A legtöbb Joomla! támadások alapját a beépülőmodulok/komponensek sebezhetősége, a gyenge jelszavak, valamint az elavult szoftverek használata okozzák.

Talán az egyik legnagyobb hátránya a nyílt forrású CMS-rendszereknek használatának, hogy bárki letöltheti a teljes forráskódot, amelynek segítségével a támadó könnyebben meghatározhatja, hogy melyik oldal fut Joomla! alapokon, így célzottabb támadást tud alkalmazni, hiszen tudni fogja az adott rendszer gyengeségeit.

Legyünk motiváltak: az oldalainkon akár 100-1000 jogosulatlan belépési kísérlet is történhet nap mint nap. A legtöbb esetben a hackerek az úgynevezett Brute force (Nyers erő) támadási módszert alkalmazzák a weboldalakra való bejutásához. A legfontosabb, hogy minimalizálnunk kell a feltörés kockázatát, ezért bizonyos óvintézkedéseket kell tennünk az oldalunk védelmének érdekében.

1. Készítsünk bizonyos időközönként biztonsági másolatot a működő oldalunkról. Ebben lehet segítségünkre az Akeeba Backup nevű bővítmény, amely egy fájlba tömöríti a teljes rendszerünk, amelyet lementhetünk a saját gépünkre. Fontos, hogy biztonsági másolatot soha ne hagyjunk a tárhelyünkön. Bővebb leírás itt olvasható. (Erősen ajánlott)

2. Győződjünk meg arról, hogy mindig a legfrissebb verzióját használjuk a Joomla! alaprendszernek és a külső fejlesztők által készített bővítményeknek. Ebben lehet segítségünkre a Joomla! belső frissítési rendszere, amely segítségével pár kattintás segítségével frissíthetjük a meglévő bővítményeinket. Megjegyzés: Célszerű olyan bővítményeket használnunk, amelyek támogatják a Joomla! beépített frissítő rendszerét, amely íméles értesítést küld a felhaszálónak új frissítés elérhetősége esetén. (Erősen ajánlott)

3. Rejtsük el az adminisztrációs felületünk belépési oldalát - ez alapértelmezetten a /administrator hivatkozás. Ebben lehet segítségünkre az AdminExile nevű bővítmény, amely használatával tetszőlegesen módosíthatjuk a belépési URL-t. Bővebb leírás itt olvasható. (Erősen ajánlott)

4. Rejtsük el oldalunk forráskódjából Joomla! generator címkét. Ebben segítségünkre lehet a ByeByeGenerator bővítmény, amellyel eltávolíthatjuk az árulkodó metát. Bővebb leírás itt olvasható.

5. Klasszikus példája a gyenge biztonságnak, ha továbbra is az „admin” felhasználói nevet alkalmazzuk Super Users-ként (legmagasabb jogosultságkörrel rendelkező felhasználók). Mivel ezt a felhasználói fiókot próbálják legelőször támadni, így ne vesztegessük az időt, nevezzük át a Felhasználókezelőben, valamint rendeljünk hozzá egy erős jelszót.

Erős jelszó:

  • Legalább nyolc karakter hosszúságú
  • Ne használjunk jelszavunkhoz általános szavakat, például: pass, admin, admin123, 12345, qwert stb.
  • Kerüljük a személyes információk jelszóként való használatát, például: kereszt- vagy családnevet stb.
  • Kerüljük a nyilvános jelszógenerátorokat. A jelszógenerátorok különböző generáló algoritmusokat alkalmaznak, melyek visszafejtésével, könnyedén kitalálhatja a támadó a jelszavunkat.
  • Használjunk speciális karaktereket ( *!@#)$ ), számot valamint nagybetűt a jelszavunknál, ha lehetséges.

6. Használjunk kéttényezős hitelesítést az adminisztrációs/felhasználói felületünk belépésénél, amelynek lényege, hogy a felhasználói név és jelszó pároson kívül a mobiltelefonunk által 30 másodpercenként váltakozó 6 jegyű karaktersorozatot is meg kell adnunk a belépéshez. Használatához engedélyeznünk kell a Kéttényezős hitelesítés - Google hitelesítés beépülőmodult, valamint szükségünk van még egy okos telefonra és egy rátelepített kulcsgeneráló alkalmazásra. Bővebb leírás itt olvasható.

7. Kapcsoljuk be a keresőoptimalizálást, hogy elrejtsük a Joomla!-ra jellemző hivatkozásainkat. Ezt a Globális konfigurációban található Webhely fülön tehetjük meg, ahol állítsuk Igen értékre a Keresőbarát URL-címek, az URL-átírás használata valamint az Unicode-aliasok (opcionális, engedélyezi az ékezetes hivatkozásokat) opciókat. Végül a gyökérben található htaccess.txt fájlt nevezzük át .htaccess-re.

8. Az előző pontban átnevezett .htaccess fájlhoz adjuk hozzá a következő sorokat - a RewriteEngine On érték alá - amely segítségével blokkolhatjuk a Joomla! ellenőrzésén kívüli scriptek futtatását:

RewriteCond %{REQUEST_URI}  ^/images/  [NC,OR]
RewriteCond %{REQUEST_URI}  ^/media/  [NC,OR]
RewriteCond %{REQUEST_URI}  ^/logs/  [NC,OR]
RewriteCond %{REQUEST_URI}  ^/tmp/
RewriteRule .*\.(phps?|sh|pl|cgi|py)$ - [F]

9. Ha nincs rá szükségünk a felhasználói oldalon, akkor blokkoljuk le az új felhasználók regisztrációját. Ezt a Felhasználókezelő Beállítások menüpontjában tilthatjuk le.

10. Soha ne hagyjuk fájljainkat vagy könyvtárainkat 777 jogosultsági értékkel, mivel evvel a beállítással mindenki számára elérhetővé/módosíthatóvá/futtathatóvá tesszük azokat.

11. Használjunk „tűzfal” bővítményeket, mint például az ingyenes Marco’s SQL Iniection vagy a fizetős RSFirewall!, amely védelmet nyújthatnak olyan népszerű támadási módszereknek ellen, mint az SQL injekciók, távoli kódfuttatás vagy az XSS alapú támadások. Egyes bővítmények használatához elengedhetetlen a curl() függvény bekapcsolása a szerveren.

12. Mindig megbízható forrásból telepítsük a bővítményeinket, és ne használjunk nem tiszta forrásból származó kiegészítőket, mivel ezek nagy százaléka már ártó kódot tartalmaz. A megbízható bővítmények kiválasztásában nagy segítséget nyújthat a JED-en (Joomla! bővítmények hivatalos gyűjteménye) található értékelő rendszert.

13. Nem használt sablonjainkat, komponenseinket, beépülőinket távolítsuk el, főleg ha már nem támogatottak.

Összegzés

Ez az útmutató ugyan nem védhet minden eshetőség ellen, de ennek a pár egyszerű lépésnek a betartásával, még biztonságosabbá tehetjük weboldalukat, evvel is csökkentve a feltörés kockázatát.

Bejelentkezés a hozzászóláshoz

probi profilkép
probi válaszolt a témára: #2 2015 jan. 20 11:47
Üdv a fórumon!
Ha az /administrator oldalhoz .htacces-ben IP címre/tartományra van korlátozva a hozzáférés, illetve a kéttényezős hitelesítés be van kapcsolva akkor elméletileg okafogyottá válik az AdminExile bővítmény használata. Vagy nem jól gondolom?
Balázs profilkép
Balázs válaszolt a témára: #3 2015 jan. 20 12:46
Gyakorlatilag, igen. Amúgy többféleképpen is el lehet rejteni az adminisztrációs belépést/felületet, mindenki azt használja, amely egyszerűbb számára (Hoszting panelből, htpasswd, htaccess, bővítmény segítségével, stb.), igazából a lényeg, hogy ne lehessen elérni közvetlenül.
Az AdminExile annyiban kényelmesebb, hogy egy szimpla telepítéssel felvihető és utána pár kattintással beállítható, hogy az administrator mappára mondjuk 404-et dobjon, mintha nem is létezne.
elamy profilkép
elamy válaszolt a témára: #4 2017 júl. 13 12:35
Sziasztok! Tetszik az oldalatok!
Akeeba Backuppal kapcsolatos infót kerestem, így az ezen az oldalon lévő 1. pont számomra hasznos lett volna, de sajnos az "itt" szócskára az alábbi 404-es oldal linkel.

joomlacms.hu/component/content/17-k%C3%A...%C3%A9se?Itemid=1158
Köszi a segítséget, előre is!
elamy
freepetya profilkép
freepetya válaszolt a témára: #5 2017 júl. 13 14:05
Balázs profilkép
Balázs válaszolt a témára: #6 2017 júl. 13 15:06
Javítva a cikkben is!
heimalsson profilkép
heimalsson válaszolt a témára: #7 2019 febr. 19 07:56
sziasztok!

abszolute kezdö vagyok, és egy kis infóra szeretnék rákérdezni.
fentebb ezt javaslod:
"Végül a gyökérben található htaccess.txt fájlt nevezzük át .htaccess-re."
ezt a gyökér dolgot merre találom?
vagy ezt manuálisan total commanderben kell megcsinálni?
illetve, a 3.xx verzioszám és afeletti verziók esetében is szükség van erre?

köszönöm a segítséget előre is!
jemie profilkép
jemie válaszolt a témára: #8 2019 febr. 20 18:34
Szia!

"vagy ezt manuálisan total commanderben kell megcsinálni?"
Pontosan!
Ha belépsz a domained könyvtárába ott találod meg a htaccess.txt fájlt amit át kell nevezned .htaccess-re
imgur.com/geUPmAe
Mary S. profilkép
Mary S. válaszolt a témára: #9 2021 febr. 08 22:57
Az lehet, hogy a 6. pontban található linken az oldal nem található?
jemie profilkép
jemie válaszolt a témára: #10 2021 febr. 09 08:44
Igen lehet, de itt találsz infót:
docs.joomla.org/J3.x:Two_Factor_Authentication
kovacshazi profilkép
kovacshazi válaszolt a témára: #11 2021 febr. 10 07:46
Azt gondolom, hogy ennél többet ér egy biztonsági komponens amely mellesleg hasonló módon pluszban levédi az admin felülete.
Akeeba Admin Tools:https://www.akeeba.com/products/admin-tools.html
vagy
RSFirewall: www.rsjoomla.com/joomla-extensions/joomla-security.html
Balázs profilkép
Balázs válaszolt a témára: #12 2021 febr. 10 10:27

Mary S. írta: Az lehet, hogy a 6. pontban található linken az oldal nem található?

 

Javítva!
Balázs profilkép
Balázs válaszolt a témára: #13 2021 febr. 10 10:28

kovacshazi írta: Azt gondolom, hogy ennél többet ér egy biztonsági komponens amely mellesleg hasonló módon pluszban levédi az admin felülete.
Akeeba Admin Tools:https://www.akeeba.com/products/admin-tools.html
vagy
RSFirewall: www.rsjoomla.com/joomla-extensions/joomla-security.html


Az általad javasolt bővítmények mindegyike szerepel a cikkben.
csicsa55 profilkép
csicsa55 válaszolt a témára: #14 2021 febr. 11 15:42
Mi a különbség az Akeeba Admin Tools ingyenes és pro változat között?
Úgy értem a kényelmi funkciókat figyelmen kívül hagyva.
Balázs profilkép
Balázs válaszolt a témára: #15 2021 febr. 11 16:57
Ezt az összehasonlító oldalt már nézted? www.akeeba.com/products/46-software/860-...vs-professional.html
kovacshazi profilkép
kovacshazi válaszolt a témára: #16 2021 febr. 11 19:17
Egy kicsit aktuálisabb és frissebb megjelenéssel ugyanez:
www.akeeba.com/products/admin-tools.html
csicsa55 profilkép
csicsa55 válaszolt a témára: #17 2021 febr. 11 22:01
Hát így ránézésre akeeba odaver az rs firewallnak és még olcsóbb is. RS firevall egy domainre ennyi, akeba korlátlan. Gondolom az egy év support lejárat után is lehet a komponenst használni, csak akkor kell újra megvenni, ha kijön egy újabb főverziós joomla.