המדריך נכתב עבור ג'ומלה, מאחר וראינו שמרבית האתרים שנפרצו נכתבו בCMS זה, אך הוא מתאים ברובו לכל CMS אחר שבו בונים אתרים (WordPress,DRUPAL וכ"ו).
חשוב לציין כי מדריך זה על שלל המלצותיו הינו בגדר המלצות בלבד, ובאחריות בעל האתר להעזר בו או לא. בנוסף יש לבדוק אם ההמלצות מתאימות באופן פרטני לאתרכם, לרבות המלצות לרכיבים ותוספים.בכל המלצה שכזאת, יש לבדוק ולהתקין את הגרסא המעודכנת ביותר, ולאו דווקא את הגרסא המצויינת במדריך.
גיבוי
מיותר לציין חשיבות גיבוי החומרים.אמנם בחברתנו קיים גיבוי יומי לחומרים, אך ייתכן מצב ובו הגיבוי נדרס על ידי גיבוי אחר חדש יותר, שכבר מכיל את הפריצה, ובכך נדרס הגיבוי התקין.
עדיף לגבות בנוסף גם אצלכם.חובה לגבות את האתר באותו הקצב בו אתם מעדכנים אותו.עם העדכון הוא שבועי או יומי לאתר, הגיבוי שלכם צריך להתבצע בהתאם.
יש רכיבי גיבוי נפוצים לג'ומלה, שמגבים את האתר בלחיצת כפתור, דוגמא לכך תוכלו לקבל בלחיצה על הלינק הנ"ל.
גרסאת ג'ומלה
כל מערכת CMS מחייבת אותנו להיות עם האצבע על הדופק, קל וחומר לגבי ג'ומלה.
חשוב לדאוג תמיד בין אם אתם רק בשלב של בניית האתר ובין אם האתר כבר קיים באוויר, לעבוד בגרסא האחרונה של ג'ומלה.ניתן לעקוב אחר הגרסא האחרונה באתר joomla.com , ולהתעדכן על שחרורי גרסאות ותיקוני אבטחה.בגרסאות 1.6 ומעלה ניתן לעדכן ישירות מפאנל הניהול של ג'ומלה.
כמו כן חשוב להתעדכן באיזו גרסת PHP שרתכם תומך לשם התאמה ותקינות העבודה של האתר שלכם על אותו השרת.
הרחבות - EXTENSIONS
אומנם מדובר בעיקר בג'ומלה, אך חשוב גם עבור כל מערכת ניהול תוכן CMS חינמית אחרת.יש קרוב ל 10000 הרחבות, לצערנו רובן לא מעודכנות או לא מאובטחות ובעלות פרצות רבות.
חובה!חובה!חובה! – לפני שימוש בהרחבות אלו לבדוק ב WIKI הרשמי של ג'ומלה לגביהן : לשם כך יש ללחוץ כאן .
רכיבי ברירת מחדל
לאחר התקנת ברירת המחדל של ג'ומלה, מערכת ניהול התוכן מגיעה עם המון רכיבים מיותרים,שלא תעשו בהם כל שימוש.ראו במה אתם מתכוונים להשתמש ובמה לא, ונטרלו את המיותרים, דרך ניהול הרחבות.מומלץ לנטרל ולא להסיר, במידה וכן תחליטו להשתמש בהם בעתיד.נתקלת ברכיב שאינך יודע מה עושה? חפש בגוגל , ובכל מקרה אל תנטרל רכיב שאינך יודע מה עושה.זכור, רכיבים לא מעודכנים מהווים סכנה לאתרך, ולכן מיעוט ברכיבים שלא בשימוש ולא מעודכנים, יפחית את הסיכון.
סיסמאות
סיסמאות הינן הדבר החשוב ביותר , ולכן עליהן להיות מסובכות ומורכבות ככל שניתן (וגם ככל שניתן לזכור). פורצי אתרים אינם מנחשים איזה סיסמה שמתם באופן ידני, אלא משתמשים בכלים לגילוי הסיסמאות.כלים אלו רצים תחילה על הסיסמאות היותר נפוצות כגון 12345... או הסיסמאות שציינו מקודם, ורק לאחר מכן מתחילים ממש לנסות סיסמאות מורכבות יותר.לכן ככל שהסיסמא תהיה מורכבת יותר , כך תהיה יעילה יותר.יש להשתמש בסיסמאות בשילוב של אותיות קטנות וגדולות ,בשילוב מספרים וסימנים (לדוגמא #,$ , ! וכ"ו).כל הקשחה של סיסמאות, תגרום לכלים אלו לסרוק במשך זמן רב(לעיתים אף חודשים רבים) עד שיצליחו, אם בכלל, לנחש את הסיסמא.חשוב גם שהסיסמאות ישתנו כל זמן מה(למשל לקבוע לעצמכם שכל 3 חודשים מחליפים את כל הסיסמאות).
במידה וחלילה , אתרך נפרץ, או שאתם מזהים ניסיון לפריצה לאתרכם,דבר ראשון שעליכם לעשות, הוא לשנות את כל הסיסמאות בשרת, לרבות סיסמאות הניהול של ג'ומלה, FTP, DataBase , וCPANEL/PLESK - או כל מערכת ניהול אתרים אחרת.
פאנל ניהול אתר
במידה ואתם עדיין משתמשים במשתמש admin, מומלץ להחליף אותו למשתמש אחר מכיוון שמתמש הנ"ל הכי קל לפריצה.
לא להשתמש במנהל ברירת מחדל של ג'ומלה
אחד הדברים הראשונים שהאקר ינסה לעשות הוא לקבל גישה כמנהל האתר. לאחר שהתקנתם ג'ומלה, המשתמש שנוצר בברירת מחדל הינו מנהל. בגלל שמנהל ברירת המחדל של ג'ומלה בעל מספר זיהוי (ID) קבוע (62 ב-1.5 ו-42 ב-1.6) עדיף לא להשתמש בו. עדיף להירשם לאתר עם משתמש אחר ולהפוך אותו למנהל. את המשתמש ברירת מחדל מומלץ למחוק לאחר מכן.
כל האקר מתחיל יודע שפשוט להוסיף משתמש administrator , ולנסות להיכנס לפאנל הניהול עם משתמש זה.
ישנם תוספים שמאפשרים חסימת פאנל הניהול ללא הזנת פרמטרים נדרשים לפי הגדרות שקבע מנהל האתר.
המלצה לתוסף הנל תוכלו למצוא כאן.
במידה ואתם משתמשים בחבילת ריסיילר, השרת ריסלרים שעליו אתרכם מאוחסן, הינו שרת לינוקס. מדובר במערכת הנפוצה בעולם לשרתים, מאחר ומדובר במערכת מאובטחת וקלה לתפעול.אנחנו באינטרספייס דואגים לתחזוקה שוטפת של כלל השרתים.שלושת השכבות בשרת שעליהם רצים הג'ומלות מעודכנים לגירסה האחרונה והמאובטחת ביותר(ראה תרשים לדוגמא):
הסיכוי לפריצה לשרת לינוקס מזערי עד אפסי, ולכן עליך לדאוג לאבטחת ג'ומלה ולקינפוג נכון.
אחד הדברים הראשונים שיש לדאוג להם הינם הרשאות הקבצים. לכל קובץ ותיקייה בלינוקס יש שלושה דגלים קריאה ,(r) כתיבה (w) והרצה (x) .
דגל הכתיבה מאפשר למשתמש הקצה להוסיף קבצים,לרוב בשביל להוסיף תמונות לאתר ע"י מנהל האתר בשביל תוכן. לג'ומלה יש מספר תיקיות שצריכות להיות כתיבות בנוסף לתמונות, לדוגמא תיקייה המטמון cache וספריית tmp, המשמשת לאחסון קבצים זמנים (בזמן התקנה למשל). על מנת להשאיר את התיקיות הנ"ל כתיבות וכל השאר קריאות בלבד יש קודם לדאוג שהספריות הינן לקריאה בלבד ורק לאחר מכן לדאוג לכתיבה של התיקיות הספציפיות. על הקבצים להיות בהרשאת 644. אם אתם מעוניינים בעוד מספרי ההרשאות,יש להעזר בגוגל. חפשו עבור הפקודה chmod ותמצאו המון חומר.
הנושא הזה מורכב ולכן מחוץ לתחום מדריך זה , לשם כך תצטרכו להעזר באיש הטכני/בונה האתר שלכם.
Database / MySQL
ההמלצה לגבי MySQL לא לתת לטבלאות את הקידומת (prefix) ברירת מחדל של ג'ומלה (jos_), מאחר ופורצים ינסו להחדיר נתונים לטבלאות והם ישערו שהשארתם את הקידומת.במידה והדבר שונה, הדבר יקשה עליהם להחדיר נתונים לבסיס הנתונים שלכם.
אם ג'ומלה הותקנה עם קידומת ברירת מחדל, תוכלו לשנות זאת באמצעות הפקודה RENAME של MySQL לכלל הטבלאות (ניתן למצוא בגוגל סקירפטים רבים בנושא). מעתה והלאה אל תשתמשו בקידומת זו !
לסיכום
כמו בכל נושא אבטחה, הנושא כמעט אין סופי וצריך להתעדכן על בסיס שעתי , ועדיין אנו תקווה כי במדריך בסיסי זה, תוכלו למצוא את אשר ביקשתם.
ניתן לבצע שינויים ,הסתרות קוד וקנפוגים שונים ב PHP.ini , htaccess , configuration.info ועוד. אלו נושאים מורכבים מעט יותר , ולכן עדיף כי תתייעצו עם אנשים טכנים בנושא , לפני כל שינוי שכאלו בכלל , ולגבי השינויים שצויינו במדריך בפרט.שימוש לא מושכל במדריך או ביצוע שינויים ללא הבנה טכנית, עלול לפגוע בהתקנת הג'ומלה , או בשורה התחתונה באתרכם.
בנוסף ישנו מדריך אבטחה רשמי של ג'ומלה, שמומלץ לעבור עליו, ומדריך אבטחה וביצועים רשמי של ג'ומלה.
לקישורים נוספים שיכולים לעזור לך בהבנת תוכנות CMS לעומק, תוכלו להיעזר בלינקים הבאים:
בכל שאלה או בקשה אנחנו כאן , במרכז התמיכה של חברת אינטרספייס ,נשמח לעמוד לשרותכם.
ניתן ליצור עמנו קשר בטלפון 073-2224444 שלוחה 3 או לפתוח קריאה דרך האתר http://sos.interspace.net/