Jak na bezpečnou Joomlu? - aplikace

Martin
27. dub 2016 14:30 #126772
V dnešní době již nestačí jen nainstalovat redakční systém, neboť míra škodlivých souborů je tak velká, že je zapotřebí web lépe zabezpečit.
Chtěl bych se vás tedy zeptat, jaké aplikace doporučujete pro nejlepší zabezpečení Joomly? (Můžou být i placené)

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Bong
27. dub 2016 18:37 #126775
Myslím, že to není o hromadě dalších zabezpečovacích rozšířeních. Základem by vždy měl být slušný hosting s nezastaralým systémem a aktualizovaná Joomla + rozšíření. Spolu s pravidelným zálohováním toto běžně musí stačit.

Zkuste se podívat na článek , kde se na konci o asi v čechách nejběžnějších rozšířeních pro zabezpečení píše.

I'm sorry, my responses are limited...you must ask the right questions.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Cony
27. dub 2016 22:14 #126783
Přesně tak, důležitý je zdravý rozum. Aktualizovaná Joomla, s co nejméně rozšířeními, ideálně zakázat i rozšíření jádra, které nepoužíváte (pluginy, komponenty). Nestahovat šablony a rozšíření odjinud než od autora. Hodně služby Vám také prokáže dobře nastavený htaccess. Na nějaké tipy ohledně htaccess se můžete podívat třeba zde .

Bezpečnostní rozšíření (osobně mám oblíbené Admin Tools ) Vám obvykle umožní vygenerovat lepší htaccess, než je v základu Joomly. Přidávají také další vrstvu ochrany, která ale spíše přijde vhod, až když máte Joomlu, nebo některé z rozšíření neaktuální. No a nakonec, Vám umožní snadno dohledat které soubory byly napadené, když už dojde na nejhorší.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Martens
29. dub 2016 09:03 #126789
Jenom doplním Conyho o informaci k Admin Tools - cca 2 verze zpátky autoři zpřístupnili spouštění FileScanu z front-endu, což umožnilo jednu věc a to tu, že si lze naplánovat spuštění Filescanu v Cronu (už to jde i u Wedosu, kde podporují právě jen front-end skripty) a lze si tak nechat třeba 2x do týdne preventivně projet web na změny v souborech Joomly a poslat si jen hlášení do mailu.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Cony
29. dub 2016 09:27 #126791
Ta funkce pravidelného spouštění je tam už delší dobu, jen šla spouštět pouze skrz CLI úlohu, což je ale rozumnější způsob, pokud to hosting podporuje.

Osobně jí ale používám jen pro případnou kontrolu toho co je napadeno, na webech kde Admin Tools nebyly a po napadení se snažím najít škodlivé soubory.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Martens
29. dub 2016 10:00 #126792
Ano, script pro CLI úlohu tam je dlouho, ale právě WEDOS třeba CRON s CLI nepodporuje a podporovat nebude =>pro pravidelnou činnost je u více webů ruční spouštění nereálné.

Jinak FileScan jsem taky používal dříve jen pro hledání změněných nebo přidaných souborů, ale to nestačilo, pokud to hledám až ex-post. Pak jsem změnil filozofii a projížděl FileScan vždy před aktualizací nebo instalací nového rozšíření.

Ale jinak musím taky potvrdil, že Admin Tools je jedna z dobrých voleb pro zabezpečení webu a vyplatí se mít zaplacené předplatné rovnou na Bundle s Akeeba Backup.

Jediné, co mi tam snad chybí je možnost nějak vložit ( třeba i automaticky díky funkci 3xautoban a pak trvalý BAN) trvale banované IP adresy (nemusí být autoban) do .htaccess - což by v případě opakujících se útoků a větší zátěže určitě ulevilo Joomle, protože by nemusela BAN hledat v databázi, ale rovnou by to nepustil .htaccess. Nebo to nějak jde?

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.