Jeśli stanąłeś przed wyborem, że tak wykorzystamy Joomla! do budowy serwisu intranetowego naszej firmy musisz pamiętać o kilku istotnych rzeczach, które łatwo pominąć w pośpiechu instalowania i konfigurowania. Bezpieczeństwo przede wszystkim.
- Jeśli masz taką możliwość ogranicz pulę IP gwarantująca dostęp do strony – a przynajmniej do panelu administracyjnego.
- Strona w widoku dla niezalogowanych powinna prezentować TYLKO i wyłącznie moduł logowania – ja dla joomla! 1.5 wykorzystałem rozszerzenie o nazwie „Meta Template” znajdziesz na JED lub na stronie producenta (metamodpro.com). Nawet wersja darmowa powinna spełnić twoje oczekiwania. Zrób dodatkowy mini szablon z jedną pozycją modułu – gdzie dasz ekran logowania.
- Wszystkie pozycje menu – powinny dodatkowo mieć dostępność tylko dla zalogowanych.
- Korzystaj w 100% legalnych wersji rozszerzeń, chyba firmę stać wydać $99 niż płacić później za „wycieki”.
- Z jomsocial wyłącz (wytnij) opcje znajomy – jest ona zbędna /to tak przy okazji/ ;)
- Nigdy nie dawaj plików bardzo ważnych dla firmy jako zwykłych załączników, to są zbyt cenne dane, lepiej dać info że np. listę wypłat ma pani X. Ponieważ nigdy nie masz 100% pewności. Możesz także użyć np. DocMan-a, który pozwala przypisać uprawnienia dostępu do pliku.
- Zainstaluj komponent do śledzenia aktywności użytkowników, opisywałem na blogu (np. SCOUT Activity log), szkoda że na razie są tylko dla Joomla! 1.5. Choć np. AdminPraise3 – posiada podobne moduły działające już pod Joomla! 1.6(1.7).
- Wyłącz standardowe strony błędów znane z Joomla!, albo mocno je zmodyfikuj.
- Projectfork to Open Source komponent do zarządzania projektami, bardzo pomocny przy okazji tego typu serwisu i ma integracje z JomSocial.
- Udostępnij określone foldery z cennymi plikami tylko 2-3 adresom IP. Nie każdy z domu musi mieć do nich dostęp.
- Nigdy nie chwal się np. na ulotkach jaki jest adres intranetowy(!) waszej firmy, warto go schować w subdomenie.
- Można wyłączyć działanie strony lub określonych elementów np. menu w określonych godzinach.
- Zainstaluj komponent do ochrony strony (np. Akeeba Admin Tool, RSFirewall!) – w myśl reguły lepszy słaby niż żaden.
- W edytorze JCE od frontu wyłącz opcje kasowania i edytowania nazw plików i folderów, wiadomo pracownicy czasem nieświadomie mogą coś popsuć.
Co do punktu 2 i 3 to można skorzystać z porady, którą gdzieś kiedyś znalazłem w sieci i która umożliwia zmianę uprawnień dostępu gdy strona jest wyłączona: w pliku /includes/application.php zmieniamy w linii
if ($this->getCfg(’offline’) && $user->get(’gid’) < '23' ) {
cyferkę na niższą niż 23, np. 18 umożliwi logowanie na stronę użytkownikom o statusie Rejstrowany, 19 Autor itd.
Ma to swoje wady i zalety, np. nie wyłączy się działania strony w określonych godzinach, ale u mnie się sprawdza.
A dopytam jeszcze odnośnie punktu 13. czy sformułowanie "lepszy słaby niż żaden", oznacza że RSfirewall jest słaby wg autora? Bo miałem właśnie wykupić na niego licencje…
Szkoda, że niema pokazanych co poniektórych punktów jak je zrobić.
tak, a propo punktu 13, to moze jakis test porownawczy? co dobre, a co slabe… ?