Joomla Webサイトを安全に保つ
- 強力なパスワードを使用してください。
- 管理者アカウントの数を最小限に抑えます。
- 未使用のユーザーアカウントを無効にするか削除します。
- サードパーティの拡張機能の数を最小限に抑え、サードパーティの拡張機能が必要な場合は、信頼できる確立された開発者がサポートする拡張機能を使用してください。
- Joomlaおよびサードパーティの拡張機能に最新の更新を定期的に適用します Joomla EOLバージョンのセキュリティホットフィックス (該当する場合)。
- Joomla Security News フィードを購読して、Joomlaの主要なセキュリティ更新について通知を受け取れるようにします
- Joomla Vulnerable Extensions List(VEL) に登録して、新しい脆弱性にすばやく対応できるようにします。 サブスクリプションリンク のページの一番下までスクロールします TwitterのVEL をフォローすることもできます。
- 適切なPHP suPHPやFastCGIなどのファイルハンドラーやmod_securityなどのセキュリティ拡張機能を含む)高品質の安全なWebホスティングを使用します。 サポートされているバージョンのPHP を使用します。
- Webホスティング会社のバックアップのみに頼るのではなく、Webサイトの独自のバックアップを定期的に実行し、バックアップファイルをオフサイトにコピーし、定期的にテストリストアをテスト場所に実行して、バックアップの品質を確認します。
- Httpsを有効にします。
- Akeeba管理ツールのプロフェッショナルバージョンで提供されるようなWebアプリケーションファイアウォールを実装します。
- 標準のテーブルプレフィックスを使用しないでください。
- デフォルトのスーパー管理者のユーザー名とIDを別のものに変更します。 Akeeba管理ツールのプロフェッショナルバージョンには、特権管理者IDを変更するためのツールが含まれています。
- Joomla管理へのアクセスをIPで制限します。信頼できるIPのみを許可します。
- 管理者アカウントの2要素認証を有効にします(Joomla 3.2以降に適用)。
- 同じホスティングアカウントを共有している他のWebサイト、または理想的には、独自のWebホスティングアカウントに別のWebサイトについて上記の手順を繰り返して、相互汚染を防止します。
- ウェブサイト管理者のパソコンも同様に保護されていることを確認してください。たとえば、高品質のウイルスおよびマルウェアスキャナーを実装します。これは、パーソナルコンピューターに保存されているWebサイトの資格情報を保護するのに役立ちます。理想的には、暗号化ツールまたはアプリケーションを使用して、Webサイトやその他の資格情報を保存します。
- 何をすべきかしないについては、 管理者の愚かさのトップ10のトリック をお読みください.
詳細な手順については、公式の セキュリティチェックリスト を参照してください。
バックアップを別のサーバーに保存することは非常に重要です。 Akeeba Backupsを忠実に実行している多くの人々を目にします...それらは同じサーバーの同じルートディレクトリに保存されています。深刻な方法でハッキングされている場合はそれほど役に立ちません。また、ホスティングの障害からの回復には確かに役立ちません。
Akeeba Backup Proを使用すると、Amazonクラウドなどの外部ストレージにバックアップファイルを保存して管理できます。
.htaccessファイルの代わりに、またはIPでロックする方法として、jSecureを使用して管理者ログインを保護することもできます。
言及されていないことの1つは、評判の良いホスティングプロバイダーの使用です。セキュリティを維持するだけでなく、ハッキングされた場合や問題(データベースが破損した場合など)が発生した場合にも動作するものを必要としています。このアイデアは、サイトをクリーンアップできるようにする一方で、サイトの被害を制限することです。
基本的な考え方は、誰が….
- 周りになります
- 夜間飛行ではない
- あなたと一緒に働きます
- 堅実な環境を提供します。
質問のリストをホストに聞いて気分を良くしたい場合は、私に知らせてください。
お役に立てれば。
基本的に私の経験では、Joomlaのサイズでは、それを完全に保護する方法はありません。したがって、すべてを阻止する完璧なセキュリティポリシーではなく、全体的な被害を軽減するための期待を下げることが最善です。
これは、非常に頻繁なバックアップポリシーを使用して実行できるため、侵入時にサイトをロールバックしたり、マルウェアスキャンを実行したりできます。これまでのところ、ハッキングされたハッキングは1つだけではありませんでした。
私たちが目にするほとんどのハックは、サードパーティのコンポーネントまたはJoomlaコアからのものです。ハックがJoomlaの最新バージョンに侵入することもできます。これは、ハッキングが通常のリクエストのように見え、不適切なフィルタリングを使用してファイルをサーバーにプッシュするためです。ファイルがサーバー上にあると、すべてが公正なゲームであり、共有サーバー全体の[〜#〜] any [〜#〜]サイトに存在する可能性がありますが、引き続きサイトに影響します。共有サーバーは最新の状態に維持されないため、影響を受ける可能性があります。
これは少し極端かもしれませんが、個人的な経験に基づいて、最悪の場合のために準備して、ポリシーですべてを防ぐことができると確信しています。
したがって、新しいJoomlaインストールを保護する最善の方法は、頻繁にバックアップを取り、マルウェアスキャンを有効にすることです。マルウェアスキャナーが何かを見つけたらすぐにメールで通知できれば、非常に短い時間内に最新のバックアップにロールバックできます。
ユーザー名を変更し、管理者パスワードを強力に保ち、2要素認証を使用します(3.3以降用に組み込み、その他用) http://www.readybytes.net/labs/two-factor-authentication.html )
KSecureをインストールします( http://extensions.joomla.org/extensions/access-a-security/site-security/login-protection/12271 )
このhtaccessを使用して、さまざまな攻撃からWebサイトを保護します http://docs.joomla.org/Htaccess_examples_(security)
最初の防御線はホスティングサービスです
- 信頼できるホスティングサービスから専用サーバーをリースする
- サーバーで2FAをアクティブにし、「非常に強い」パスワードを使用していることを確認してください
- サーバーに信頼できるファイアウォールをインストールします-私はConfigServerを使用します
- ウイルス対策プログラムをインストール/構成します。ClamAVを使用しています
- 各ウェブサイトのユーザー名がドメイン名の最初の8文字を使用せず、「非常に強力な」パスワードを使用していることを確認してください
- 各WebサイトにSSL証明書がインストールされていることを確認します
- 各Webサイトが「刑務所内」であることを確認してください。つまり、サーバールートへのアクセスが必要でない限り、それらのWebサイトにはルートアクセス権がありません。その場合は、Secure Shell(SSH)がインストールおよび構成されていることを確認してください。サーバードメインのウェブサイトを使用していますが、他のすべてのウェブサイトは「刑務所内」にあります。
- すべてのサーバーの更新が迅速にインストールされていることを確認してください!!!!
次の防衛線はcPanelです
- 「非常に強い」パスワードを使用する
- ユーザーのユーザーパスワードの強度を設定する
- Cronジョブを設定してcPanel完全バックアップを実行し、外部ソースに保存する
- アクセスにSSLを使用するようにcPanelが設定されていることを確認します
- 「サイトセキュリティチェック」を実行して、他に必要な調整を確認します
- すべてのcPanelアップデートが迅速にインストールされていることを確認してください!!!!
次の防衛線は管理者パネルです
- パスワード形式の要件を編集して、強力なパスワード(大文字/小文字、数字、および少なくとも18文字の句読点を1つ以上含む)を確保します。
- ユーザーに対して2FAを有効にする-スーパーユーザーおよび管理者アカウントに使用
- スーパーユーザーアカウントの数を制限する(1つだけにするのが最善)
- 管理者アカウントの数を制限する(少ないほど良い)
- 管理者がアクセスできる領域を制限する
- 出版社、編集者、著者がアクセスできる領域を制限する
- AdminToolsをインストールして構成する
- AdminToolsを介して管理者のURLパスワードを設定する
- 重要なファイル(HTACCESS、ROBOTS.TXT、WEBCONFIG、INDEX.PHP(ルートとテンプレートの両方)が444に設定されていることを確認します。ファイルは、cPanel pr Pleskコントロールパネルのファイルマネージャで編集できます。
- AkeebaBackupをインストールして構成する
- バックアップを外部にオフサイトに保存するようにAkeebaBackupを構成する
- Joomla拡張機能ページからのみアドオンをインストールし、Joomla拡張機能ページにリストされていないサードパーティからのアドオンをインストールしないでください。
- 使用されておらず、Joomla機能に必要のないアドオンを無効化またはアンインストールします。
- Joomlaとアドオンの更新をすぐにインストールしてください!!!
他の手順もあると思いますが、これは、全国の70以上のWebサイトをホストしているサーバーで使用する主な手順です。最近、DDoS攻撃に似た大規模な攻撃があり、1つのWebサイトにアクセスしませんでした。私は高さ10フィートと弾丸の証拠を感じたのですが、明日は別の日なので、私は満足できません。笑
ブログで見つけたホワイトペーパー「ペンテストJoomlaサイト」からこのリストを借りています。このリストは、Joomlaのセキュリティの基本に関する完全なガイドラインだと思います。
- Joomlaを常に最新の状態に保ちます。アップグレードがリリースされたらすぐに最新のアップグレードをインストールします。
- 使用されている拡張機能が何であれ、最新のアップグレードリリースで適切にパッチを適用する必要があります。古い拡張機能により、攻撃者はサイトを危険にさらすことができます。
- 使用されていない、または適切にテストされていない拡張機能は使用しないでください。
- すべてのユーザー入力を適切に検証する必要があります。これらの入力は、フォーム、URI、画像のアップロードなどの入力にすることができます。BROWSEボタンでユーザーが画像をアップロードできる場合は、PHPではなく、画像のアップロードのみを許可する必要があります。後でサーバーのバックドアのように機能するシェル。
すべてのログインに強力なパスワードを使用します。 8文字以上、1つの特殊文字、1つの数字、1つの大文字と小文字を区別した文字。それはあなたのインストールを強引な力から保護します。
潜在的な攻撃をキャッチするために、Webサーバーのログファイルで「最新の訪問者」を常に追跡します。ログファイルを単なる情報と見なさないでください。ユーザーの追跡と監視に非常に役立ちます。
Joomlaベースのサイトがホストされているサーバー全体に、より多くのセキュリティを実装するためにいくつかのストレスをかけます。共有サーバーまたは専用サーバーでホストされています。
使用するすべての拡張機能のリストを作成し、それらを監視し続けます。
さまざまなセキュリティアドバイザリで最新の脆弱性と開示を常に最新の状態に保ちます。 Exploit-db、osvdb、CVEなどは、優れたリソースの一部です。
.htaccessファイルの権限は、デフォルトでは書き込み権限を使用するように変更します(Joomlaが更新する必要があるため)。ベストプラクティスは、444(r-xr-xr-x)を使用することです。
悪意のあるファイルがアップロードまたは実行されないように、パブリックディレクトリに対する適切なファイル権限を付与する必要があります。このコンテキストでのベストプラクティスは766(rwxrw-rw-)です。つまり、読み取り、書き込み、実行ができるのはオーナーのみです。他のユーザーは読み取りと書き込みのみができます。
サーバー上のPHPファイルに書き込むためのアクセス許可を誰も持つ必要はありません。それらはすべて444(r—r—r--)で設定する必要があります。誰もが読み取り専用です。
役割を委任します。管理者アカウントが安全になります。誰かがあなたのマシンにハッキングした場合、それはそれぞれのユーザーにのみアクセスでき、管理者アカウントにはアクセスできません。
データベースユーザーは、INSERT、UPDATE、DELETE行などのコマンドを実行する権限のみを持っている必要があります。テーブルのDROPを許可してはなりません。
バックエンドフォルダーの名前を変更します。/administratorを/ admin12345に変更できます。 16.最後になりましたが、最新の脆弱性で更新してください。
- 完全なホワイトペーパーはここにあります: http://www.exploit-db.com/wp-content/themes/exploit/docs/22763.pdf