Każdy kto profesjonalnie zajmuje się tworzeniem stron opartych na Joomli chociaż raz spotkał się z włamaniem na stronę. Spamujące boty, niechciane reklamy czy przekierowania na inną stronę to przypadłość open sourcowych CMSów. Niestety Joomla również choruję na tą przypadłość. Dlatego dziś chciałbym podzielić się z Wami podstawowymi zasadami bezpieczeństwa. Specjalnie pogrubiłem słowa podstawowymi, gdyż nie są one zaawansowane. To tyle na drodze wstępu. Do rzeczy. Swój wpis podzielę na kilka kategorii: instalacja, konfiguracja, przydatne rozszerzenia, backup
Instalacja:
- Wszelkie hasła do FTP przechowujemy w bezpiecznym miejscu: w zeszycie lub w programie KeePass, nie zapisujemy haseł w programach FTP
- Instalujemy najnowszą wersję Joomli, w tym momencie jest to wersja 3.1.5, lub wersja 2.5.14. Wersja 2.5.14. będzie dłużej wspierana, na obecną chwilę posiada więcej rozszerzeń. Mimo tego polecam wersję 3.1.5 na bazę strony dla klienta, gdyż posiada bardziej przyjazny interfejs,
- Przed samą instalacją musimy zadbać o dość skomplikowane hasło do bazy danych SLQ, najlepiej jeśli nazwa użytkownika bazy nie jest taka sama jak (piszę o tym bo dużo hostingów z automatu tworzy bazę i użytkownika o takiej samej nazwie),
- pamiętajmy aby zmienić standardowy login admin na jakiś inny. Najlepiej z dużymi literami i cyframi. Hasło powinno mieć duże i małe litery, cyfry i znaki specjalne. Co do samego hasła to polecam użycia programu KeePass w którym możemy generować i skutecznie przechowywać dane do logowania. O tym programie napiszę później,
- Usuwamy folder instalacyjny – installation.
Konfiguracja:
- Jeśli nasz hosting posiada mod_rewrite to za pomocą programu FTP zmieniamy nazwę pliku htacces.txt na .htacces. Znajduje się on w głównym katalogu Joomi,
- W panelu administratora aktywujemy opcje: Proste adresy i Zastosuj przepisywanie URL ( opcja znajdują się w zakładce System->Konfiguracja globalna->Witryna,
- Dobrą praktyką jest też zmiana domyślnego położenia pliku configuration.php. Oto instrukcja:
1. Za pomocą programu FTP w głównym katalogu Joomli tworzymy nowy folder i nadajemy mu losową nazwę z liter i cyfr np.: SxdrftY7
2. Przenosimy do wyżej stworzonego folderu plik configuration.php
3. Przechodzimy do katalogu includes – znajduje się on w głównym katalogu Joomli. Edytujemy plik defines.php. Interesuje nas linia:
define(‚JPATH_CONFIGURATION’, JPATH_ROOT);
zamieniamy ją na:
define(‚JPATH_CONFIGURATION’, JPATH_ROOT . ‚/SxdrftY7‚);
gdzie SxdrftY7 to nazwa Twojego folderu. Zapisujemy i nadpisujemy plik na serwerze.
4. Przechodzimy do katalogu administrator/includes i edytujemy plik defines.phpjak w punkcie 3
5. Od teraz nasz plik configuration.php jest bezpieczniejszy.
Przydatne rozszerzenia:
- Zabezpieczenie panelu administratora tutaj bardzo pomocny staje się dodatek AdminExile, który zabezpiecza nasz panel logowania przed niechcianymi otwarciami. Dodatek dodaje klucz do adresu: /administrator/index.php?sxdr_fgtfb ( gdzie końcówkę ustalamy sami)
Konfiguracja:
1. Pobieramy dodatek ze strony AdminExile
2. Instalujemy jak większość rozszerzeń
3. Przechodzimy kolejno do: Rozszerzenia->Dodatki i na liście zainstalowanych dodatków szukamy: System – AdminExile,
4. Przechodzimy do zakładki Opcje podstawowe
5. Wypełniamy pola: URL Access Key jak na obrazku
6. Kopiujemy powstały link (od teraz będzie to nasz adres panelu administracyjnego). Zapisujemy do np. w programie KeePass o którym już pisałem wyżej)
7 Wracamy na zakładkę Szczegóły i włączamy dodatek.
Backup
Jak wiadomo nawet najlepsze zabezpieczenia czasami zawodzą, dlatego dobrą praktyką jest robienie częstej kopi plików i bazy SQL. Moim zdaniem najlepiej nadaje się do tego komponent Akeeba Backup, który w darmowej wersji oferuję backup na żądanie. Niestety aby móc skonfigurować okresowy backup należy kupić płatna wersje. Na szczęście autorzy w darmowej wersji zaoferowali aktualizacji poprzez zadania CRONa.
