Jeżeli instalujesz Joomla na serwerze, zawsze musisz podjąć odpowiednie kroki aby zabezpieczyć swoją witrynę przed atakami hakerów. Administratorzy często zapominają o tym fakcie i po instalacji pozostawiają witrynę otwartą na ataki hakerów. Przyjrzyjmy się teraz tym najczęściej popełnianym blędom:

1. Nie aktualizowanie Joomla do najbardziej aktualnej wersji

Oczywiście zalecane jest również okresowe robienie backupu całej witryny np. po wprowadzeniu zmian. Istnieje wiele komponentów które umożliwiają bacup całej zawartości witryny łącznie z bazą danych.

2. Nie sprawdzanie praw chmod katalogów po instalacji Joomla

Foldery z prawami wyższymi niż 755 mogą stanowić poważne zagrożenie dla Joomla, pozostawiając otwarte drzwi dla hakera i umożliwiając mu odczyt i zapis a nawet upload plików, a w konsekwencji przejęcie kontroli nad witryną. Na serwerach foldery dziedziczą zazwyczaj prawa, ale dobrze jest upewnić się że chmod wszystkich folderów ustawiony jest poprawnie.

Można również zainstalować komponenty Joomla które upewnią się za ciebie że wszystko jest w porządku.

3. Nie sprawdzanie chmod plików

Jest nie zalecane aby nadawać plikom prawa wyższe niż 644. Nadanie takich praw ułatwia osobie atakującej naszą witrynę po dostaniu się na nią wprowadzanie zmian, jako że pliki z prawami wyższymi niż 644 mogą być bardzo łatwo modyfikowane.

4. Umożliwianie nie kontrolowanego uploadu plików

Osoby atakujące nasz system mogą wykorzystać fakt iż umożliwiasz wysyłanie plików na serwer i przesłać plik zawierający kod który pomoże im w dostaniu się na naszą stronę. Jeżeli już nie masz innego wyjścia spróbuj ograniczyć do minimum formaty plików które mogą być przesyłane ale pod żadnym pozorem nie umożliwiaj wysyłania wykonywalnych skryptów takich jak: .php, .php3, .php4, .php5, .phtml

5. Udostępnianie istotnych plików i folderów

Zawsze pamiętaj o zabezpieczeniu istotnych plików i folderów:

- configuration.php - główny plki konfiguracyjny Joomla,

- Folder tymczasowy Joomla (tmp) - każde rozszerzenie Joomla które instalujesz jest najpierw przenoszone do tego folderu,

- Folder logów Joomla (logs) - każda aktywność na stronie jest zapisywana w tym folderze i dzięki tym informacjom zainteresowane osoby mogą znaleźć luki w zabezpieczeniach.

Najlepszym sposobem na zabezpieczenie twojej witryny jest przeniesienie powyższych do katalogu znajdującego sie poza public_html. Jak to zrobić opiszemy w osobnym artykule