Joomla! CMS je trenutno eden izmed najbolj razširjenih odprtokodnih sistemov za urejanje vsebin na spletni strani. Zaradi preproste uporabe in velike količine brezplačnih dodatkov je Joomla! doživela izjemno pozitiven odziv pri uporabnikih.

Joomla! je zaradi svoje razširjenosti postala tudi pogosta tarča vdorov. Nekateri skrbniki spletnih strani zanemarjajo varnostni vidik vzdrževanja spletne strani in niso dovolj pazljivi pri izbiri dodatkov za Joomla! CMS, kar naredi njihovo spletno stran ranljivo.

V prejšnjem prispevku sem opisal spletne strani, kjer si lahko ogledate znane ranljivosti. Tokrat bom opisal nekaj korakov, ki zagotavljajo višjo varnost namestitve Joomla! sistema za urejanje vsebin. Seveda ti koraki ne naredijo vaše strani 100% varne, vseeno pa bistveno prispevajo k boljši zaščiti pred vdori.

1. Izbrišite namestitvene mape in datoteke

Po namestitvi Joomla! sistema izbrišite mape in datoteke (v to vas poziva tudi sam instalacijski proces).

2. Spremenite ime upravljalskega računa in nastavite dobro geslo

Dodatna razlaga ni potrebna. Po namestitvi CMSja spremenite ime uporabnika admin in mu določite geslo, ki ga ni mogoče zlahka ugotoviti. Najboljša je naključna kombinacija številk in črk.

3. Namestite aktualno različico in varnostno kopirajte podatke

Pogosto preverjajte, ali imate nameščeno zadnjo različico vašega Joomla! CMSja. To lahko storite v samem CMSju, pod opcijo “Check for latest version”, ali na domači strani.

Pred instalacijo nove različice OBVEZNO(!) naredite varnostno kopijo datotek in baz podatkov. Nekateri ponudniki gostovanja vam nudijo enostavno backup skripto z možnostjo določanja intervalov ustvarjanja varnostnih kopij. Preverite to možnost pri vašem ponudniku, saj vam avtomatizacija postopkov prihrani precej dela (in časa).

4. Preverite dodatke (module, komponente, mambote), preden jih namestite

Nekateri dodatki so napisani precej površno in ne vsebujejo “varovalk” pred zlonamerno kodo. Z namestitvijo nekakovostnega in nepreverjenega dodatka tvegate vdor. Zato je dobro dodatek prej preveriti preko raznih uporabniških forumov in seznamov znanih ranljivosti.

Primer: če vas zanima varnost dodatka PollXT, v Googlu iščete pod “PollXT vulnerability” in  na portalu Secunia iščete pod “PollXT“.

5. Pravilno nastavite gostovanje

Dobro je preveriti nastavitve gostovanja in jih ustrezno popraviti na priporočene nastavitve. Nekatere od spodnjih nastavitev lahko povzročijo nedelovanje posameznih dodatkov. Po spremembi nastavitev zato vedno preverite delovanje spletne strani.

- register_globals off
Povzroči, da napadalec ne more na preprost način vsiliti svojih vrednosti spremenljivk, ki izvedejo zlonamerno kodo.
Joomla ima tudi emulacijo te opcije, zato morate tudi v datoteki globals.php (korenska mapa Joomle) nastaviti vrednost define(’RG_EMULATION’,1) na define(’RG_EMULATION’,0). 

- url_fopen disallow
S tem korakom boste zagotovili zaščito pred vključitvijo datotek, ki se ne nahajajo na vašem strežniku. Napadalec ne bo mogel na enostaven način izvesti kode, ki se nahaja na njegovem strežniku.

- disable_functions = show_source, system, shell_exec, passthru, exec, popen, proc_open
Izklopite omenjene funkcije, ki so vprašljive z varnostnega stališča.

- magic_quotes_gpc = On
Z vklopom te opcije zagotovite zaščito pred določenimi SQL injection napadi. Ta opcija je aktualna le za Joomla! verzije 1.0.X., medtem ko v verziji 1.5 ni več potrebna.

- php_info.php
Ne pustite, da brskalniki pridejo do php_info.php datoteke. Preko nje lahko napadalec dobi pomembne informacije o vašem strežniku in storitvah kar preko Googla.

6. Pravilno nastavite pravice map in datotek

Priporočeno je, da so pravice nastavljene na 744 za mape in 644 za datoteke. Zgodilo se bo, da boste za namestitev dodatkov morali uporabiti za določene mape vrednost 777. Po namestitvi je priporočeno pravice spet znižati na vrednost 744. Več o pravicah.

Še nekaj povezav za dodatno branje:
- Joomla! security FAQ
- Administrators security checklist
- Joomla security tutorial

Kdaj ste nazadnje preverili, ali imate nameščeno najnovejšo različico vašega CMSja, bloga, foruma,… ?

Se zavedate možnosti varnostnih pomanjkljivosti v spletni aplikaciji, ki jo uporabljate?

Velik delež uporabnikov zanemarja varnostni vidik upravljanja s spletnimi aplikacijami. Te aplikacije so se razvile do take meje, da uporabnik ne potrebuje znanja iz programiranja, pogosto mu niti ni treba obvladati HTML-ja, da lahko CMS sistem namesti in z njim upravlja.

Pogosto se torej zgodi, da uporabnik namesti aplikacijo in je nikoli ne posodobi na novejšo različico, niti ne namesti varnostnih popravkov (ker ponavadi tega niti ne zna). S takim početjem tvega, da bo kdo prek znanih varnostnih pomanjkljivosti poskušal vdreti v njegov sistem.

Varnostnim pomanjkljivostim smo lahko izpostavljeni tudi če imamo vedno nameščeno zadnjo različico aplikacije. Slabo spisani in nepreverjeni vtičniki, komponente in ostali gradniki CMS sistemov so pogosto tarča napadalcev.

Obstaja nekaj zelo dobrih spletnih strani, kjer si lahko ogledamo javno znane varnostne pomanjkljivosti. Pred nameščanjem prosto dostopnih dodatkov za spletne aplikacije lahko preverimo njihove varnostne pomanjkljivosti.

Povezave

• http://secunia.com
• http://www.frsirt.com/english/search.php
• http://www.net-security.org/vulnerabilities.php?d=20

Na tak način lahko preprosto preverimo varnostne pomanjkljivosti bloga Wordpress, ali pa varnostne pomanjkljivosti CMS sistema Joomla! .

…lista gre dalje, teh strani je postalo ogrooooomno. Kako pa kaj spoštujemo zasebnost na takih storitvah?

Ste se kdaj vprašali, kako bi izgledalo, če bi v vsakdanjem življenju stopili do nekoga, ki ga le bežno poznate izpred nekaj let nazaj?

Možen potek take situacije z zelo nadležnim “kolegom” je viden na temle filmčku:

Sporočilo tega prispevka bi se lahko glasilo: “Spoštujte zasebnost drugih”.

Ta filmček objavljam v razmislek vsem, ki brez vednosti slikanih na networking straneh objavljajo fotografije znancev, ki niso ravno primerne za javnost. Kako bi bilo vam, če bi nekdo tretji objavil vaše fotografije z zabav ipd.? Verjetno se vam zdi to precej nedolžno in neškodljivo. Pa je res?

Pred objavo spornih slik bi se spodobilo osebam na slikah vsaj omeniti, kaj ste storili, potem pa naj sami presodijo, ali si objavo takih slik res želijo.

Morda mislite da pretiravam. A predstavljajte si situacijo, ko bi po opravljenem razgovoru za službo kadrovnica “googlala” vaše ime in med iskanjem prišla do fotografij, ki niso ravno primerne za javnost. Bi vas vseeno zaposlili? Kaj bi si mislili o vas?

Kaj bi šele bilo, če bi vi zasedali vidnejši položaj v priznanem podjetju in bi nekdo prek spleta našel vaše slike, na katere niste ravno najbolj ponosni? Prepričan sem, da bi zelo hitro zaokrožile po elektronski pošti in na koncu prišle tudi do medijev. Škodovali bi tako sebi, kot ugledu podjetja. Isto, če bi kdaj stopili v politiko, ali pa bili na kak drug način javno izpostavljeni.

Hmmm… naslednjič preden objavljate take fotografije raje dvakrat premislite. Morda vam bo kdaj v prihodnosti žal, da ste to storili.

Večkrat so me že vprašali, kaj si mislim o varnosti e-bančništva. Uporabniki predvsem ne vedo, kako preveriti varnost dostopa do njihovega “e-bančnega okenca”.

Prva stvar, ki jo lahko preverimo je, ali se resnično nahajamo na spletni strani naše banke. V poplavi različnih primerov phishing spletnih strani je to preverjanje priporočljivo.

1. Korak: preverite, ali ste na varni https povezavi

Nahajamo se na vstopni strani do našega e-bančnega okenca. Na začetku naslova spletne strani je predpona https. To pomeni, da smo na zavarovani povezavi. Prvi korak k zagotavljanju varnega dostopa je zagotovljen.

2. Korak: preverite potrdilo o pristnosti spletne strani

V Internet Explorerju 7 lahko s klikom na ključavnico na koncu naslovne vrstice preverimo, ali je spletna stran pristna. Pristnost potrjuje ponudnik strežniških certifikatov, v našem primeru je to Verisign. Lahko smo mirni, saj smo ugotovili, da se nahajamo na pravi spletni strani.

IE7

Mozilla Firefox

Najpogostejša napaka pri namestitvi sistema Windows XP je, da ne določite gesla za administratorski račun. Neverjetno, koliko uporabnikov ima svoj račun zaščiten z geslom, administratorski račun pa je “odklenjen”. Vedno znova me to preseneča, ko mi kdo prinese računalnik na popravilo.

Če uporabljate “Pozdravno okno” z ikonami za vstop, poskusite sledeče:

- na vstopni strani dvakrat pritisnite CTR-ALT-DEL (skupaj), odprlo se bo okence za vnos up. imena in gesla
- za uporabniško ime vpišite “administrator” in pritisnite “V redu”
- v kolikor je prijava uspešna, imate “odklenjen” računalnik. Zaščitite administratorski račun z geslom!

Sicer lahko prvi korak preskočite.