J! Sigurnosni savjeti
Svima nam se desilo da smo vidjeli J!portal napadnut i oboren od strane hakera. Neki su to čak iskusili i na svojoj koži.
Zamislite situaciju u kojoj ležite na plaži negdje na plavom Jadranu u najdražoj nam Dalmaciji i primate poruku u kojoj vas obavještavaju da vam je J! portal napadnut i oboren. Kroz glavu vam se vrtilo šta sa sve trebao uraditi da ovo spriječite. U nastavku teksta pročitajte kako ste to mogli spiječiti...
1. Pratiti upustvo "Joomla Administrator's Security Checklist" pri implementaciji vašeg portala
Ljudi u Joomla.ORG su se potrudili da sastave ovu listu i vrlo je korisna za J!administratore.
LINK: http://docs.joomla.org/Category:Security_Checklist
2. Instalirajte na vaš J!portal JSecure autentifikacijski dodatak (plugin)
Svaki J!portal ima isti administratorsku pristupnu stranicu (back-end) i isti URL. Ukoliko instalirate JSecure možete da kreirate sufiks na vaš URL za pristupnu stranicu za administratore. Evo primjer kako to izgleda http://www.joomla.ba/administrator?neki_tekst. Ukoliko upišete URL http://www.yoursite.com/administrator nećete moći pristupiti admin pristupnoj stranici. Ovaj sufiks "neki_tekst" možete po želi mjenjati radi povećanja sigurnosti.
LINK: http://extensions.joomla.org/extensions/access-&-security/site-security/5809/details
3. Ne koristite "jos" prefiks za J!bazu podataka
"jos" prefiks se automatski dodaje na svaku J!bazu podataka pri instalaciji iako je moguće ovu opciju i isključiti. Ovo samo po sebi nije propust (exploit) ali može pomoći napadaču. Preporuka je da se ovaj prefiks ne koristi, već neki drugi ili da se nikako ne koristi prefiks.
LINK: http://brian.teeman.net/tips-and-tricks/joomla-security-jos.html
4. Zamjenite početni administratorski račun
Pri instalaciji Joomla portala automatski se kreira administratorski račun. Taj administrator ima uvijek identifikacioni broj (ID) 62 što može pomoći napadaču da lakše preuzme vaš portal. Preporuka je da se ovaj administratorski račun potpuno izbriše i kreira se novi sa korisničkim imenom koje nije ADMIN. Da bi izbrisao "admin"-a potrebno je da pristupiš portalu sa novim administratorskim pristupom i da promjeniš privilegije za "admin"-a sa Super Administrator na Manager. Tek onda je moguće izbrisati potpuno ovaj administratorski pristup!
5. Koristite jedinstvenu i komplikovanu šifru za pristup
Izaberite šifru koja se sastoji od velikih, malih slova, brojeva te od simbola (Npr. NiđEv%ZE).
6. Preporučujemo što češće mjenjanje imena i šifre
Preporuka je da se ime i šifra mjenjaju barem svaka 3 mjeseca. Šifra čak i češće od imena.
7. Ne koristiti korisnika prvog nivo (root user) za korisnika koji pristupa J!bazi podataka
Preporuka je da se pri svakoj novoj instalaciji J!portala koristi novi korisnik sa ograničenim privilegijama u MySQL bazi podataka. Taj korisnik treba biti ograničen samo na tu bazu koju koristi vaš novi J!portal koji želite instalirati.
8. UVIJEK INSTALIRAJTE POSLJEDNJU VERZIJU J!PORTALA!
Preporuka je da se uvijek instalira posljednja verzija J!portala i da se redovno vrši update.
Do sljedećeg puta ... vaš J!BA tim