jHackGuard to nowo opublikowany – darmowy, ale stosunkowo skuteczny, dodatek do ochrony strony Joomla! przed hackerami. Jak zapewnia jego producent SiteGround (firma z długoletnią tradycją) rozszerzenie uchroni twój serwis przed atakami typu SQL Injections, Remote URL/File Inclusions, Remote Code Executions oraz XSS Based Attacks! Stanowi zatem niezłą alternatywę dla innych często płatnych dodatków. Po instalacji opublikuj dodatek Security – jHackGuard. Jedną widoczną wadą w/w dodatku jest stopka „Secured by Siteground Web Hosting” – widoczna zarówno w części frontowej (!), jak i administracyjnej. Kod stopki znajdziesz w pliku sgsec.php w linii 74. Czytaj dalej…
Właśnie przejrzałem ciekawy artykuł na temat aplikacji napędzających strony www i wydanych jako Open Source. Autorzy raportu przebadali podobno ponad milion witryn i odkryli, że wiele z nich (ba, większość!) zawiera luki bezpieczeństwa. W celu badania przygotowali narzędzie Blind Elephant (ślepy słoń), które możecie pobrać i przetestować sami.
Moim zdaniem artykuł jest dość tendencyjny a zaprezentowane wyniki dyskusyjne, ale co tam, warto poczytać, niech świadomość w narodzie rośnie!
Jeszcze sam nie zdążyłem zaktualizować wszystkich serwisów, a dziś w nocy pojawiło się kolejne wydanie Joomla! 1.5.20 nazwane senu takaa. Na chwilę bieżącą nie ma informacji co ta aktualizacja niesie za sobą.
Warto napisać także co w temacie samej Joomla! się ostatnio wydarzyło, wydarzy. Jeszcze nie zdążyliśmy się nacieszyć kolejną betą Joomla! 1.6, a trzy dni temu pojawiła się kolejna tym razem opatrzona numerem 5 (pobierz). Z kolei na dziś (15.07.2010) zapowiedziano wydanie wydano Joomla 1.5.19. Najważniejszą zmianą ma być upgrade biblioteki Mootools do wersji 1.2.4. Oczywiście ponieważ nie wszystkie rozszerzenia dobrze z nią współdziałają, włączanie odbywa się ręcznie z poziomu panelu (w temacie komentarz). Kolejna poprawka dotyczy kwestii bezpieczeństwa, ponieważ użytkownicy, którzy mają dostęp do panelu mogą (mogli) namieszać tak , aby wykonać XSS Injection (Javascript). Czytaj dalej…
Komercyjny dodatek jomDefender (www.corephp.com) – posłuży ci jako kolejna warstwa ochronna dla twojej strony. Aby utrudnić atak hakcerowi, należy ukryć iż dana strona została wykonana za pomocą określonego CMS. Działa to podobnie jak ze złodziejem, jeśli zna dany typ zamka – zaryzykuje, bo wie że pójdzie mu łatwo. Tak samo jest z CMS, na szczęście sporadycznie szukanie odbywa się ręcznie, do szukania stron atakujący wykorzystują roboty, które szukają określonych cech oraz/lub fraz, tak aby wytropić serwis wykonany za pomocą określonego systemu. Czytaj dalej…
Solidny hosting z rozsądnymi ustawieniami to jedno, regularne kopie bezpieczeństwa to drugie. Przy okazji – wykonuj ich wiele „Be like Nike… Just DO it„. Po trzecie, ukryj od frontu, iż strona bazuje na Joomla!. Po czwarte nim zadowolony osiądziesz na laurach, że udało ci się zainstalować i skonfigurować ponad 20-30 różnego rodzaju rozszerzeń – sprawdź czy na pewno z nimi będziesz mógł się czuć bezpiecznie.
Czytaj dalej…
Jeśli posiadasz serwis społecznościowy zbudowany w oparciu o JomSocial 1.6 – w celu ochrony przez atakiem XSS Injection – skorzystaj darmowej i ogólnodostępnej łatki POBIERZ. Instrukcja użycia jest prosta: rozpakuj i skopiuj pliki do folderu: /components/com_community/
Każdego z nas to kiedyś czeka, nasz ulubiony komponent, moduł, dodatek jest podatny na ataki. Wszystko co można pobrać za darmo ma także swoją ciemną stronę, są ludzie, którzy pobierają sobie ów kod i tak długo go śledzą i analizują, aż znajdą metodę, albo nawet kilka aby za pośrednictwem tego „klocka” dostać się do cudzego serwisu i zrobić mu bałagan. W kilku słowach napisałem o tym już w książce o szablonach, oj tak, bowiem uznałem że czytelnik powinien o tym wiedzieć, bowiem często ów dodatki stanowią część szablonu – głównie dla klienta.
Oto cztery złote zasady bezpieczeństwa:
1) Instaluj dodatkowe rozszerzenie(a) tylko wtedy jeśli jest to niezbędne, a nie używane odinstaluj !
2) Sprawdź w internecie np. na joomlaexploit.com lub www.vupen.com/english/security-advisories/ czy znajduje się ono czarnej liście, a szczególnie twoja wersja.
3) Czym starsza wersja tym większe ryzyko, także w odniesieniu do komercyjnych komponentów.
4) Jeśli chcesz zaoszczędzić kup rozszerzenie, a nie pobieraj wersji null, spiraconej etc. – jaką masz pewność „braku gratisowego backdoora” ?
Dziś zademonstruje kolejną, trzecią, metodę usuwania fragmentu: „<meta name=”generator” content=”Joomla! 1.5…” z naszego szablonu. Przy okazji odpowiem na kilka pytań z tym związanych.
PYT: Czy licencja Joomla! zezwala na usunięcie tego znacznika meta z kodu?
ODP: Oczywiście, to ty decydujesz czy chcesz ten fragment pozostawić.
Czytaj dalej…
Zapewne kilka, kilkanaście osób pamięta jak opisywałem jSecure – od tego czasu wiele się zmieniło. Ów dodatek przestał by darmowy. Na szczęście dla społeczności Joomla! – pojawił się nowy konkurent. Mowa o kareebu Secure – dodatku, który dodatkowo ochroni twój folder /administrator – za pomocą hasła. Przy okazji ważna informacja, hasło nie może mieć cyfr. Od momentu zainstalowania i skonfigurowania rozszerzenia (System – kareebu Secure) twój nowy, bezpieczny adres może wyglądać następująco http://www.twoja-strona.pl/administrator?yourpassword — gdzie ów słowo zastępujesz swoim tajnym kluczem.
Dodatek dla Joomla! 1.5 jest w pełni darmowy, aby go jednak pobrać należy się tylko zarejestrować się na stronie producenta (kareebu.com), a następnie zalogować. Można wybrać jedną z dwóch metod ochrony (HTTP Authentication lub Compatibility).
Czytaj dalej…
Akeeba eXtract Wizard (akeebabackup.com) jest aplikacją desktopową (Windows), które pozwala w łatwy sposób wyodrębnić archiwa ZIP i JPA, a więc pliki generowane przez JoomlaPack lub Akeeba Backup.
Przy okazji wyodrębniania warto włączyć mocniejszą ochronę antywirusową/antytrojanową, dzięki czemu nasz antywirus może wykryć ewentualne trojany etc., o których nie mieliśmy pojęcia. Piszę to z własnego doświadczenia, gdyż ta metoda: zrób kopię -> pobierz na dysk -> przeskanuj – pomogła mi wykryć 2 szkodniki.
