Podstawy bezpieczeństwa systemów CMS

Zabezpieczenia systemów CMS WordPress / Joomla.

AKTUALIZACJA

Podstawową ochroną jest częsta aktualizacja systemów CMS oraz ich wtyczek. Często ataki dokonywane na systemy CMS są kierowane na wtyczki systemowe i to one są najbardziej podatne.

POBIERANIE WTYCZEK

Zawsze pobieraj wtyczki i dodatki do systemów CMS ze strony producentów oprogramowania. Pliki znajdujące się na nieoficjalnych serwerach mogą być modyfikowane co wiąże się z podatnością na dopisanie backdoorsów (tylnich furtek ułatwiających włamania / przejęcia systemów).

KOPIE BEZPIECZEŃSTWA

Warto we własnym zakresie robić kopie bezpieczeństwa. Im więcej kopii tym większa dyspozycja nienaruszonym systemem. Można taką kopię wgrać np. Na inny serwer i dokonać aktualizacji po czym wgrać i nadpisać zainfekowaną wersję.

HASŁA

Mocne / trudne hasła to podstawa. Większość systemów CMS dostarcza również opcję zmiany loginu administratora. Zmiana ta może pomóc przy atakach typu brute-force gdyż bot nie będzie znał samego loginu i nie będzie mógł dopasować hasła.

WERSJA SYSTEMU

Warto ze strony i ze źródeł usunąć pokazywanie wersji systemu. Często typy ataków są kierowane na konkretną wersję systemu (np. Znając już luki atak jest ułatwiony).
Dla WordPress można taką informację zmienić w pliku functions.php i dodać:

<?php remove_action('wp_head', 'wp_generator'); ?>

Sprawdzić jeszcze można plik header.php czy znajduje się tam linijka podobna do:

<meta name="generator" content="WordPress <?php bloginfo('version') ?>" />

Możemy taką skasować co usunie wyświetlanie wersji w źródle wyświetlanej strony.

Temat zabezpieczeń CMS jest obszerny, dlatego polecamy zaznajomić się z artykułami na naszym blogu, takimi jak:

• Poprawa bezpieczeństwa w WordPress
• Miałeś infekcję? Przejdź 9 kroków.

.HTACCESS I DOSTĘPY

Można skorzystać z funkcji pliku htaccess i ograniczyć dostęp do wp-admin / administrator na swój IP jeżeli posiadamy stały adres.
Tworzymy plik .htaccess w katalogu wp-admin lub administrator.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Example Access Control"
AuthType Basic
  
order deny,allow
deny from all
allow from xx.xx.xxx.xx

PUSTE KATALOGI / KATALOGI Z DOSTĘPEM

W każdym katalogu powinna być wyłączona opcja listowania / wyświetlania plików. Można to rozwiązać wrzucając pusty plik index.html do folderów.

UŻYTKOWNICY

Jeżeli na stronie nie stosujemy opcji logowania / dostępu do zawartości po zalogowaniu wyłączmy tę opcję w panelu administracyjnym aby nikt nie mógł się rejestrować lub utworzyć użytkownika może tylko admin.

LIMITY NA SERWERACH

Jeżeli posiadasz usługę VPS / Reseller ustaw każdemu użytkownikowi restrykcje na wysyłkę maili. Np. Do 100-500 / dzień. Unikniesz ewentualnego rozsyłania spamu.

CHMOD

Sprawdź czy chmody plików na FTP nie są zbyt wysokie. Umożliwienie zapisu pliku / folderu może mieć dotkliwe skutki.
Joomla foldery: 755 pliki: 644 (plik konfiguracyjny można sprawdzić czy zadziała na chmod 444).

Wordpress foldery: 755 Pliki: 664 lub 644

ZABEZPIECZENIA WŁASNE

Nie zapisuj haseł do FTP na swoim komputerze. Używaj programów antywirusowych i zapór / firewalli sieciowych aby uniknąć wycieku / podejrzeniu haseł. Nie używaj wszędzie tego samego hasła. Im więcej haseł tym mniejsze skutki włamania / wycieku hasła.