tło

Podstawy bezpieczeństwa systemów CMS

Ostatnia modyfikacja: 17 czerwca 2021
Przeczytanie zajmie Ci: 2 min

Zabezpieczenia systemów CMS WordPress / Joomla.

AKTUALIZACJA

Podstawową ochroną jest częsta aktualizacja systemów CMS oraz ich wtyczek.
Często ataki dokonywane na systemy CMS są kierowane na wtyczki systemowe i to one są najbardziej podatne.

 

POBIERANIE WTYCZEK

Zawsze pobieraj wtyczki i dodatki do systemów CMS ze strony producentów oprogramowania.
Pliki znajdujące się na nieoficjalnych serwerach mogą być modyfikowane co wiąże się z podatnością na dopisanie backdoorsów (tylnich furtek ułatwiających włamania / przejęcia systemów).

 

KOPIE BEZPIECZEŃSTWA

Warto we własnym zakresie robić kopie bezpieczeństwa. Im więcej kopii tym większa dyspozycja nienaruszonym systemem. Można taką kopię wgrać np. Na inny serwer i dokonać aktualizacji po czym wgrać i nadpisać zainfekowaną wersję.

 

HASŁA

Mocne / trudne hasła to podstawa. Większość systemów CMS dostarcza również opcję zmiany loginu administratora. Zmiana ta może pomóc przy atakach typu brute-force gdyż bot nie będzie znał samego loginu i nie będzie mógł dopasować hasła.

 

WERSJA SYSTEMU

Warto ze strony i ze źródeł usunąć pokazywanie wersji systemu. Często typy ataków są kierowane na konkretną wersję systemu (np. Znając już luki atak jest ułatwiony).
Dla WordPress można taką informację zmienić w pliku functions.php
i dodać:

<?php remove_action('wp_head', 'wp_generator'); ?>

Sprawdzić jeszcze można plik header.php czy znajduje się tam linijka podobna do:

<meta name="generator" content="WordPress <?php bloginfo('version') ?>" />

Możemy taką skasować co usunie wyświetlanie wersji w źródle wyświetlanej strony.

Temat zabezpieczeń CMS jest obszerny, dlatego polecamy zaznajomić się z artykułami na naszym blogu, takimi jak:

 

.HTACCESS I DOSTĘPY

Można skorzystać z funkcji pliku htaccess i ograniczyć dostęp do wp-admin / administrator na swój IP jeżeli posiadamy stały adres.
Tworzymy plik .htaccess w katalogu wp-admin lub administrator.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Example Access Control"
AuthType Basic
  
order deny,allow
deny from all
allow from xx.xx.xxx.xx

 

PUSTE KATALOGI / KATALOGI Z DOSTĘPEM

W każdym katalogu powinna być wyłączona opcja listowania / wyświetlania plików.
Można to rozwiązać wrzucając pusty plik index.html do folderów.

 

UŻYTKOWNICY

Jeżeli na stronie nie stosujemy opcji logowania / dostępu do zawartości po zalogowaniu wyłączmy tę opcję w panelu administracyjnym aby nikt nie mógł się rejestrować lub utworzyć użytkownika może tylko admin.


LIMITY NA SERWERACH

Jeżeli posiadasz usługę VPS / Reseller ustaw każdemu użytkownikowi restrykcje na wysyłkę maili. Np. Do 100-500 / dzień. Unikniesz ewentualnego rozsyłania spamu.

 

CHMOD

Sprawdź czy chmody plików na FTP nie są zbyt wysokie. Umożliwienie zapisu pliku / folderu może mieć dotkliwe skutki.
Joomla foldery: 755
pliki: 644 (plik konfiguracyjny można sprawdzić czy zadziała na chmod 444).


WordPress foldery: 755
Pliki: 664 lub 644

 

ZABEZPIECZENIA WŁASNE

Nie zapisuj haseł do FTP na swoim komputerze.
Używaj programów antywirusowych i zapór / firewalli sieciowych aby uniknąć wycieku / podejrzeniu haseł.
Nie używaj wszędzie tego samego hasła. Im więcej haseł tym mniejsze skutki włamania / wycieku hasła.

Czy ten artykuł był pomocny?
0 0 z 0 uznało ten artykuł za pomocny .
Wyświetleń: 5
... ... ...
Czy kawa już zaparzona?

Polecamy nasz BLOG, gdzie publikujemy: #informacje, #poradniki, #tutoriale oraz #nowinki ze świata hostingu.

blog.hitme.pl

Masz pytania? Przeszukaj naszą Bazę Wiedzy