回答:
Joomla Webサイトを安全に保つ
詳細な手順については、公式のセキュリティチェックリストを参照してください。
バックアップを別のサーバーに保存することは非常に重要です。Akeeba Backupsを忠実に実行している多くの人々がいます...彼らは同じサーバーの同じルートディレクトリに保存されています。深刻な方法でハッキングされた場合はそれほど役に立たず、ホスティング障害からの復旧には確かに役に立たない。
Akeeba Backup Proでは、Amazonクラウドなどの外部ストレージにバックアップファイルを保存および管理できます。
.htaccessファイルまたはIPによってロックダウンする代わりに、jSecureを使用して管理者ログインを保護することもできます。
言及されていないことの1つは、評判の良いホスティングプロバイダーの使用です。セキュリティを維持するだけでなく、ハッキングされた場合や問題が発生した場合(たとえば、データベースが破損した場合)にも機能するものが必要です。アイデアは、クリーンアップを取得しながら、サイトが受ける損害を制限することです。
基本的な考え方は、あなたが誰かが欲しい..
質問のリストを使用して、ホストに気分を良くしてもらいたい場合は、お知らせください。
お役に立てれば。
基本的に私の経験では、Joomlaのサイズでは、完全にセキュリティを確保する方法はありません。そうではなく、すべてを阻止する完璧なセキュリティポリシーであり、全体的な損害を軽減するために期待を下げることが最善です。
これは、非常に頻繁なバックアップポリシーを使用して行うことができるため、侵入があった場合にマルウェアスキャンと同様にサイトをロールバックできます。これまでのところ、私たちが行ったハックの1つは、管理パネルが強引に強制されたことによるものではありません。
私たちが目にするハックのほとんどは、サードパーティのコンポーネントまたはJoomlaコアからのものであり、ハックがJoomlaの最新バージョンにも侵入するのを見ることさえあります。これは、通常、ハッキングは通常のリクエストのように見え、不適切なフィルタリングを使用してファイルをサーバーにプッシュするためです。ファイルがサーバーに配置されると、すべてが公正なゲームになり、共有サーバー全体のどのサイトにも存在し、それでもあなたのファイルに影響を与える可能性があります。
これは少し極端かもしれませんが、個人的な経験に基づいて最悪の事態に備えるのが最善であり、その後、ポリシーがそれをすべて防ぐと確信しすぎています。
したがって、新しいJoomlaインストールをセキュリティで保護する最善の方法は、頻繁にバックアップし、マルウェアスキャンを有効にすることです。マルウェアスキャナーが何かを見つけたらすぐにメールを送信できれば、非常に短い時間内に最新のバックアップにロールバックできます。
ユーザー名を変更し、管理者パスワードを強力に保ち、2要素認証を使用します(3.3以上の場合は組み込み、その他の場合はhttp://www.readybytes.net/labs/two-factor-authentication.html)
kSecureをインストールします(http://extensions.joomla.org/extensions/access-a-security/site-security/login-protection/12271)
このhtaccess http://docs.joomla.org/Htaccess_examples_(security)を使用して、さまざまな攻撃からWebサイトを保護します
ブログにあるホワイトペーパー「Pen-testing a Joomla site」からこのリストを借用しています。このリストは、Joomlaセキュリティの基本に関する徹底したガイドラインだと思います。
すべてのログインに強力なパスワードを使用します。少なくとも8文字、1つの特殊文字、1つの数字、1つの大文字と小文字を区別する文字。総当たりからインストールを保護します。
潜在的な攻撃をキャッチするために、Webサーバーのログファイルに「最新の訪問者」を常に記録してください。ログファイルを単なる情報と見なさないでください。ユーザーの追跡と監視に非常に役立ちます。
Joomlaベースのサイトがホストされているサーバー全体により多くのセキュリティを実装するために、ある程度のストレスをかけます。共有サーバーまたは専用サーバーでホストされている。
使用するすべての拡張機能のリストを作成し、それらを監視し続けます。
さまざまなセキュリティアドバイザリで最新の脆弱性と開示を常に把握してください。Exploit-db、osvdb、CVEなどは優れたリソースの一部です。
デフォルトでは、書き込み権限を使用して(Joomlaが更新する必要があるため).htaccessファイルの権限を変更します。ベストプラクティスは、444(r-xr-xr-x)を使用することです。
悪意のあるファイルがアップロードまたは実行されないように、パブリックディレクトリに対する適切なファイルアクセス許可を与える必要があります。このコンテキストでのベストプラクティスは766(rwxrw-rw-)です。つまり、所有者のみが読み取り、書き込み、実行できます。その他のユーザーは読み取りと書き込みのみが可能です。
サーバー上のPHPファイルに書き込む権限を誰も持つ必要はありません。それらはすべて444(r—r—r--)で設定する必要があり、全員が読み取り専用です。
役割を委任します。管理者アカウントが安全になります。誰かがマシンにハッキングした場合、管理者アカウントではなく、それぞれのユーザーのみにアクセスできる必要があります。
データベースユーザーには、INSERT、UPDATE、DELETE行などのコマンドを付与する権限のみが必要です。テーブルのDROPを許可しないでください。
バックエンドフォルダの名前を変更します。たとえば、/ administratorを/ admin12345に変更できます。16.最後になりましたが、最新の脆弱性を更新してください。
最初の防衛線はホスティングサービスです
次の防衛線はcPanelです
次の防衛線は管理者パネルです
他の手順もあると思いますが、これらは全国の70を超えるWebサイトをホストしているサーバーで使用する主な手順です。最近、DDoS攻撃に似た大規模な攻撃を受け、1つのWebサイトにアクセスしませんでした。私は高さ10フィートと弾丸の証拠を感じましたが、明日はまた別の日なので、満足することはできません。笑
私は二要素認証のファンではありません
Akeeba Admin Toolsをインストールし、高度なhtaccessを有効にし、オプションとソフトウェアファイアウォールを確認します
https://www.akeebabackup.com/download/admin-tools.html