Joomla hosting sigurnost
Svakodnevni napadi na Joomla portale normalna su pojave zbog velike poularnosti ovoga CMS-a. U velikom broju slučajeva uspjeh ovoh napada nema veze sa ranjivosti ovoga CMS-a koji ima jedan od najsigurnije napisan kod. Veći broj ranjivosti i propusta dolazi zbog lošeg hosting servisa ili loše napisanih dodataka koje koristite na svom portalu.
Postoje razni načini / mogućnosti zbog kojih vaš portal može postati ranjiv a usljed lošeg hosting servisa. Jedan od mogućih scenarija je da vaš Joomla portal smješten na djeljenom hostingu na kome se nalaze i neki drugi portali (ili čak CMS-ovi) sa potencijalnom ranjivošću. Prilikom preuzimanja ovog CMS-a haker može doći u mogućnost da preuzme i vaš Joomla portal.
U nastavku nekoliko savjeta kako se preventivno zaštiti i šta tražiti prilikom izbora hosting servisa ...
Biraj kvalitetan i pouzdan servis, neograničeno korištenje prostora, domena i sl. je sekundarna stvar, kvalitet je na prvom mjestu. Većina servera koristi Apache WEB servere. Ukoliko PHP skriptu, na djeljenom serveru, izvršava Apache globalni korisnik, onda je vaš Joomla portal izložen tzv. "cross-account" napadu. Tražite servere koji pokreću PHP skripte u CGI modu sa su_php! Na ovaj način ne morate postavljati nesigurne nivoe pristupa tipa CHMOD 0777.
Biraj hosting servis koji svakodnevno vrši update svih tehnologija korištenih na serveru. Takođe provjeri da li servis koristi mod_security Apache modul koji je zapravo WEB firewall za aplikacije i obezbjeđuje zaštitu od mnogo poznatih napada i ranjivosti. Takođe omogućava nadzor saobraćaja na vašem Joomla portalu, prati pristup portalu i lokaciji i omogućava analizu podataka u realnom vremenu.
Biraj hosting servis koji koristi open_basedir za pokretanje PHP skripti. Open_basedir onemogućava pristup i korištenje svim dokumentima ili skriptama čije korištenje nije dozvoljeno u open_basedir-u. Open_basedir onemogućava "include" napad.
Biraj hosting servis koji onemogućuje izvršavanje "remote" (udaljenog) koda u okviru početnih postavki! Ovo možete provjeriti u Joomla Administraciji (Help->System info->PHP info tab). Ukoliko koristite PHP 5.2 verziju obavezno postavite allow_url_include opciju na OFF, kao i allow_url_fopen.
Biraj hosting servis kod kojeg su isključene "Register globals" u početnim postavkama ili bar ima mogućnost da se isključe u lokalnim .htaccess ili php.ini skriptama.
Biraj hosting servis kod kojeg je isključen expose_php jer on omogućava da potencijalni napadač otkrije koju verziju PHP-a koristite na vašem serveru.
Osim ovih ranjivosti vezanih za PHP kod i Apache server, napad može doći i korištenjem slabosti FTP tehnologija. Biraj hosting servis koji koristi (ili ima mogućnost korištenja) SFTP (Secure FTP) tehnologije za prenos dokumenata i podataka. SFTP koristi SSH tehnologiju za prenos podataka. U ovom slučaju koristi se enkripcija koja zaštiti i komandu i podatke.
Ovo su samo neki od najvažnijih opcija na koje trebate paziti prilikom izbora hosting servisa, ali najbolji način zaštite je još uvijek backup, beckup i samo backup. Sve ostalo je usavršavanje ;)