Joomlaを安全に保つために、Joomlaの新規インストール後に行うべきアクションは何ですか?共有ホスティングサーバーと専用サーバーの両方。
Joomla Webサイトを安全に保つ
詳細な手順については、公式の セキュリティチェックリスト を参照してください。
バックアップを別のサーバーに保存することは非常に重要です。 Akeeba Backupsを忠実に実行している多くの人々を目にします...それらは同じサーバーの同じルートディレクトリに保存されています。深刻な方法でハッキングされている場合はそれほど役に立ちません。また、ホスティングの障害からの回復には確かに役立ちません。
Akeeba Backup Proを使用すると、Amazonクラウドなどの外部ストレージにバックアップファイルを保存して管理できます。
.htaccessファイルの代わりに、またはIPでロックする方法として、jSecureを使用して管理者ログインを保護することもできます。
言及されていないことの1つは、評判の良いホスティングプロバイダーの使用です。セキュリティを維持するだけでなく、ハッキングされた場合や問題(データベースが破損した場合など)が発生した場合にも動作するものを必要としています。このアイデアは、サイトをクリーンアップできるようにする一方で、サイトの被害を制限することです。
基本的な考え方は、誰が….
質問のリストをホストに聞いて気分を良くしたい場合は、私に知らせてください。
お役に立てれば。
基本的に私の経験では、Joomlaのサイズでは、それを完全に保護する方法はありません。したがって、すべてを阻止する完璧なセキュリティポリシーではなく、全体的な被害を軽減するための期待を下げることが最善です。
これは、非常に頻繁なバックアップポリシーを使用して実行できるため、侵入時にサイトをロールバックしたり、マルウェアスキャンを実行したりできます。これまでのところ、ハッキングされたハッキングは1つだけではありませんでした。
私たちが目にするほとんどのハックは、サードパーティのコンポーネントまたはJoomlaコアからのものです。ハックがJoomlaの最新バージョンに侵入することもできます。これは、ハッキングが通常のリクエストのように見え、不適切なフィルタリングを使用してファイルをサーバーにプッシュするためです。ファイルがサーバー上にあると、すべてが公正なゲームであり、共有サーバー全体の[〜#〜] any [〜#〜]サイトに存在する可能性がありますが、引き続きサイトに影響します。共有サーバーは最新の状態に維持されないため、影響を受ける可能性があります。
これは少し極端かもしれませんが、個人的な経験に基づいて、最悪の場合のために準備して、ポリシーですべてを防ぐことができると確信しています。
したがって、新しいJoomlaインストールを保護する最善の方法は、頻繁にバックアップを取り、マルウェアスキャンを有効にすることです。マルウェアスキャナーが何かを見つけたらすぐにメールで通知できれば、非常に短い時間内に最新のバックアップにロールバックできます。
ユーザー名を変更し、管理者パスワードを強力に保ち、2要素認証を使用します(3.3以降用に組み込み、その他用) http://www.readybytes.net/labs/two-factor-authentication.html )
KSecureをインストールします( http://extensions.joomla.org/extensions/access-a-security/site-security/login-protection/12271 )
このhtaccessを使用して、さまざまな攻撃からWebサイトを保護します http://docs.joomla.org/Htaccess_examples_(security)
最初の防御線はホスティングサービスです
次の防衛線はcPanelです
次の防衛線は管理者パネルです
他の手順もあると思いますが、これは、全国の70以上のWebサイトをホストしているサーバーで使用する主な手順です。最近、DDoS攻撃に似た大規模な攻撃があり、1つのWebサイトにアクセスしませんでした。私は高さ10フィートと弾丸の証拠を感じたのですが、明日は別の日なので、私は満足できません。笑
ブログで見つけたホワイトペーパー「ペンテストJoomlaサイト」からこのリストを借りています。このリストは、Joomlaのセキュリティの基本に関する完全なガイドラインだと思います。
すべてのログインに強力なパスワードを使用します。 8文字以上、1つの特殊文字、1つの数字、1つの大文字と小文字を区別した文字。それはあなたのインストールを強引な力から保護します。
潜在的な攻撃をキャッチするために、Webサーバーのログファイルで「最新の訪問者」を常に追跡します。ログファイルを単なる情報と見なさないでください。ユーザーの追跡と監視に非常に役立ちます。
Joomlaベースのサイトがホストされているサーバー全体に、より多くのセキュリティを実装するためにいくつかのストレスをかけます。共有サーバーまたは専用サーバーでホストされています。
使用するすべての拡張機能のリストを作成し、それらを監視し続けます。
さまざまなセキュリティアドバイザリで最新の脆弱性と開示を常に最新の状態に保ちます。 Exploit-db、osvdb、CVEなどは、優れたリソースの一部です。
.htaccessファイルの権限は、デフォルトでは書き込み権限を使用するように変更します(Joomlaが更新する必要があるため)。ベストプラクティスは、444(r-xr-xr-x)を使用することです。
悪意のあるファイルがアップロードまたは実行されないように、パブリックディレクトリに対する適切なファイル権限を付与する必要があります。このコンテキストでのベストプラクティスは766(rwxrw-rw-)です。つまり、読み取り、書き込み、実行ができるのはオーナーのみです。他のユーザーは読み取りと書き込みのみができます。
サーバー上のPHPファイルに書き込むためのアクセス許可を誰も持つ必要はありません。それらはすべて444(r—r—r--)で設定する必要があります。誰もが読み取り専用です。
役割を委任します。管理者アカウントが安全になります。誰かがあなたのマシンにハッキングした場合、それはそれぞれのユーザーにのみアクセスでき、管理者アカウントにはアクセスできません。
データベースユーザーは、INSERT、UPDATE、DELETE行などのコマンドを実行する権限のみを持っている必要があります。テーブルのDROPを許可してはなりません。
バックエンドフォルダーの名前を変更します。/administratorを/ admin12345に変更できます。 16.最後になりましたが、最新の脆弱性で更新してください。