Ovo upustvo će Vam pomoći da dodatno zaštitite svoj web sajt baziran na Joomla CMS-u.
Kao i kod svake druge web aplikacije redovna ažiriranja su uvek na prvom mestu. Stare verzije Joomla aplikacije i dodatnih modula sadrže razne sigurnosne propuste pa ako i dalje koristite neki zastarelu verziju kao što su 1.0, 1.5, 1.6, 1.7, potrebno je da hitno obavite migraciju na neku trenutno aktuelnu i bezbednu verziju, kao i da uvek redovno vršite ažuriranja svog Joomla sajta i svih dodatnih ekstenzija, čim nove verzije postanu dostupne. Svako i najmanje odlaganje ovih nadogradnji značajno povećava rizik od mogućeg hakovanja sajta i zloupotrebe hosting naloga. Imajte u vidu da se redovne nadogradnje podrazumevaju i ako koristite 2.5 ili 3.x verziju. Ove aktuelne verzije takođe sadrže bezbednosne propuste u verzijama starijim od 2.5.19 i 3.2.3.
Administrator Joomla sistema je korisnik koji je obavio instalaciju sistema. Ovaj korisnik se još naziva i Super Korisnik (Super User) jer se nalazi u korisničkoj grupi sa najvišim stepenom privilegija.
Kako bi nalog administratora bio zaštićen neophodno je prilikom instalacije Joomla-e za korisničko ime odabrati na primer Vaš nadimak umesto generičkog "administrator".
Ukoliko ste već obavili instalaciju, a zadržali korisničko ime "administrator", izmenu možete obaviti tako što ćete kreirati novog korisnika odabirom opcije Users > User Manager > Add New User. Opciju Block this User postavite na No.
Za odabir jake lozinke, pratite smernice na sledećoj stranici:
https://helpdesk.dreamweb.rs/sr/baza-znanja/article/kreiranje-bezbedne-lozinke
Ulogujte se ponovo koristeći novi nalog koji ste upravo kreirali, a stari nalog obrišite.
Dodatke Joomla sistema (plugin-ove, module, ekstenzije) preuzimajte isključivo preko Joomla direktorijuma ekstenzija: http://extensions.joomla.org
Na ovom sajtu se nalaze ekstenzije koje su prošle osnovna testiranja na sigurnosne i druge propuste.
Ova komponenta se koristi da prolagodi URL adrese za pretraživače i da sve zahteve ka sajtu preusmeri na index.php fajl, što je ujedno dobro i za bezbednost sajta.
Komponentu možete omogućiti odabirom opcije Site > Global Configuration i u odeljku SEO Settings uključiti opcije:
Nakon odabira i čuvanja ovih podešavanja, potrebno je da htaccess.txt fajl u instalacionom folderu Joomla-e, preimenujete u .htaccess putem File Manager-a u cPanel-u ili putem FTP klijenta.
Ako ste instalaciju Joomla-e obavili putem Instalatrona u našem cPanel-u, ova opcija je već automatski podešena i konfigurisana.
Potrebno je da atributi na svim fajlovima budu podešeni najviše na 644 (rw-r-r), odnosno na direktorijumima na najviše 755 (rwx-rx-rx).
Atributi konfiguracionog fajla Joomla sitema configuration.php, bi trebali da budu podešeni na 600 kako bi podaci za pristup bazi bili potpuno zaštićeni od bilo kakvih neovlašćenih pokušaja pristupa.
Više o bezbednosnoj implementaciji PHP-a i dozvolama na našim serverima možete pročitati na sledećoj adresi:
https://helpdesk.dreamweb.rs/sr/baza-znanja/article/sta-je-suphp-i-zasto-se-koristi
U zavisnosti od nivoa zaštite koji želite da implementirate na sajtu, možete upotrebiti neku od ekstenzija sa adrese:
http://extensions.joomla.org/category/access-a-security
Kako bi zaštitili pristup administratorskom delu sajta, možete instalirati dodatak AdminExile sa adrese:
http://extensions.joomla.org/extensions/access-a-security/site-security/login-protection/15711
Ovaj dodatak sadrži podešavanja bezbednosnih ključeva za pristup administratorskom delu sajta, IPv4/IPv6 White i Black liste kao i Brute Force detekciju i mogućnost slanja obaveštenja o napadima putem email-a.
Ektenzije Joomla sistema, kao i šabloni koje ne koristite mogu sadržati sigurnosne propuste, pa je poželjno da iste uklonite iz sistema.
Instaliranim ekstenzijama možete upravljati pristupom na Extensions > Extension Manager > tab Manage, a šablonima možete upravljati na strani Extensions > Template Manager.
