Jak zabezpečit své Joomla! stránky?

Redakční systém Joomla! se stává v posledních letech nejpopulárnějším redakčním systémem, který zdatně konkuruje redakčním systémům jako je Drupal nebo WordPress. Dnes ve světě se odhaduje, že celá 3% webových stránek běží právě na redakčním systému Joomla! a není dnes problém, aby uživatel minimálně 1x denně narazil na webové stránky, které jsou právě založeny na tomto redakčním systému.

V dnešní době se mnoho společností spoléhá na svoji prezentaci postavenou na redakčním systému Joomla!, ale již většina těchto firem buď podceňuje zabezpečení systému nebo ani mnohdy nemají potuchy o doporučeném nastavení a o vhodné správě systému nemluvě (udržovat systém Joomla! v aktuální verzi, aktualizovat rozšíření třetích stran aj). Tento článek majitelům webových stránek postavených na Joomla! ukáže některé jednoduché typy a triky, které zajistí, že Vaše stránky budou vždy aktuální a relativně bezpečné.

Jsou Vaše webové stránky aktuální? Obsahují aktuální verzi Joomla?

Nejzásadnějším úkolem jakéhokoliv majitele Joomla! stránek nebo zodpovědného správce webových stránek je mít vždy redakční systém v akuální a poslední verzi Joomla!, byť by se jednalo o větev systému, která má ukončen svůj životní cyklus (Joomla! 1.0, Joomla! 1.5, Joomla! 1.6 nebo Joomla! 1.7). Stejně jako u klasického běžného softwaru, ať už komerčního (Microsoft Windows) nebo například u svobodného softwaru (Linux, Joomla!) se vyskytují chyby a bezpečnostní problémy, které se většinou v rámci životního cyklu daného softwaru opravují formou tzv. patche, který má za cíl dané problémy odstranit.

joomla shield-04

Například redakční systém Joomla! má svůj tzv. "Security Strike Team", který má za úkol vyhledávat a zpracovávat opravy pro chyby v systému. Většinou, pokud je objevena kritická chyba, je patch (oprava) uvolněna formou nové verze systému zpravidla ve velice krátkém časovém období. Chyby, které jsou klasifikovány nízkou zranitelností, jsou zpravidla uvolňovány v běžném aktualizačním cyklu projektu. Nové verze Joomla! většinou doznávají větší publicity, ať již formou webových stránek projektu, pomocí sociálních sítí (Google +, Twitter, Facebook), různými stránkami komunit nebo stránek zabývajících se Joomla! vývojem (www.website21.cz) a mnohé další.

joomla shield-05

Jak zjistím, kterou verzi Joomla! používám?

Existují dva způsoby, kdy první způsob vyžaduje přihlášení do back-endu stránek (administrace), kde je zpravidla uvedeno číslo Vaší stávající verze redakčního systému Joomla!, anebo u aktuální verze Joomla! 2.5 a Joomla! 3.0 umí zobrazit aktuální verzi přímo v meta tagu "generátor", ale pozor - tato funkce může být deaktivována a daná verze nemusí být v kódu k dispozici. Jedná se o funkci, kterou lze aktivovat, anebo deaktivovat.

Pokud nemáte přístup do back-endu (administrace), nebudete mít zpravidla přístup k této části prezentace a budete muset svého správce projektu požádat o poskytnutí informace, jaká verze systému je právě nasazena na webových stránkách.

Vývoj verzí redakčního systému Joomla!:

Pokud z nějakého důvodu nejste schopni nalézt číslo své stávající verze redakčního systému, můžete ještě zkusit vstoupit pomocí ovládacího panelu do systémových informací, které jsou k dispozici v menu a to: Stránky - Systémové informace na kartě "Systémové informace". Pro podrobnější přehled si přečtěte náš článek "Joomla - moderní redakční systém".

joomla shield-01

joomla shield-02

joomla shield-03

Jak mohu aktualizovat?

Redakční systém Joomla! v závislosti na verzi lze aktualizovat několika způsoby. Můžete použít integrovaný aktualizační nástroj, stáhnout balíček a ten pomocí instalátoru nainstalovat nebo ručně a to za pomoci FTP klienta. Více se dozvíte v našem článku "Joomla 2.5 - aktualizace systému". Podrobný návod na instalaci redakčního systému je v našem dalším článku s názvem "Joomla 2.5 - instalace".

Má cenu migrovat Joomla! stránky na novou verzi?

Pokud používate jednu z těchto verzí Joomla! a to Joomla! 1.0, Joomla! 1.5, Joomla! 1.6 nebo Joomla! 1.7, vážně a zodpovědně by jste se měli zamyslet nad migrací celého projektu pod novou verzi a to Joomla! 2.5. Hlavním důvodem by měla být motivace získávání pravidelných záplat pro redakční systém, které jsou k dispozici pouze pro verzi, která obsahuje podporu od "Joomla! Security Strike Force".

Určitě je také důležité si uvědomit, že migrace na novější verzi vyžaduje jisté znalosti a nutnou dávku trpělivosti. Budete také muset celou řadu rozšíření aktualizovat na aktuální verze a některá rozšíření, která jsou dostupná pro starší verzi systému také nemusí být pro novou verzi napsána, anebo již vývojář neplánuje uvolnění nové verze a budete tedy muset rozšíření nahradit jiným dostupným pro danou verzi Joomla!. Migrace webových stránek postavených na Joomla! 1.5 pod Joomla! 2.5 je popsán v našem článku s názvem "Upgrade Joomla 1.5 na Joomla 2.5 pomocí jUpgrade".

Jsou Vaše rozšíření aktuální?

Aktuální verze rozšíření by měly být vždy k dispozici u daného vývojového týmu rozšíření. Instalovanou verzi rozšíření lze také zpravidla zjistit v instalovaném systému, kde je toto rozšíření použito. Instalace aktualizací je od verze Joomla! 2.5 snadnější než kdy dříve. Jediné, co si musíte zjistit je, zda nový aktualizační proces vývojový tým rozšíření podporuje.

Nejlepší způsob, jak si držet aktuální přehled o nových verzí rozšíření, je mít aktivní zasílání upozornění na e-mail (newsmail).

Jak mohu skrýt administraci (back-end) stránek?

Existuje celá řada postupů a návodů, jak zábránit široké veřejnosti k základnímu přístupu. My si zde budeme povídat pouze o dvou a to o aplikaci rozšíření jako je RSFirewall, Admin Tools, anebo za použití klasického htaccess s htpasswd souboru, kde si vytvoříte další uživatelské jméno a heslo pro přístup k back-endu stránek. Tento způsob je poměrně populární a jeho výhodou je, že Váš back-end je chráněn samotným Apache na serverem, ale i tato ochrana má svá pro a proti.

 Je Váš výchozí správce stránek stále povolen?

Pokud jste vytvářeli své webové stránky pomocí starší verze redakčního systému Joomla! než je verze Joomla! 2.5, tak systém při vytváření používal vždy stejnou sadu ID pro SU (Super User) uživatele s uživatelským jménem Admin. Joomla! 1.5 používala # 62 a Joomla! 1.6 # 42, kdy v obou případech bylo použito uživatelské jméno "Admin" a bohužel poměrně větší procento uživatelů nemělo potřebu měnit uživatelské jméno, natož tento účet zablokovat a vytvořit nový SU účet pro správu systému.

Jednoduše řečeno, pokud útočník tuší, že by v systému mohl být aktivní uživatel s ID # 62 nebo ID # 42, bude se snažit pomocí chyb v systému Joomla! nebo v rozšíření třetích stran dostat  přístup do systému a tak ovlivnit chod celé Joomly!, neboť bude mít plný správcovský přístup v celém systému.

Provádějte pravidelné zálohy svých Joomla! stránek

Pokud dojde k nejhoršímu a Váš systém je například napaden nebo vinou správce dojde k poškození systému, který po tomto zásahu není provozuschopný, je dobré mít vždy po ruce zálohu prezentace se kterou poté můžete obnovit systém do původního stavu bez větších problémů. Určitě je také dobré provádět pravidelné zálohy před každou aktualizací, ať se jedná o rozšíření třetích stran nebo redakčního systému Joomla!. Pamatujte na to, že především šetříte čas sobě a chráníte své investice v případě, kdy dojde ke drobné kolizi a Váš systém by mohl přestat fungovat.

Jak mám provést zálohu Joomla! stránek?

Možností, jak provést zálohu svých stránek, je celá řada. Existují hotová řešení v podobě rozšíření jako je Akeeba Backup, který je ověřený statisíci uživateli po celém světě a pracuje relativně spolehlivě, anebo můžete provádět ruční zálohu webových stránek a to za pomoci FTP klienta a prohlížeče, kdy v FTP zazálohujete fyzicky všechny soubory, které jsou k dispozici na serveru a pomocí prohlížeče si provede export databáze.

Závěřem

V tomto článku jsme se nesnažili o obsáhnutí všech oblastí ohledně bezpečnosti redakčního systému Joomla!. Nutno dodat, že časté problémy s napadením webových stránek byli zejména v tom, že k napadení došlo na Joomla! stránkách, které buď nebyly aktualizovány nebo za pomoci rozšíření třetích stran, jež nebyly vždy v aktuální verzi. Samozřejmě toto tvrzení nelze vztahovat 100% na všechny napadení. Tímto článkem se snažíme pouze seznámit širší veřejnost s problematikou bezpečnosti a poukázat na časté prohřešky správců daných projektů.