1. Skini najnoviju verziju Joomle
2.
http://extensions.joomla.org/ Ovde potrazi ekstenzije, oko bezednosti itd...
Od ostalih stvari sto mogu da ti preporucim/objasnim jeste sledece:
-Mnogo ljudi koristi default Admin stranicu, potencijalni napadac u startu zna da ukuca
www.imesajta.com/administrator/ ,posle uglavnom koricenjem nekih skripti pogadjaju sifre. Postoji modul koji maskira tu stranicu, tako da ce imati poteskoca da je otkriju.
-Joomla ima svoj configuration.php fajl u kojem se nalaze bitni parametri, imedju ostalog i oni za pristup bazi. Takodje postoji modul koji izmesta tu stranicu za jedan folder iznad, gde je pristup, skoro pa nemoguc, jer da bi se tu izvrsio upad, napadac mora da preuzme kontrolu nad celim serverom, sto je poprilicno tesko. Samo moram da napomenem da ce izmestanje tog fajla uticati na neke druge module i kompnente, i mozda ih pokvariti, pa ce biti potrebne manje modifikacije u kodu.
-Koristi enkripciju kada pristupas Administratorskom panelu, ako tvoj host ima CPanel, onda je samo potrebno da generises self signed SSL key, koji ces koristiti kada budes pristupao admin panelu.
-Podesi dozvole za fajlove pravilno. Mnogi napadi su u znatnoj meri olaksani ako su dozvole lose podesene-recimo da dozvolis nekome da upisuje podatke u tvoj fajl. Ako ti je host pod nekim Unix-like sistemom, predpostavljam da si video one brojeve pored fajlova, e ti brojevi predstavljaju sistemske dozvole za koriscenje, sve je manje vise u redu, ali
nikako nemoj da dozvolis da ti dozvola bude 777, moze 775 ali poslednji broj ne sme biti 7, moze 5, moze 4 ili 1, ali nikako 6 ili 2. Uostalom evo ti
Link pa ces shvatiti.
-Naravno, za kraj-redovno menjaj sifre i korisnicka imena na admin nalogu.
Sve sto mogu da ti kazem, jeste sledece: To sto si ti dizajner, i sto ti kazes da se ne razumes, ne spasava te od cinjenice da ce ti sajt biti napadan i unisten, i da napadaci nimalo ne mare za tim. I isto tako ne ocekuj da ces moci sve da odradis i da kazes: "sada sam bezbedan". Sigurnost/bezbednost nije gotov proizvod, to je proces. U koji se konstantno mora ulagati novo znanje i novi napori. Ako mislis da su ove stvari teske ili neshvatljive, onda je svakako bolje da unajmis nekog ko zna oko tih stvari, koji ce ti dovesti sajt do tog nivoa da ce napadac morati dobro da se pomuci da bi provalio, gde ce posle odredjenog vremena odustati, odnosno-da mu se napad ne isplati.
Nadam se da sam ti bar malo pomogao. Imas ovde na forumu jos dosta ljudi koji se jos bolje od mene razumeju u ovu materiju. Uglavnom samo treba biti, uporan, disciplinovan i organizovan.
P.S. Eto ti provale... :D ...ako kliknes na onaj link(imesajta), dobijes administratorsku stranicu, eto dokaz koliko ljudi brinu o tome.
bolje je biti malo lud nego malo pametan