisuusriskit ja bugit, jotka tunnistetaan, eivät tule korjatuksi sinun versioosi.

On tärkeätä muistaa, että päivitettäessä versiosta 1.0.x versioon 1.5.x, tai versiosta 1.5.x eteenpäin kaikkiin korkeampiin versioihin joudut näkemään hieman enemmän vaivaa. Se todennäköisesti vaatii sinua asentamaan uudelleen kaikki lisäosasi ja vaihtamaan sivupohjasi (template) sellaiseen, joka on yhteensopiva Joomlan version 2.5.x kanssa. Jollet ole kokenut Joomlan käyttäjä suosittelisin, että hankit asiantuntijan tekemään sen.


Ovatko lisäosasi ajan tasalla?

Toiseksi tärkein muistettava asia Joomlan itsensä päivittämisen jälkeen on käyttämiesi lisäosien päivittäminen. Monet tietoturvamurrot, joiden kanssa kamppailen, johtuvat haavoittuvista lisäosista, eivät ongelmista itse Joomlan kanssa. Syynä on usein se, että ylläpitäjä on jättänyt päivittämättä lisäosiaan niiden kehittäjien päivitysilmoitusten mukaisesti.

Jos haavoittuva lisäosa tunnistetaan ja raportoidaan, sitä testaavat turvallisuusammattilaiset, jonka jälkeen se lisätään turvattomien lisäosien listaan (Vulnerable Extensions List), missä sille määritellään turvallisuusriskin tyyppi ja missä versioissa ongelma on todistettu olevan. Listaan tulee lisäosien kehittäjien päivitysilmoituksia, mutta punaisella olevia ei ole vielä ratkaistu.


Miten päivitän lisäosat?

Lisäosien päivittäminen pitäisi olla niinkin yksinkertaista, että vain asennat siitä uusimman version. Joomla 2.5.x:ssä tai uudemmissa versioissa voit automaattisesti päivittää lisäosat Lisäosien hallinnan kautta, sikäli kun tuki sille on lisätty osaksi itse lisäosaa. Muista ottaa varmuuskopio ennen päivittämistä, jos sattuisi käymään niin, että joitakin asetuksia on muokattu sen verran, että ne pitää laittaa uudestaan kuntoon päivityksen jälkeen.

Helpoimmin pysyt kärryillä lisäosien päivitysten kanssa liittymällä niiden kehittäjien postituslistoille, sillä suurin osa kehittäjistä ilmoittaa tätä kautta lisäosilleen tulleista päivityksistä.


Onko sivustosi ylläpitopuolen sisäänkäynti julkisesti käytettävissä?

Jos voit mennä selaimella suoraan sivulle www.minunsivuni.com/administrator , sen voivat tehdä kaikki, jotka arvelevat sinun käyttävän Joomlaa sivustosi ylläpitoon. Se on yksi este vähemmän heidän tietomurtoyritykselleen.


Miten ylläpitopuolen sisäänkäynnin saa piilotettua?

Sivustosi tämän osan piilottamiseksi on useita tapoja, niistä yleisimpänä on ”salaisen sanan” lisääminen osaksi tämän sivun osion osoitetta. Esimerkkinä toimii vaikkapa ” www.minunsivuni.com/administrator/?salainensanani ”. Näin jos käyttäjä ei tiedä salaista sanaasi hän ei pääse käsiksi edes ylläpidon kirjautumispuolelle.

Akeeban Admin Tools-liitännäisessä on tämä ominaisuus sisällytettynä, mutta Joomla! Extensions Directorysta löytyy useita vaihtoehtoja lisäosalle joka tekee tämän.


Onko oletusylläpitotilisi edelleen käytössä?

Luodessasi sivuston Joomlan versiota 2.5.x vanhemmalla versiolla luotiin oletusylläpitotili määrätyllä ID:llä – versiossa 1.5.x ja sitä edeltäneissä tämä oli #62, 1.6.x jälkeisissä #42. Ylläpitotilin käyttäjänimi oli ’admin’ – kumpaakaan näistä ominaisuuksista moni ei muuttanut.

’Mitä sitten?’, saatat ajatella. Jos joku yrittää päästä käsiksi sivustoosi, ja he tietävät että on olemassa ylläpitotasonkäyttäjä kaikilla valtuuksilla, jonka ID on #62 tai #42, on se ensimmäinen heikkous jota he yrittävät käyttää hyväksi päästäkseen käsiksi sivustoosi aiheuttaakseen sille tuhoa.


Mitä oletusylläpitotilille sitten pitäisi tehdä?


Turvallisinta on ottaa koko tili pois käytöstä luotuasi erillisen ylläpitotilin kaikilla (pääkäyttäjä) oikeuksilla, jota voit turvallisesti käyttää sivuston ylläpitoon.

Tärkeintä olisi muistaa, että sivustollasi ei ole enempää ylläpitotilejä, kuin mitä se oikeasti vaatii, ja että näillä tileillä on vahvat salasanat. Jos teet ylläpitotilin jollekin, jotta hän voi työstää jotain tiettyä osaa sivustostasi, muista ottaa se pois käytöstä tai poistaa kokonaan, kun työ on tehty.

Voit mieltää ylläpitotilin avaimiksi hienoon uuteen autoosi, joiden et varmasti halua päätyvän vääriin käsiin!


Teetkö sivustostasi säännöllisesti varmuuskopion johonkin turvalliseen paikkaan?

Jos käy huonosti, ja sivustosi ajautuu alas, saat ongelmia palveluntarjoajasi puolelta tai jos teet itse jonkin isomman virheen, pystyisitkö nopeasti tuomaan sivustosi takaisin varmuuskopion avulla?

Yrityksen omistajana varmuuskopioinnin tulisi olla varsin korkealla tärkeysjärjestyksessäsi jatkuvuuden kannalta, ja sen laiminlyömistä tulisi pitää riskinä koko yritykselle varsinkin, jos iso osa yrityksesi toiminnasta hoidetaan verkkojulkaisusi kautta.


Miten saan varmuuskopion sivustostani?


Sivustostasi voidaan automaattisesti luoda varmuuskopioita, jotka voidaan lähettää edelleen ulkoiseen varastointipalveluun kuten Dropbox tai Amazon S3, sekä ilmoittaa sinulle jos varmuuskopion teossa tapahtui jokin ongelma. Parhaimpia lisäosia tähän toimintoon on Akeeba Backup, jota käyttävät tuhannet Joomlan käyttäjät päivittäin. Akeeba Backup Pro mahdollistaa jopa muiden tietokantojen varmuuskopioinnin, jos ylläpidät esimerkiksi erillistä verkkokauppaa tai opetusympäristöä.

Sivustosi varmuuskopiointi on vain yksi osa riskienhallintaa - sinun on myös muistettava säännöllisesti varmistaa varmuuskopion toimivuus, eikä vasta tilanteen niin vaatiessa. Tämän voi tehdä helposti Akeeban Kickstart-ominaisuudella, jonka avulla voit asentaa sivustosi varmuuskopion kautta muutamassa minuutissa.


Kuinka muistan tämän kaiken?

Jos ylläpidät vain yhtä sivustoa, on kohtalaisen helppo muistaa sen päivittäminen pelkällä kuukausittaisella kalenterimerkinnällä tai Joomla päivitys-ilmoituksen seurannalla, mutta jos olet erittäin kiireinen henkilö tai ylläpidät useita sivustoja, saattaa jokin päivitys vilahtaa sinulta sivu suun.

Joomla päivitys-ilmoituksen tullessa julki on tärkeää muistaa sen sisältämien heikkouksien olevan nyt yleistä tietoutta, joten mitä kauemmin jätät sivustosi päivittämättä, sen korkeampi on riski, että tilaisuutta joku käyttää hyväkseen.

Sekä Admin Tools, että Akeeba Backup sisältävät sisäänrakennetun ilmoitusjärjestelmän, joka ilmoittaa sinulle, jos sivustosi ei ole ajan tasalla päivitysten suhteen tai jos varmuuskopion ottaminen ei jostain syystä onnistu. Tämä ei välttämättä ole käytännöllistä, jos ylläpidät useampaa sivustoa.


Sivustojen automatisointi ja etäylläpito


Ollessani Joomla! World Conferencessa jutustelin Victor Droverin – suositun Joomla! –liitännäisten kehittäjän Anything Digitalin (JCal Pro, sh404, Josetta yms.) kasvojen – kanssa ja keskustelumme ajautui heidän uusimpaan palveluunsa, Watchul.li, jonka he julkaisivat World Conferencessa sponsorina.

Watchful pystyy tarkkailemaan kuinka monta tahansa sivustoa haluatkin, ja ilmoittaa sinulle, jos ne ovat jäljessä päivityksien puolesta. He voivat myös tarkkailla varmuuskopioitasi ja testata sivustoltasi jonkin tietyn sanan olemassaolon – jos sitä ei löydy voi sivustoasi olla muunneltu ilman lupia.

Varmuuskopioita (sekä sivuston päivityksiä, jos Joomlan versio on 2.5.x tai uudempi) voidaan laukaista suoraan Watchfulin kojelaudalta.

Olemme viime aikoina alkaneet siirtää sivustojamme Watchful.li:n alaisuuteen sivuston uusien ominaisuuksien innoittamina, joita tuntuu ilmestyvän jatkuvasti.

Suosittelen tutustumaan Watchfuliin – Victor jopa tarjosi tämän artikkelin lukijoille tuotekoodin, joka antaa sinulle kolme kuukautta kolmella dollarilla, lisää vain koodi VIRYA3 tilaukseesi – ohessa saat 20% alennuskoodin kojelautaasi Akeebaa varten, jos kirjaudut osaksi Watchfulia!


Yhteenvetona

Olen esitellyt kourallisen asioita, joita pidän tärkeinä Joomla-sivuston turvallisuuden takaamiseksi, jotka ovat varsin helposti tavallisen sivuston ylläpitäjän ulottuvilla. Monet työkalut mahdollistavat useiden sivuston turvallisuuteen liittyvien asioiden automatisoinnin, mitä lämpimästi suosittelen kaikille teistä, jotka tuntevat itsensä kovin kiireisiksi.

Muista, että vaikka tämä on hyvä pohja sivustosi turvallisuuden varmistamiseen ja ylläpitoon, ei se kata vielä kaikkia turvallisuusongelmia, joihin saatat törmätä, kuten palveluntarjoajasi palveluiden turvallisuus. Näiden viiden kohdan varmistamisen jälkeen sinun pitäisi kuitenkin päästä varsin hyvälle pohjalle.

Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.

Valvojat: jkwebdesignGamossJiiKoo
Sivu luotiin ajassa: 0.207 sekuntia