Joomla 3 manuál

V dnešním díle Joomla seriálu si ukážeme základní možnosti zabezpečení redakčního systému Joomla. Jelikož útoků neustále přibývá je nezbytné učinit alespoň tato bezpečnostní opatření.

Ukážeme si tyto způsoby zabezpečení:

Joomla:

1.) Zabezpečení formulářů pomocí Captcha.
2.) Zabezpečení administrace na šifrofané spojení SSL (HTTPS).
3.) Zabezpečení administrace změnou všeobecné URL /administrator pro příhlášení (AdminExile).
4.) Zabezpečení komponentou AdminTools.
5.) Aktualizace Joomla a jejich komponent

Hosting:

1.) Zamknutí FTP účtu.
2.) Oprava práv souborů a složek.

Joomla

1. Zabezpečení formulářů pomocí Captcha

Kontaktní formuláře v Joomle lze zabezpečit proti rozesílání spamu pomocí Captcha, což je kontrolní kód, který musí každý, kdo chce zprávu odeslat opsat a potvrdit. Tyto obrázkové kódy je pro roboty již velice komplikované rozeznat a požadované pole vyplnit.

Jednou z možností je využití reCaptcha od společnosti Google, která je jedna z nejbezpečnějších a možnost ji dekódovat roboticky je velmi málo pravděpodobná.

Jak tedy reCaptchu aktivovat?

Plugin reCaptcha je již obsažen v základní instalaci Joomly a nalezneme jej v Rozšíření -> Správce pluginů a dáme vyhledat Captcha - ReCaptcha.

Nejdříve ze všeho, ale musíme na stránkách www.google.com/recaptcha vygenerovat Public Key a Private Key. Bez těchto klíčů captcha nebude fungovat.

Klíče následně vložíme do konfigurace pluginu, zveřejníme jej a stiskneme tlačítko "Uložit".

Nyní aktivujeme reCaptcha globálně pro využití v celé Joomle výběrem z menu Systém -> Globální nastavení a na kartě Veřejná část vybereme Výchozí Captcha právě reCaptcha.

reCaptcha je nyní aktivní a můžeme ji využít např. v kontaktním formuláři, fóru, registraci apd. Ukázka níže zobrazuje použití reCaptcha v kontaktním formuláři.

V menu administrace vybereme Komponenty -> Kontakty v pravém horním rohu Možnosti a pak nastavím reCaptcha dle níže uvedeného obrázku.

Nyní si můžeme na frontendu zobrazit libovolný kontakt a u kontaktního formuláře se nám zobrazí reCaptcha viz. obrázek níže.

Takto můžete reCaptchu nastavit pro všechny komponenty, které tuto funkcionalitu umožňují a otravné spamy zasílané na Váš email se omezí na minimum.

2. Zabezpečení administrace na šifrofané spojení SSL (HTTPS)

Zapnutím SSL (HTTPS) získáte šifrované spojení pro Váši Joomla a tuto volbu můžete aktivovat buďto pro celý web (frontend, administrace) nebo pouze pro administraci.

Kde se SSL v Joomle zapíná?

Jsou dvě možnosti (obě udělají prakticky stejnou změnu v souboru configuration.php):

1.) V administraci Joomla zvolíme Systém -> Globální nastavení a na kartě Server v Nastavení serveru a Vnutit SSL přepneme na Pouze správce (administrace) nebo Kompletní stránky.

2.) V souboru configuration.php změníme hodnotu $force_ssl změníme z 0 na 1 (pro administraci) nebo na 2 (pro kompletní stánky).

pouze administrace:

public $force_ssl = '1';

nebo pro kompletní stránky:

public $force_ssl = '2';

Po sérii těchto nastavení budete mít administraci nebo kompletně celé webové stránky šifrované pomocí SSL (HTTPS).

3. Zabezpečení administrace změnou všeobecné URL

Každý kdo bude chtít napadnout webové stránky postavené na systému Joomla ví, že pro přihlášení do administrace stačí zadat URL http://www.mujweb.cz/administrator a zde již se může lehce pokoušet o uhodnutí hesla sám nebo za pomocí robotů zaůtočit.

Pro změnu administrační URL nebo spíše pro její lehkou úpravu pomocí klíče můžeme použít například plugin AdminExile nebo komponentu AdminTools (tuto komponentu budeme popisovat v bodě 4. tohoto dílu) a administrace po tomto zákroku již na /administrator nebude dostupná.

Pojďme tedy na věc:
a) Stáhněte si plugin AdminExile a proveďte jeho instalaci přes Správce rozšíření v Joomle.
b) Přejděte k nastavení pluginů Rozšíření -> Správce pluginů a vyhledat AdminExile a kliknout na jeho detail (konfiguraci)

Nejprve přepneme plugin přepneme do stavu Povolit.

Nastavíme si parametr URL Access Key například na administrace a hodnotu URL Key + Value přepneme na Ano a vložíme klíč např. klic tak jak je znázorněno na obrázku výše.

Přístupová URL adresa do administrace pak bude vypadat nějak takto:

http://www.mujweb.cz/administrator/index.php?administrace=klic

Pokud tedy útočník nebude znát Access URL parametr a Váš klíč, tak se k pokusu o prolomení hesla do administrace ani nedostane a v případě chybného zadání bude vždy přesměrován na úvodní stránku.

4. Zabezpečení komponentou AdminTools

Do redakčního systému Joomla lze nainstalovat komponentu třetí strany Admin Tools, která slouží jako bezpečnostní webový firewall. Tato komponenta obsahuje již ve free verzi velké množství funkcí a v placené verzi PRO těchto funkcí ještě další hromada přibude.

Seznam funkcí:

• zabezpečení přístupu do administrace - změna administrační URL
• ochrana administrace heslem
• black a white listy
• záznamy bezpečnostních vyjímek
• geografické blokování
• šablony emailu
• zabezpečení pomocí .htaccess
• kontrola souborů (file scanner)
• konfigurace oprávnění
• SEO nástroje
• promazávání dočasné složky, sezení
• oprava a optimalizace databáze
• URL přesměrování
• Export, Import nastavení

Jelikož se komponenta neustále vyvíjí, muže se tento seznam od nejnovější verze lišit.

Vzhledem k velkému rozsahu této komponenty příkládáme pouze odkaz na administrátorskou dokumentaci, kde se dozvíte všechny potřebné informace https://www.akeebabackup.com/documentation/admin-tools.html.

5. Aktualizace Joomla a jejich komponent

Jelikož útočníci využívají především chyb v redakčních systémech, komponentách, modulech a pluginech je nezbytně nutné všechna tato rozšíření pravidelně aktualizovat zejména tehdy, kdy se jedná o bezpečnostní záplaty. Nechat webové stránky na zastaralém redakčním systému je velké bezpečnostní riziko.
Jakmile vývojář přestane vydávat bezpečnostní aktualizace redakčního systému, kterému např. končí podpora a dále je podpora jen pro vyšší verze může to pro Vaše webové stránky znamenat velké nesnáze.

Hosting

1. Zamknutí FTP účtu

Pokud Váš poskytovatel hostingových služeb umožňuje v administraci Vašeho hostigu zamknout FTP účet, tak pokud neprovádíte žádné akce, které přístup na FTP nezbytně potřebují tento účet uzamkněte.

Např. u webhostingu WEDOS můžete FTP účet zablokovat viz. obrázek níže.

2. Oprava práv souborů a složek

Důležité je také mít správně nastavena práva pro složky a soubory. Výchozí nastavení by mělo vypadat takto:

755 pro složky
644 pro soubory

Pokud víte, že některé části adresářové struktury mohou mít práva nastavena přísněji, určitě to udělejte!

• Předchozí
• Další