Само преди няколко дни се проведе Джумла! Ден 2013. Нашата хостинг компания отново стана част от това събитие, което за пета поредна година събра на едно място програмисти, дизайнери, администратори и потребители на Joomla!.
С публикацията в нашия блог 10 безплатни пропуска за Джумла! Ден 2013 поискахме да чуем какви са вашите въпроси по така актуалната и важна тема за защита на Joomla! сайтовете. В следващите редове на тази статия ще ви дадем отговорите и ще ви разкажем повече за това как премина Джумла! Ден 2013.
Денят по традиция започна с лекцията „Ново и горещо в Joomla!“, в която Михаил Семерджиев ни разказа за новите и полезни функционалности на Joomla! 3.1 и разкри какво да очакваме от новата версия 3.2 след по-малко от месец.
На семинара тази година отново имаше чуждестранни лектори – Radek Suski, главният разработчик на SobiPro, и Peter Laudati, евангелист от Microsoft. Радек изнесе две лекции, като първата беше за компонента SobiPro – за неговите предимства и какво ново да очакваме от него. Втората беше на тема накъде се развива Joomla! – той сподели интересна статистика, според която 20% от всички български сайтове са базирани на Joomla!. А Питър разказа за клауд платформата на Microsoft.
В своята лекция, нашият управител Любомир Русанов разкри данни от проведените от него тестове в реална хостинг среда и разказа какви фактори влияят положително за скоростта и производителността на Joomla!. Разказа за новата функционалност „Memcached Manager by SuperHosting“ – разработена от СуперХостинг.БГ и интегрирана в контролния панел cPanel. Показа как да активираме Memcached в Joomla! и какви са ползите от него.
В края на деня Станислав Димитров ни даде съвети и ни показа трикове и хитрини за Google Analytics. Последната лекция бе отново на Михаил Семерджиев, а темата – „Как да защитим своя Joomla! сайт?“. Така в края на деня разбрахме, че тенденцията е увеличаване на brute force атаките (опити за налучкване на данните за администратора) и при тях е важно да знаем срещу кого се борим. Други два аспекта, които обсъдихме са ъпдейтване на системата, компонентите и модулите до последна актуална версия, както и използването на сложни пароли. А най-важното, което научихме е, че е необходимо да се полагат периодични грижи за сигурността на Joomla! сайтовете.
Организаторите на събитието отговориха на въпросите, които задавахте в нашата блог игра 10 безплатни пропуска за Джумла! Ден 2013. Споделяме ги с всички вас, като се надяваме така да помогнем и да бъдем още по-полезни за сигурността и защитата на вашите сайтове. Разделихме въпросите в няколко основни категории и ето отговорите, които ни предоставиха от Джумла! България.
1. Какви са основните новости в Joomla 3.0, в с равнение с 2.5, и над какви възможности се работи за следващите версии на платформата?
2. Коя от версиите 2.5 или 3.0 е по-сигурна?
3. Дали във версиите 3.х е дадена възможност да управляваме вградената защита по-прецизно, или да добавим наши собствени функции по-лесно към веригата (например със hooks).
В момента актуалната версия е 3.1, а най-новата версия 3.2 на Joomla ще бъде налична за сваляне в началото на следващия месец. Версия 3.0 е краткосрочна (или т.нар. STS – short term support) и вече не се поддържа.
В новата версия 3.2 ще са добавени нови защити към функцията за логин и защитата на паролите. Новите плъгина за удостоверяване на всеки един потребител, който влиза в системата ще са два. Единият е чрез допълнителен код, който се получава като SMS, телефонно обаждане или през приложение за смарт фон, а другият – чрез YubiKey. Подобрено е също така и криптирането на паролите, като вече се използва Bcrypt, а не Salted MD5. В допълнение, е важно да се отбележи, че при всяка следваща версия се изчистват бъгове и пропуски в сигурността, които могат да се видят в тракера на Joomla!. Запомнете – винаги по-новата версия е по-сигурна! 🙂
1. Трябва ли да не инсталирам никакви компоненти, за да защитя максимално Джумлата си?
2. Кой компонент за сигурност бихте ми препоръчали?
3. Един от начините да разберете дали сайтът работи с Joomla! е да допишете /administrator към домейна. Та въпросът е: Достатъчно ли е да ограничим достъпа до тази страница чрез блокиране на всички други IP адреси, за да предотвратим хакването на сайта през администраторския панел?
4. Как да предпазим Joomla! сайтовете си от спам коментари? За и против допълнителни компоненти за коментари?
За да защитите вашия Joomla! сайт не е необходима инсталация на допълнителни компоненти. Това, което е нужно да се прави, е да следите за нови версии както на системата, така и на компонентите и своевременно да ги актуализирате. Не е препоръчително да се свалят платени компоненти от непознати сайтове.
Това, което е необходимо да направите за защитата на сайта ви са няколко стъпки относно системата и вашия хостинг акаунт. Не можем да препоръчаме компонент, който да защити сайта ви напълно, но все пак можете да използвате някои от тези компоненти, които биха ви били в помощ: Akeeba Backup, jHackGuard, RS Firewall, jSecure, заедно в комбинация със заключване на папката /administrator с допълнителна парола. Ограничаването на достъпа до тази папка ще предпази до 80% от всички потенциални опасности. Има и други фактори, които е добре да имате предвид – описани са в по-долния отговор.
Можете да предпазите вашите Joomla! сайтове от такива коментари чрез captcha, като е добре единствено регистрираните потребители да имат право да коментират. Тъй като Joomla! няма вградена такава функционалност, ще е необходимо да използвате допълнителен компонент или онлайн услуга за коментари.
1. Как най-сигурно бих могъл да защитя Джумла сайт от злонамерен код, който се намира в .html файловете?
2. Какви настройки в сайта и в хостинг панела (cPanel), препоръчват Суперхостинг и организаторите за максимално защитаване на сайта, БЕЗ да се ползват допълнителни компоненти за сигурност.
3. Трябват ли някакви специални действия с configuration.php, за да предпазя сайта си?
Системата Joomla! е PHP базирана и няма .html файлове. Най-важните стъпки за защита на вашите сайтове са:
- редовно актуализиране на системата и всички инсталирани приложения;
- редовно архивиране на съдържанието;
- заключване на папката /administrator с допълнителна парола;
- използване на сложни пароли както за достъп до системата, така и на всички останали места;
- задаване на подходящите права на папките и файловете в хостинг акаунта.
Например файлът configuration.php е необходимо да бъде с права 444.
Очаквайте втората част на нашата статия, в която ще ви разкажем за тестовете, които проведохме за скоростта и производителността на Joomla!. Ще ви разкажем още за системата за кеширане Memcached и как се отразява на работата на сайтовете.
Повече информация може да намерите на официалния уеб сайт на Джумла! Ден България, където съвсем скоро ще бъдат качени всички лекции. Можете да проследите как протече събитието в Twitter с хаштаг #jd13bg и да разгледате снимки във Facebook страницата на Joomla! Bulgaria.
Надяваме сме събитието да е било полезно за вас, а ние да сме били полезни на онези, които не успяха да присъстват. Ако имате още въпроси, ние сме насреща, така че – питайте! 🙂
