Rubrika: Blog | Objavljeno: 10.12.2014.
Ovaj korak se primenjuje isključivo kod Joomle 1.5, zbog toga što je kod nje podrazumevano da default admin nalog uvek ima ID 62. Što u stvari znači da se kreiranjem novog admin korisnika njemu dodeljuje drugi ID. Samim tim se stiču uslovi za brisanje starog admin korisnika.
Po defaultu Joomla se instalira koristeći korisničko ime „admin“ sa administratorskim privilegijama. To naravno nije dobro, jer prilikom pokušaja upada u administrativni deo Vašeg web sajta web roboti pokušavaju upravo ovo korisničko ime kako bi došli do admin privilegija. Prilikom ove izmene pogrešna praksa bi takođe bila ako biste korisničko ime administratora izmenili u „administrator“ ili „root“.
U današnje vreme je relativno lako probiti i najbolje obezbeđene sajtove. Upravo zbog toga je od ključnog značaja da vaše admin naloge zaštitite stvarno dobrim lozinkama. Naravno preporučujemo neku random generisanu kombinaciju slova i brojeva. Možete koristiti i Strong Password Generator.
Sistem notifikacija je veoma bitan i treba da ga koristite. S druge strane ako ste podesili da Vam sve notifikacije stižu direktno na Vaš lični email, može da se desi da ga zatrpate suvišnim emailovima, pogotovo ako održavate više različitih sajtova. Stoga Vas savetujemo da kao admin email podesite neki koji je prilagođen Vašem domenu. Ovako ćete zaustaviti suvišne notifikacije, ali i sprečiti da Vaš lični email završi na spam listi.
Vodite računa i o tome da redovno proveravate email sa notifikacijama, a tu proceduru možete pojednostaviti filtracijom i prosleđivanjem emailova, što se relativno lako podešava u cPanelu.
Jedan od najefikasnijih načina da unapredite Joomla bezbednost jeste da instalirate komponentu koja će na njemu obavljati funkciju zaštitnog zida. Ove komponente Vas štite od upada i hakerskih napada. One takođe obezbeđuju alatke za održavanje IP blackliste, zaštite administrativnog panela, ubrizgavanja u SQL bazu, itd. Veliki je broj ovih komponenata u Joomla direktorijumu, a neke od njih su čak i besplatne. Naravno, podrazumeva se da plaćene komponente pružaju mnogo jači stepen zaštite, pa Vam i preporučujemo da kupite jednu od njih. Komponenta koja po nama zadovoljava gotovo sve kriterijume kvalitetne zaštite je RS Firewall!
Najslabija tačka svih CMS sajtova jeste stranica za pristup administrativnom panelu sajta. Kod najpopularnijih CMS-ova poput WordPressa i Joomle se ta stranica po defaultu nalazi na istoj adresi. To hakerima daje određenu prednost, jer tačno znaju koju stranicu napadaju. Druga manjkavost se odnosi na to što kada dođu do stranice za logovanje na administrativni panel sajta, oni tačno znaju koji CMS koristite, a samim tim i koje su njegove slabe tačke. Zbog svega toga je od najvišeg značaja da se pomenuta stranica sakrije, tj. da joj se izmeni URL.
Da biste sakrili administrativni panel možete da koristite neki od sigurnosnih pluginova te namene ili da prosto napravite 2 jednostavna konfiguraciona fajla, a zatim i da ih smestite u direktorijum „administrator“. Mi preporučujemo drugu metodu, jer je ona mnogo bezbednija.
Prilikom kreiranja sajta često eksperimentišemo sa raznim Joomla ekstenzijama dok ne nađemo pravu, tj. onu koja najviše odgovara potrebama naših klijenata. Upravo zbog toga se i dešava da nakon završenih radova na web sajtu ostaje određeni broj potpuno nepotrebnih pluginova ili komponenata. Čak i kada su isključene, one su i dalje fizički prisutne u okviru folderske strukture sajta. Na njih najčešće i ne obraćamo pažnju ili čak zaboravimo da su prisutne. Kao takve, one predstavljaju bezbednosni propust i od ključnog je značaja da ih deinstalirate i fizički uklonite sa sajta.
Nakon instalacije Joomla CMS-a je isključen Rewrite Engine, koji se koristi za postavljanje friendly URL-a i SEO optimizaciju. Od izuzetnog je značaja i za samu Joomla bezbednost, jer default konfiguracija otkriva neke detalje u vezi sa samim sajtom za koje je poželjno da ostanu sakriveni.
Da biste uključili Rewrite Engine potrebno je da prvo htaccess.txt fajl koji se nalazi u root folderu iz koga se pokreće Vaš sat preimenujete u .htaccess (tačka je obavezna), a zatim i da u globalnim podešavanjima uključite opcije „Use URL rewriting“ i „Search Engine Friendly URLs“.
Od izuzetnog je značaja da u svakom trenutku imate svežu rezervnu kopiju, tj. backup kompletnog sajta. To naravno podrazumeva fizičku strukturu (fajlovi i folderi), kao i samu bazu podataka (MySql).
Najbolji način kreiranja rezervne kopije je uz pomoć cPanel kontrolne table (ako ste na Linux serveru). Ako imate pristup ovoj kontrolnoj tabli rezervnu kopiju kreirate odabirom sekcije backup, a onda kreiranjem parcijalnog ili kompletnog backupa. Još lakše bi bilo ako biste dogovorili sa Vašim hosting provajderom da podesi automatsko kreiranje backupa kroz svoj WHM panel.
Ako nemate pristup cPanelu ili ako niste u mogućnosti da navedenu uslugu dogovorite sa svojim hosting provajderom, onda Vam uvek preostaje mogućnost da u okviru CMS-a instalirate komponentu za kreiranje rezervne kopije. Jedna od najkvalitetnijih komponenata tog tipa je Akeeba Backup, koja omogućava backup web sajta jednim klikom miša.
Vodite računa o tome da je u globalnim podešavanjima Vašeg CMS-a ispravno podešena vremenska zona, jer će od toga zavisiti i vreme svih notifikacija, log fajlova i automatizovanih skripti u slučaju da ih koristite. Ovo je bitno ako se desi neki problem sa sajtom da biste imali tačan uvid u to kada se desilo, jer bez toga ne možete da istražujete uzroke i bezbednosne propuste koji su i doveli do tog problema. Takođe proverite i vremensku zonu Vašeg administrativnog naloga, jer se ona može razlikovati od one koja je podešena u globalnim podešavanjima.
Često u toku izrade sajta koristimo različite verzije radnih i privremenih fajlova i drugačije elemente i verzije grafičkog interfejsa, uključujući headere, footere, logo firme, bannere, css podešavanja, kao i mnoge druge fajlove koje često zaboravljamo u okviru strukture sajta, a to kasnije često ostaje javno i dostupno na internetu.
Svaki zaboravljeni fajl predstavlja mali bezbednosni propust jer napadaču pruža informaciju o tome na koji način je sajt izrađen i koncipiran. Prema tome, pregledajte sajt i mesta na koja obično smeštate slične fajlove, a onda ih i uklonite odatle.
Joomla! CMS pokreće softver koji poput svakog drugog zahteva redovno ažuriranje usled objavljivanja novih bezbednosnih zakrpa. Ovo je zaista od ključnog značaja za Joomla bezbednost, jer svaki otkriveni bezbednosni propust pokreće lavinu hakerskih napada, pošto je pretpostavka da se CMS-ovi u pogledu ažuriranja retko održavaju, a samim tim predstavljaju „lake mete“ za iskusne napadače. U slučaju da CMS nije ažuriran, napadači znaju tačna mesta i slabe tačke gde usmeravaju svoje napade.
Nije loša praksa da se pretplatite na Joomla! CMS mailing listu, kako bi dobijali informacije o tome kada izađe zakrpa, tj. najnoviji patch Joomle.
Kao što je bitno da redovno ažurirate CMS, tako je bitno i da uvek koristite najsvežije verzije svih ekstenzija koje ste instalirali na sajtu. Ovo nije nimalo lako, posebno na kompleksnim, tj. velikim sajtovima koji najčešće koriste i na desetine 3rd party ekstenzija. Kompletnu listu ranjivih ekstenzija sa određenim bezbednosnim propustima možete pretražiti na Joomla! Vulnerable Extensions List.
Posebnu pažnju obratite na poslednje verzije editora, galerije ili fajl menadžera ako ga koristite.
Starije verzije Joomle su se po defaultu instalirale tako što je u okviru MySQL baza uvek bio korišćen prefiks „jos“. Ovo je predstavljalo potencijalnu opasnost, jer je hakerima na taj način umnogome bilo olakšano ubrizgavanje u SQL bazu. Na novijim verzijama Joomle je ovaj bezbednosni propust ispravljen tako što se prilikom same instalacije nudi nasumično generisani prefiks.
Ako koristite stariju verziju Joomle, ovo možete lako rešiti na taj način što ćete instalirati komponentu koja menja jos_table prefiks. To naravno možete učiniti i ručno, ali je možda najlakše da instalirate Admin Tools, koji nudi opciju za izmenu prefiksa. Prilikom menjanja prefiksa vodite računa da Vam je otključan konfiguracioni fajl „configuration.php„, jer u suprotnom može da se desi da Vam sajt nakon izmene prefiksa ostane „nedostupan“.
Od izuzetnog je značaja da sakrijete imena ekstenzija, kao i brojeve svih verzija koje koristite. Autori ekstenzija često ostavljaju svoj potpis, što može biti veoma opasno jer potencijalni napadači tako imaju uvid u konkretan softver koji koristite. Zato je veoma poželjno da sakrijete te potpise, ako je moguće. Većina ekstenzija ima tu opciju, pogotovo one koje su plaćene. S druge strane, besplatne ekstenzije taj potpis najčešće ostavljaju podrazumevano, ali da pritom ne brane njegovo ručno uklanjanje. Da biste ručno uklonili taj potpis ne postoji neko lako rešenje, jer ono najčešće podrazumeva menjanje u samom kodu ekstenzije. Proguglajte kako se uklanjaju određeni potpisi i za većinu ekstenzija ćete najverovatnije pronaći rešenje.
Najstarije verzije Joomle su podrazumevano prikazivale broj verzije CMS-a, pogotovo ako ste koristili neki od zvaničnih Joomla templejta. Ako je tako, onda Vam savetujemo da prvo potražite opciju za isključivanje prikaza broja verzije. U većini slučajeva tu opciju možete naći u okviru samog podešavanja templejta. Ako ne možete da je nađete, onda možda koristite neki od 3rd party templejta. U tom slučaju Vas, baš kao i u prethodnoj tački, savetujemo da rešenje o uklanjanju broja verzije potražite na internetu.
Joomla po defaultu generiše „meta generator tag„. To je vidljivo kada na bilo kojoj stranici sajta otvorite kod (view source). Ovaj kod je u stvari vid samopromocije Joomle. Iako veliki broj sajtova pokreće upravo Joomla! CMS, nije dobro za Joomla bezbednost što je to u kodu vidljivo, jer kada hakeri naiđu na sajtove koji sadrže „meta generator tag“, oni tačno znaju koje su njegove slabosti i kako da ga „sruše“.
Da biste uklonili „meta generator tag“ postoji nekoliko različitih pristupa. Najbolje je da to učinite ručno u kodu, mada postoji mogućnost i da to učinite upotrebom jednog od pluginova te namene. O svim metodama uklanjanja „meta generator taga“ možete pročitati na oficijalnom Joomla forumu.
Joomla! CMS poseduje ugrađenu alatku za generisanje SEF adresa, međutim taj pristup ima niz nedostataka, koji se pre svega ogledaju u tome što se URL u tom slučaju generišu iz alias-a, što samo po sebi može biti veoma problematično, pogotovo ako koristite neke dodatne 3rd party ekstenzije. Ovaj pristup nije preporučljiv pre svega iz bezbednosnih razloga, jer je relativno lako zloupotrebiti Joomla bezbednost.
S druge strane postoji čitav niz kvalitetnih SEF komponenata koje pored poboljšane sigurnosti nude i kvalitetniju SEO optimizaciju. Stoga Vam savetujemo da se opredelite za korišćenje određene SEF komponente. Na Joomla Extensions Directory možete pronaći zaista veliki broj kvalitetnih SEF komponenata.
Joomla! CMS prilikom same instalacije po defaultu kreira log i tmp direktorijume. To su standardne lokacije u okviru kojih se smeštaju privremeni i log fajlovi. Dobro je što postoje ovi direktorijumi, ali nije dobro što se uvek nalaze na istim lokacijama. Iskusni hakeri sa lakoćom mogu zloupotrebiti ove putanje za smeštanje fajlova, tj. skripti koje sadrže zlonamerni kod.
Zbog toga je od ključnog značaja da se ovi direktorijumi premeste na nove lokacije, poželjno izvan public_html direktorijuma. Ovo je relativno lako postići. Sve što treba da uradite je da kreirate dva nova foldera u okviru home direktorijuma. Zatim samo modifikujte globalno podešavanje tako da kreiranje log i tmp fajlova usmerite na nove lokacije. Pritom vodite računa da je configuration.php fajl dostupan za izmene, jer Joomla! CMS drugačije neće prihvatiti novu konfiguraciju.
Jedan od najznačajnijih Joomla fajlova je svakako configuration.php. Ovaj fajl sadrži kompletnu konfiguraciju koja je definisana u globalnim podešavanjima, uključujući i vezu sa MySQL bazom podataka. Zbog toga je izuzetno značajno za samu Joomla bezbednost da se ovaj fajl izmesti van web roota. Zapravo, ova procedura se preporučuje za starije verzije Joomle, uključujući i verziju 2.5, dok god najnovijih verzija Joomle ovo nije označeno kao bezbednosni propust, jer je sigurnost kod nje dignuta na mnogo viši nivo. Pa ipak, ko želi da bude 100% siguran u bezbednost svoga sajta, taj će verovatno pribeći izmeštanju ovog fajla čak i na novijim verzijama Joomle. Evo kako da to postignete:
Da biste configuration.php fajl izmestili van web roota potrebno je da modifikujete dva fajla. Oba se zovu defines.php, ali se nalaze u različitim folderima. Jedan se nalazi u includes folderu, dok se drugi nalazi u administrator/includes folderu. Sve što treba da uradite je da izmenite sledeći red:
define( 'JPATH_CONFIGURATION', JPATH_ROOT.DS.'..'.DS.'imefoldera' );
gde je ‘imefoldera’ naziv lokacije van web roota u okviru koje ćete smestiti configuration.php fajl.
Ako se vaš sajt nalazi na Linux serveru, onda je velika verovatnoća da koristite cPanel za kontrolu domena i hosting servisa. Jedan od ozbiljnih bezbednosnih propusta jeste upravo upotreba Anonymous FTP-a. Ovo nema nikakve veze sa Vašim sajtom, već sa konfiguracijom FTP-a koju je postavio Vaš hosting provajder.
U određenom broju slučajeva Anonymous FTP je uključen po defaultu, što je veliki bezbednosni propust jer on upravo omogućava napadaču da uploaduje zlonamernu skriptu, koju kasnije može da pokrene sa Vašeg web sajta. Ovaj problem se rešava relativno lako. Sve što je potrebno jeste da se ulogujete na svoj cPanel nalog i da isključite Anonymous FTP.
Od velikog je značaja da uvek čuvate sve log fajlove, pogotovo one koji ukazuju na sve aktivnosti vezane za Vaš sajt. Ovde pre svega mislimo na RAW fajlove, koji su po defaultu uključeni, ali najčešće čuvaju samo poslednje aktivnosti. Problem nastaje ako promene i pomenute aktivnosti uočite sa zakašnjenjem.
Dakle, potrebno je da čuvate sve logove, tako da Vam preporučujemo da u cPanelu uključite arhiviranje svih RAW fajlova. Ova opcija je jasno vidljiva i dostupna u delu administracionog panela koji se odnosi na logove.
Folder images koji se u Joomli koristi za smeštanje slika je jedna od najslabijih tačaka koji pokreće ovaj CMS. Problem je zapravo u tome što se folder images uvek nalazi na istoj web lokaciji i što je sam CMS podešen tako da se uz pomoć određenih Joomla alatki uploaduju slike i drugi fajlovi na tu web lokaciju. To drugim rečima znači da se sa ove lokacije mogu pokrenuti zlonamerne skripte koje hakeri relativno lako uploaduju u ovaj direktorijum. S druge strane ovu lokaciju na neki način otkrivaju slike koje su često dostupne i locirane na web adresama koje jasno ukazuju na to da Vaš sajt pokreće Joomla! CMS.
Deo rešenja kojim biste značajno unapredili Joomla bezbednost leži u tome da instalirate kvalitetan zaštitni zid (tačka 4. ovog teksta). Pa ipak, možda je najbolje rešenje da se oslonite na web osiguranje samog servera, tako što ćete kreirati .htaccess fajl i smestiti ga u root ovog direktorijuma. Fajl treba da sadrži sledeći kod:
# secure directory by disabling script executionAddHandler cgi-script .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml .py .shOptions -ExecCGI
Možda je najbolji način da zaštitite svoju internet prezentaciju upravo pravilna konfiguracija .htaccess fajla koji se nalazi u rootu Vašeg sajta. Ovaj fajl za razliku od drugih sličnih i istoimenih fajlova koji se nalaze u drugim folderima Joomla CMS-a sadrži mnoga bitna podešavanja, od kojih se neka i ne odnose na Joomla bezbednost. Zbog toga je veoma bitno da ga modifikujete sa velikom pažnjom kako ne biste poremetili funkcionalnost web sajta.
Ono što Vam savetujemo jeste da u ovaj .htaccess fajl integrišete zabranu pokretanja svih fajlova koji se ne zovu index.php i index2.php. Evo kako da to učinite. Samo dodajte sledeće redove na dnu ovog fajla:
<Filesmatch ".(php)$">order deny,allowdeny from all
<Filesmatch "^index.php">order allow,denyallow from all
<Filesmatch "^index2.php">order deny,allowallow from all
Nakon modifikacije ovog fajla obavezno proverite da li Vam je kompletan sajt funkcionalan, jer može da se desi da ste ubacivanjem gore navedenih redova zabranili pokretanje određenih pluginova. Ako je tako, proverite koji plugin ne radi, pa po istom principu dodajte i te fajlove u gore navedeni kod.
Nekada nije dovoljno zaštititi samo web sajt, ako je server nebezbedan, tj. nedovoljno dobro zaštićen. Jedan od ključnih bezbednosnih propusta na deljenim web serverima jeste mogućnost tzv. rootkitovanja. Ovo u stvari podrazumeva da napadač sa lakoćom može pristupiti nalozima svih korisnika ako je u okviru podešavanja Apache servera (ako ste na Linux hostingu) uključena opcija FollowSymLinks. Napadaču to u stvari pruža mogućnost da hakuje sve web sajtove na serveru aktivacijom jedne zlonamerne skripte koja se nalazi na bilo kojem nalogu, tj. sajtu deljenog web servera.
Predloženo rešenje glasi da zamolite vašeg hosting provajdera da primeni bezbednosni patch za FollowSymLinks opciju. Nakon toga biste prosto dodali sledeći kod u .htaccess fajl koji se nalazi u rootu Vaše web lokacije:
Options +SymLinksIfOwnerMatch
Joomla! CMS pruža mogućnost uploada slika i drugih multimedijalnih fajlova uz upotrebu FTP-a. Ova opcija je dostupna kao zamena za standardnu metodu uploada slika u slučaju da ona ne funkcioniše.
Međutim, problem leži u toj činjenici da su podaci za logovanje na FTP upisani u configuration.php fajlu. Što drugim rečima znači da bi hakeri koji bi došli do sadržaja ovog fajla znali kako da se uloguju na FTP i da uploaduju zlonamernu skriptu gde god im odgovara, čime bi ugrozili Joomla bezbednost Vašeg sajta.
Rešenje dakle podrazumeva brisanje svih FTP login informacija iz navedenog fajla. Vodite računa o tome da samo isključivanje FTP-a u globalnoj konfiguraciji ne briše i same podatke za logovanje, što svakako nije dobra praksa.
Bez obzira na to da li Vam je uključen modul za logovanje i registraciju, sve dok ne isključite opciju za registraciju korisnika moguće je da se novi korisnici prijavljuju na web sajt. Ovo svakako nije dobro, jer novi korisnici mogu da Vam zatrpavaju web sajt sa neželjenim komentarima i objavama ili prosto da se u ogromnom broju registruju svakoga dana. Još gore bi bilo ako bi hakeri kasnije nekom od tih registrovanih korisnika dodelili administratorske privilegije.
Ako Vam je registracija korisnika nebitna onda je prosto isključite u podešavanjima user managera, ili omogućite Captcha sistem kako biste neutralisali veliki broj ovih novih korisničkih naloga.
Da li ste znali da možete imati uvid u sve pozicije modula u okviru templejta koji koristite? Sve što treba da ukucate je imevasegdomena/?tp=1 i prikazaće se sve lokacije modula na ekranu.
Ovo je međutim loše za Joomla bezbednost Vašeg sajta, te Vam preporučujemo da ovu opciju isključite. Ona se nalazi na podešavanjima u okviru template managera.
Veoma je bitno da u svakom trenutku znate šta se tačno dešava na Vašem sajtu i ko ga posećuje. Ovu mogućnost Vam pruža Google analitika i to potpuno besplatno. Sa sigurnosne strane je ovo veoma bitno, jer su na Google analitici vidljive i sve reference sa kojih posetioci dolaze do Vašeg sajta. Hakeri često ostavljaju svoj potpis na hakovanim sajtovima. S druge strane na nekim forumima ostavljaju informaciju o tome kako su hakovali sajt uz obavezan link do hakovanog sajta, kao potvrdu i dokaz učinjenog „nedela“.
Ove informacije Vam mogu biti od velikog značaja prilikom vraćanja sajta u prethodno stanje i u cilju njegovog obezbeđenja.
Gotovo svaki Joomla! CMS zaštitni zid poseduje opciju provere sistema, koja Vam pruža uvid u sve bezbednosne propuste i slabosti sajta, kao i mogućnost da sa par klikova mišem te nedostatke i otklonite.
Ako ste do sada sve gore navedene propuste ispravili, onda je Vaš sajt prilično dobro zaštićen, što će najverovatnije i pokazati svaka provera sistema.
Ako ste poslušali našu sugestiju i instalirali RSFirewall! onda imate i mogućnost da obezbedite postojeće administratore od promene lozinke, kao i da zabranite kreiranje novih administratora, a na kraju i da zaključate CMS korišćenem opcije „System lockdown„.
Na kraju ostaje još samo da proverite file / folder permissions i da podesite preporučene vrednosti kako bi Vaš sajt, tj. Joomla bezbednost bila do kraja obezbeđena.
Standardne dozvole za sve fajlove treba da budu 644, a za foldere 755. Takođe vodite računa da bi standardne public_html (root folder vašeg sajta) dozvole trebale da budu 750 za taj glavni direktorijum.
Na kraju, svi konfiguracioni fajlovi treba da koriste file permissions 444. Pod konfiguracionim fajlovima pre svega podrazumevamo configuration.php, a onda i lokalni php.ini ako ga koristite i na kraju svi .htaccess fajlovi za koje verujemo da ste ih podesili kako smo i preporučili u ovom blogu.
BONUS: Ako vas interesuje kako da instalirate i koristite Joomla CMS, ovde se nalazi detaljno uputstvo. Obavezno proverite!
