Joomlan turvallisuus:Miten parannat sivuston turvallisuutta ja ehkäiset murrot

Joomlan turvallisuus on hyvin ajankohtainen, kun lähes joka päivä tulee tietoon sivustoja, jotka ovat murrettu.

Millaisilla lisaosilla pystytään lisäämään turvallisuutta ja havainnoimaan erillaiset murtoyritykset, helposti mutta tehokkaasti.

No yksi ihan ehdoton on Akeeba Admin Tools

www.akeebabackup.com/software/admin-tools.html

Jota myös Joomla.fi käyttää

Perusasiat kun on kunnossa, niin pääsee jo pitkälle. Eli Joomla ja lisäosat ajantasalla, vahvat salasanat ja ajantasalla oleva palvelin ylläpito!

Erittäin hyvä lisäosa lisättyyn tietoturvaan on Akeeba Admin tools

Löytyy niin maksullisena Professional versiona, kun ilmaisena perusversiona. Admin toolssella voit mm.

• Päivittää Joomlaa (eroaa hieman Joomlan omasta päivitystoiminnosta)
• Suojata administrator kansion salasanalla
• Muuttaa tietokannan etuliitettä
• Muuttaa Super administratorin Id:n
• "Emergency offline" esim. hyökkäyksen sattuessa

Parempi listaus tuolla Akeeban sivuilla!

Täältä voi sitten käydä läpi Joomlan Security Checklistin jos asiaan haluaa paremmin tutustua!
docs.joomla.org/Category:Security_Checklist

EDIT: Janne jo näköjään samaan aikaan kirjoitteli samoista

Tässä muutama Nicholas K. Dionysopoulosksen Joomlan tietoturvaan liittyvä artikkeli noin vuoden takaa:
777: The number of the beast
Things to do before your site gets hacked
The prefix has nothing to do with telephony
62 reasons to fire your Super Administrator
Only a Ninja can kill another Ninja

...ja video:
Joomla! Security 101

Jos lähdetään perusasioista: Järjestelmät ja sen lisäosat(tulee seurata) tulee pitää ajantasalla ja poistaa haavoittuvat vaikka kuinka kirpaisee tai joituu tekemään isoja muutoksia, ellei valmistaja esitä korjausta. Ylläolevat vastaukset sen kertoivatkin mielestäni.

Vielä mainitsematta: varmuuskopiota kunnossa, pienelläkin sivustolla viikoittaiset täydet varmistukset. Mainio lisäosa tähän on Akeeba backup, pro-versiossa helppo ajastus.

Admin Tools sisältää myös valinnaisia toimintoja joita kannattaa katsoa tarkemmin ja säätää. Yksi tällainen optio on http:BL eli Project Honey Potin mustalista sen ansoihin kiinnijääneistä osoitteidenkeräilijöistä, roskaajista ja muista tuholaisista jotka ryömivät sivuja. Tämä edellyttää Project Honey Potiin liittymistä.

Koska edellisen "Firewallkin" kuitenkin vuotaa Joomla 1.7:n uusi Uudelleenohjaukset toiminto antaa myös arvokasta lisätietoa: sellaisetkin pyynnöt joita AT(p) ei tunnista haitallisiksi mutta jotka johtavat virheeseen sivuilla jäävät sen haaviin. Tuloksena olen löytänyt sieltä jo kaksi kertaa (6 viikon aikana) järjestelmällisiä yrityksiä hyväksikäyttää haavoittuvia lisäosia. Olen Joomlaportalin aikana yrittänyt kysellä työkalua Apachen lokien järkevään selaamiseen, mutta sellaista ei ole kukaan ilmiantanut, joten tämän pitemmälle en ole seuraamista vienyt.

Osa jolle on kaikkein vaikeinta tehdä mitään Joomlassa ovat käyttäjät. Jos sivustolla on rekisteröityminen mahdollista ja useita käyttäjiä joilla on korotettu oikeustaso, heidän vahtimisensa on mahdotonta. Löysin eilen ensimmäisen pluginin jolla pystyy edellyttämään monimutkaista salasanaa, mutta sekin on varsin raaka ja kömpelö vielä.