Porady jak zabezpieczyc JOOMLE?

[b0rix_25]

Witam
Prosze was o napisanie w jaki sposob moge zabezpieczyc system cms JOOMLA?

Od siebie dodam co mi przychodzi do glowy:
- zabezpieczenie folderu "administrator" htaccess
- zmiana nazw tabel podczas instalacji
- zmiana nazwy uzytkownika "administrator" w miare dobre haslo
- nie instalowanie komponentow z nieznanych zrodel
- sprawdzanie czy jest nowa aktualizacja

Tyle co mi przychodzi do glowy
Wszelkie porady mile widziane dotyczace zabezpieczen wg. was jakie byscie dali prosze pisac

Pozdrawiam

[TQM]

... ale nadal nie zabezpiecza Cie to przed bledami w konfiguracji serwera.
Proponuje nawet dosc prosty 'web application firewall', ktory mozna zrobic przy uzyciu mod_rewrite i wrzucic do .htaccess

1. Zablokowac w php niepotrzebne funkcje (niepotrzebne, tzn dobrze napisana aplikacja bedzie bez tego dzialac) takie jak exec, phpinfo.
2. Zablokowac curlt, url_fopen, itd
3. Zablokowac zmienne srodowiskowe odpowiedzialne za blokowanie bibliotek jesli sa przekazywane w URLach
4. Wyciac niektore znaki (URL-Encoded / UTF8)

Jesli masz to na swoim serwerze to jakos bedzie, jesli shared hosting to nawet jak Ty sie dobrze zabezpieczysz nie oznacza to, ze ktos Cie nie zalatwi 'od tylu' wbijajac sie na inna strone na tym serwerze i modyfiukac pliki bezposrednio na dysku, bez ruszania Twojej strony przez HTTP.

[trigger7158]

ddfffffffffff

[Sayane]

trigger7158, przez Ciebie ze śmiechu sobie zachlapałem herbatą cały ekran ;-/ Co do twoich zabezpieczeń w templatce które najbardziej mnie rozbawiły: a co jeżeli ktoś bezczelnie zajrzy w źródło? Do reszty postu się nie odniosę, bo nie bardzo wiem co o tym sądzić. Strasznie mieszasz pojęcia, używasz sformułowań zrozumiałych chyba tylko i wyłącznie dla Ciebie.
b0rix_25, co do twojego problemu - tak jak wspomniał TQM. Dzisiaj łatwiej jest kogoś podejść "od tyłu". Niestety na dzisiaj niewiele publicznych hostingów (darmowe jak i płatne) jest bezpiecznych. Nawet te, które pozornie wyglądają na bezpieczne ;-) Jeżeli chcesz mieć 100% pewność, to serwer dedykowany / VPS no i oczywiście odpowiednia konfiguracja, ale to już temat na książkę, nie na pojedynczego posta ;-)

@edit:
teraz zauważyłem, że ten neokid odpowiedział na posta sprzed pół roku ... sorry ;-d

[gemini300]

ja mialem ostatnio wlama na joomle 1.5.15 ale w sumie nie myslalem o zabezpieczeniu jej, co do samego zabezpieczenia to hmmm , wysokie zabezpieczenia moga utrudnic uzytkowanie serwisu zwyklym userom wiec trzeba to przemyslec, napewno nie instalowac komponentow ktore mozna znalezc na
milw0rm.com , + dodatek jSecure Authentification a jak chcesz hardcorowo zabezpieczyc to zainstaluj zbblock ... z tym skryptem mozna ustawic bardzo wysoki poziom bezpieczenstwa z tym ze trzeba pomyslec o userach ktorzy
wchodza na strone przez adres+operator i usunac te ktorych uzywaja z
bazy skryptu bo ich zwyczajnie pobanuje

[lem]

Kod:

śro, 24 lut 2010, 14:51:50 CET
Persistant XSS in 'Author Alias' when adding new Article (logged only).

/administrator/index.php?option=com_content&sectionid=0&task=edit&cid[]=46

$details_created_by_alias="><script>here()</script>