Jendovy stránky

www.neni.cz

Moje počasí

 

Návštěvy

209828
DnesDnes191
VčeraVčera269
Tento víkendTento víkend741
Tento měsícTento měsíc5868
CelkemCelkem209828
Nejnav.den 10-30-2017 : 447
Statistik created: 2018-09-26T07:42:24+02:00

Zabezpeční stránek Joomla 3.x

Sem tam se mi stane, že mi hacknou stránky. Díky tomu jsem přešel i na Joomlu 3.x a začal jsem s čistým štítem. Rovněž jsem vypnul svůj server a zaplatil si webhosting Wedos. Jsou levný a docela fungujou bez problému. Hesla jsem si udělal dlouhá, nastavil si vše potřebné, ale bylo to prd platné. Když už jsem obnovoval stránky skoro každý týden ze zálohy, tak mě to přestalo bavit a začal jsem se bezpečnosti věnovat.
1. Zálohovat, zálohovat. U Wedosu jsem narazil na problém, že po vytvoření několika záloh, jsem dostal upozornění, že webhosting neslouží k zálohování. Takže pokaždé, když vytvořím zálohu výborným nástrojem Akeeba Backup, hned si ji posílám domů. Obnova je jednoduchá, po smazání napadených stránek, stačí na server nakopírovat zálohu *jpa a soubor Kickstart.php. Za ftp program používám winscp, protože download souborů po browseru je v 90% chybný.
2. Určitě změnit v Uživatelích u Super Usera přihlašovací jméno admin na něco jiného. 
3. Zabezpečení přihlášení, lze buď Akkeba AdminTools + čeština, kdy lze „skrýt“ administraci pro všechny nežádoucí návštěvníky. Po instalaci tohoto rozšíření se objeví v sekci „Komponenty“ – „Admin Tools“. Následně kliknete na „Password-protect Administrator“ a zadáte uživatelské jméno a heslo. Po uložení nastavení se budete těmito údaji autorizovat ještě před samotným přihlášením do administrace redakčního systému Joomla. Jako druhou variantu lze použít AdminExile, který požaduje přihlášení domena.cz/administrator?nějaká hodnota=nějaká hodnota (Po instalaci bez nastavení se už musí zadat domena.cz/administrator?adminexile, jinak se neobjeví přihlašovací obrazovka.)

4. Geo blocker, zablokuje přístup z nežádoucích zemí. Přes službu Google analytics nebo Google Search Console lze zjistit ze statistik, ze kterých zemí se na stránky kdo připojuje. Kody jsou zde:
http://www.ipdeny.com/ipblocks/
Země lze bloknout pluginem Simpleblockcountry . Nebo .htaccessem viz. https://www.countryipblocks.net/country_selection.php
5. Nastavit správně práva souborům PHP 644, config Files 666 a ostatním adresářům 755
6. Aktualizace všech komponent a redakčního systému. Co je nepotřebné, vyházet a i natvrdo případně domazat, včetně šablon.
7. Nastavit přístup k administraci jen ze své veřejné IP adresy nebo přihlašovací IP. Buď použít soubor .htaccess a nakopírovat ho do adresáře Administrator nebo lze  provést nastavení v AdminExile.

8.Nastavit počet pokusů přihlášení viz.AdmiExile.

9.Vypínat FTP přístup pokud není potřeba. Na Wedosu je to v nabídce. Změnit umístění adresáře tmp, nastavení je v Globální nastavení -Server- Dočasná složka.

10. Další programy k využití jsou třeba Antivirus Scaner , Centrora a  Incapsula, ta však požaduje změnu na doméně, což bude asi pro mnohé problém. 

 

Tak a teď budu čekat do prvního napadení. Zatím je 3 měsíce klid.

Nejčtenější

Archiv

| |

Copyright Jan Čapek © 2016. All Rights Reserved.