Quais são as ações que você deve executar após uma nova instalação do Joomla para mantê-la segura? Tanto em servidores de hospedagem compartilhada quanto em servidores dedicados.
security
installation
ilias
fonte
fonte
Respostas:
Mantendo um site Joomla seguro
Para instruções mais detalhadas, consulte a Lista de verificação de segurança oficial .
fonte
É muito importante armazenar backups em um servidor separado. Eu vejo muitas pessoas que estão executando fielmente o Akeeba Backups ... e estão sendo armazenadas no mesmo servidor no mesmo diretório raiz. Não é tão útil se você for hackeado de maneira séria e certamente não é útil para se recuperar de uma falha de hospedagem.
O Akeeba Backup Pro permite armazenar e gerenciar arquivos de backup em armazenamento externo, como a nuvem da Amazon.
fonte
Como alternativa ao arquivo .htaccess ou ao bloqueio por IP, você também pode usar o jSecure para proteger seu login de administrador.
Uma coisa que não foi mencionada é o uso de um provedor de hospedagem respeitável. Você deseja um que não apenas mantenha a segurança, mas também funcione se você for invadido ou houver um problema (o banco de dados é corrompido, por exemplo). A idéia é limitar os danos causados pelo site, permitindo que você o limpe.
A idéia básica, você quer alguém que ..
Se você quiser uma lista de perguntas para pedir a um host que tenha uma sensação melhor, entre em contato.
Espero que isto ajude.
fonte
Tente isso também,
robots.txt
para pastas protegidas.Espero que ajude ..
fonte
Basicamente, na minha experiência, com o tamanho do Joomla, não há como realmente protegê-lo completamente. Então, ao invés de uma política de segurança perfeita que interrompa tudo, é melhor reduzir suas expectativas para tentar reduzir o dano geral.
Isso pode ser feito com uma política de backup extremamente frequente, para que, a qualquer invasão, o site possa ser revertido, bem como verificações de malware. Até agora, nenhum corte que tivemos foi devido ao nosso painel de administração ser brutalmente forçado.
A maioria dos hacks que vemos são de componentes de terceiros ou do núcleo do Joomla; vimos até mesmo hacks que também conseguem acessar as versões mais recentes do Joomla. Isso ocorre porque o hack normalmente pode parecer uma solicitação normal, usando filtragem incorreta para enviar um arquivo ao servidor. Quando um arquivo está no servidor, tudo está em ordem, ele pode estar em QUALQUER site em um servidor compartilhado inteiro e ainda afetar o seu, portanto, se uma pessoa em um servidor compartilhado não se mantiver atualizada, isso poderá afetá-lo.
Isso pode ser um pouco extremo, mas, com base na experiência pessoal, é melhor estar preparado para o pior e confiar demais em sua política.
Portanto, a melhor maneira de garantir uma nova instalação do Joomla é fazer backup com frequência e ativar verificações de malware; se o scanner de malware puder enviar um e-mail assim que encontrar algo, você poderá reverter para o backup mais recente em um prazo muito curto.
fonte
Altere o nome de usuário e mantenha a senha de administrador forte, use a autenticação de dois fatores (integrada para 3.3+, para outros http://www.readybytes.net/labs/two-factor-authentication.html )
Instale o kSecure ( http://extensions.joomla.org/extensions/access-a-security/site-security/login-protection/12271 )
Proteja seu site contra vários ataques usando este htaccess http://docs.joomla.org/Htaccess_examples_(security)
fonte
Tomando emprestada esta lista de um white paper "Testando com caneta um site Joomla" encontrado no blog. Eu acho que esta lista é uma orientação completa para os conceitos básicos de segurança do Joomla.
Use senhas fortes para todos os logins. Pelo menos 8 caracteres, um caractere especial, um número e uma letra com distinção entre maiúsculas e minúsculas. Protegerá sua instalação de uma força bruta.
Sempre acompanhe os "Últimos visitantes" nos arquivos de log do servidor da Web para detectar possíveis ataques. Nunca considere seus arquivos de log apenas uma informação. É altamente útil para rastrear e monitorar os usuários.
Coloque algum estresse para implementar mais segurança em todo o servidor no qual o site do Joomla está hospedado; sendo hospedado em servidor compartilhado ou em um dedicado.
Faça uma lista de todas as extensões que você usa e continue monitorando-as.
Mantenha-se atualizado com as mais recentes vulnerabilidades e divulgações em vários avisos de segurança. Exploit-db, osvdb, CVE etc. são alguns dos bons recursos.
Altere a permissão no seu arquivo .htaccess, como é por padrão, usando permissões de gravação (pois o Joomla precisa atualizá-lo). A melhor prática é usar 444 (r-xr-xr-x).
Permissões de arquivo apropriadas nos diretórios públicos devem ser concedidas para que nenhum arquivo malicioso possa ser carregado ou executado. A melhor prática neste contexto é 766 (rwxrw-rw-), ou seja, somente o proprietário pode ler, escrever e executar. Outros podem apenas ler e escrever.
Ninguém deve ter permissão para gravar em arquivos PHP no servidor. Todos devem ser definidos com 444 (r - r - r--), todos podem ler apenas.
Delegar as funções. Isso torna sua conta de administrador segura. Caso alguém invadir sua máquina, ele deve ter acesso apenas ao respectivo usuário, e não à conta do administrador.
Os usuários do banco de dados devem ter permissão apenas para fornecer comandos como linhas INSERT, UPDATE e DELETE. Eles não devem ter permissão para derrubar tabelas.
Altere os nomes das pastas de back-end, por exemplo, você pode alterar / administrador para / admin12345. 16. Por último, mas não menos importante, mantenha-se atualizado com as vulnerabilidades mais recentes.
fonte
Sua primeira linha de defesa é o seu serviço de hospedagem
Sua próxima linha de defesa é o seu cPanel
Sua próxima linha de defesa é o seu painel de administrador
Tenho certeza de que existem outras etapas, mas essas são as principais que eu uso no meu servidor, hospedando mais de 70 sites de todo o país. Recentemente, tive um ataque maciço semelhante a um ataque DDoS e nenhum site foi acessado. Eu meio que senti 3 metros de altura e à prova de balas, mas sei que não posso ser complacente, pois amanhã é outro dia! ri muito
fonte
Não sou fã de autenticação de dois fatores
Instale o Akeeba Admin Tools, habilite o htaccess avançado, verifique as opções e o firewall do software
https://www.akeebabackup.com/download/admin-tools.html
fonte