2012. év júliusában új, minden eddiginél hatékonyabb hackelési módszerek kerültek forgalomba, ezért jelentősen növekedett a WordPress és Joomla weboldalak (150%) feltörésének száma.(Ilyenkor ugye nem a tárhelyet törik fel, hanem a CMS rendszer hibáit, biztonsági réseit kihasználva helyeznek el káros kódokat a weboldalban.)
Mit tegyek most?
1.) Legfontosabb az azonnali verzió frissítés.
2.) Emellett ajánlott a bővítmények, kiegészítők, témák, sablonok frissítése is. Ha már nem használ egy bővítményt, ajánlott törölni. (Joomla esetén pl: com_jce, com_jnews)
3.) Emellett érdemes biztonsági bővítményeket is telepíteni. Ilyen ajánlott bővítmények és további tippek:
JOOMLA ESETÉN:
- Egyik legfontosabb a JCE komponens frissítése, amelyet innen le tud tölteni és telepíteni is tudja: http://www.joomlacontenteditor.net/downloads/editor/joomla15x
- Joomla verzió frissítése: http://www.joomla.org/download.html
- Ajánlott biztonsági bővítmény:
1. http://extensions.joomla.org/extensions/access-a-security/site-security/site-protection/13233
2. http://extensions.joomla.org/extensions/extension/access-a-security/site-security/adminexile
3. http://extensions.joomla.org/extensions/extension/access-a-security/site-security/admin-tools-professional
- Csak olyan bővítményeket telepítsen, amelyeket sokan mások is használnak és jó visszajelzéseket adnak róla, tehát már bizonyított a bővítmény, hogy biztonságos.
- Van fájlfeltöltő (csatolást feltöltő) bővítménye a weboldalán? Mindenképpen biztosítsa, hogy .php fájlt ne tudjanak feltölteni a látogatók. Amely mappába pedig a rendszer feltölt, annak a joga 755-os legyen.
- Frissítse Joomláját a Joomla adminból, pár kattintással! Ehhez az alábbi bővítmények egyikét ajánlott feltelepíteni, így nem fog gondot okozni a jövőben a frissítés sem:
WORDPRESS ESETÉN:
Automatikus frissítő bővítmény: http://pento.net/projects/automatic-updater-for-wordpress/
1. http://www.1stwebdesigner.com/wordpress/security-plugins-wordpress-bulletproof/
2. http://wordpress.org/extend/plugins/bulletproof-security/
3. http://wordpress.org/extend/plugins/wp-security-scan/
4. http://wordpress.org/extend/plugins/wordfence/
5. http://wordpress.org/extend/plugins/timthumb-vulnerability-scanner/
6. http://wordpress.org/extend/plugins/simple-login-lockdown/ (Pár kísérlet után kizárja a robotokat, hogy ha rossz jelszóval próbálkoznak, hogy ne tudjanak belépni az adminra)
7. http://codex.wordpress.org/WordPress_Backups (Automatikus mentés)
8. http://wordpress.org/plugins/ose-firewall/ Okos tűzfal
További tippek WordPresshez: http://guvnr.com/web/blogging/10-tips-to-make-wordpress-hack-proof/
Pl:
- Ne használjon admin nevű felhasználót! Hozzon létre egyedi nevű adminisztrátort.
- A jelszavak mindig bonyolultak legyenek! Amennyiben esetleg már nem használja a szóban forgó CMS rendszerét, kérjük törölje, hogy ne képezzen biztonsági rést tárhelyén.
- Tapasztalt felhasználóknak ajánljuk, hogy a php állományok joga 400 -as legyen, a .htaccess fájloké 400 -as. De frissítés előtt mindig vissza kell állítani 644-es jogra.
