Welcome, Guest
Username: Password: Remember me
  • דף:
  • 1
  • 2

TOPIC: אזהרה: גל פריצות לאתרי JOOMLA

תשובה: אזהרה: גל פריצות לאתרי JOOMLA 7 שנים 10 ם ago #21

לבינתיים כמה סרטי הדגמה של פריצות לאתרי ג'ומלה:

  • oc666
  • oc666's Avatar
  • מנותקים
  • מנהל
  • Posts: 1027
  • Thank you received: 108
  • קארמה: 23
embAD-new way to insert ads to your website
המנהל ביטל גישת כתיבה ציבורית.

תשובה: אזהרה: גל פריצות לאתרי JOOMLA 7 שנים 9 ם ago #22

AhoyIT wrote:
oc666 wrote:

ניתן לאפשר כתיבה לתיקייה, אך לא לאפשר בה הרצה של סקריפטים (php, cgi וכו').

תחכים אותי לגבי זה, בבקשה.
Ahoy, בבקשה - המדריך השלם לאבטחת ג'ומלה - goo.gl/LyBwR
  • oc666
  • oc666's Avatar
  • מנותקים
  • מנהל
  • Posts: 1027
  • Thank you received: 108
  • קארמה: 23
embAD-new way to insert ads to your website
המנהל ביטל גישת כתיבה ציבורית.

תשובה: אזהרה: גל פריצות לאתרי JOOMLA 7 שנים 9 ם ago #23

יפה מאוד.

אני הייתי גם מקשר לעמוד האבטחה בג'ומלה העולמי ובפרט מתייחס לרשימת התוספים ל-HTACCESS שהיא גם די רלבנטית.
  • AhoyIT
  • AhoyIT's Avatar
  • מנותקים
  • דייר ותיק
  • Posts: 141
  • Thank you received: 4
  • קארמה: -1
AhoyIT ייעוץ לאסטרטגיית אינטרנט לעסקים
ייעוץ טכנולוגי, שיווקי ומיתוגי לנוכחות אינטרנט מוכללת
המנהל ביטל גישת כתיבה ציבורית.

תשובה: אזהרה: גל פריצות לאתרי JOOMLA 7 שנים 9 ם ago #24

הי, Ahoy
הוספתי קישורים.
לאילו תוספי HTACCESS התכוונת?
  • oc666
  • oc666's Avatar
  • מנותקים
  • מנהל
  • Posts: 1027
  • Thank you received: 108
  • קארמה: 23
embAD-new way to insert ads to your website
המנהל ביטל גישת כתיבה ציבורית.

תשובה: אזהרה: גל פריצות לאתרי JOOMLA 7 שנים 9 ם ago #25

בגדול עליך להתקין את הרכיב GuardXT שבודק שינויים בקבצים ובודק חורי אבטחה נפוצים, להתקין ולבצע את ההמלצות.

לשאלתך: הוא גם יבצע עבורך אוטומטית את הגדרת ההרשאות הנכונה לכל הקבצים והמחיצות שלך!

מידע חובה לכל ג'ומלאי:
לאחר פריצות חוזרות ונישנות לאתרים שלנו, בעיקר אחרי התקרית עם הטורקים, החלטתי לטפל אחת ולתמיד בנושא אבטחת האתרים.

1. דרך נפוצה לפרוץ לאתר היא על ידי SQL Injection. הדרך למנוע את זה היא להתקין ולהפעיל את הפלאג Marco's SQL Injection – LFI Interceptor

2. להתקין את הרכיב GuardXT שבודק שינויים בקבצים ובודק חורי אבטחה נפוצים, להתקין ולבצע את ההמלצות. הוא גם עוזר ליישם את ההמלצות!

3. בגלל שיש לנו מספר גדול של אתרים, לנטר את כולם הפך להיות בעיה. ולכן התקנו את הרכיב JMonitor שלאחר הגדרה והתקנה יכול מתוך ניהול של אתר אחד להריץ בדיקה על כל האתרים, ולהתריע אם קבצי מערכת השתנו. אפשר גם להריץ אותו באופן אוטומטי ושישלח מייל אם זיהה בעיה.

4. ואולי הדבר הכי חשוב! דאג שמותקנת אצלך הגרסא החדשה ביותר של ג'ומלה! את זה ניתן לעשות בעזרת רכיב שבודק ומתקין לבד גרסא חדשה. Update Manager for Joomla

5. להתקין ולהגדיר רכיב SH404SEF. לא רק שהרכיב הזה הוא חובה לקידום האתר, יש בו גם תכונות אבטחה מצויינות, כולל חיבור ל Project Honey Pot. אמנם SH404SEF הוא אינו רכיב חינם, אך עלותו נמוכה ואפשר להתקין אותו בכל האתרים שלך.

שמחה והצלחה, אפי (מקס) חסון
בלאנס פתרונות מחשוב מתקדמים
  • balanscs
  • balanscs's Avatar
  • מנותקים
  • דייר טרי
  • Posts: 1
  • קארמה: 0
המנהל ביטל גישת כתיבה ציבורית.

תשובה: אזהרה: גל פריצות לאתרי JOOMLA 7 שנים 9 ם ago #26

1. אחלה המלצה! זה אמנם לא חוסם ב-100% את ה-SQL injection אלא את רובם, אבל זו אבטחה משמעותית.
2. מה קורה שאתה מעדכן ג'ומלה או שמנהלי אתרים מוסיפים תמונות. לא נשמע כמו פתרון אידיאלי לאבטחה. לכן, זאת לא שיטה טובה לפי דעתי.
3. אכן רכיב מומלץ אבל המטרה שלו לנטר אתרים רבים ממקום יחיד והוא לא נועד בשביל אבטחה.
4. אכן אחלה רכיב שפותח ע"י אחד ממפתחי הליבה של ג'ומלה. הפיצ'ר הזה מוטמע כבר ב-1.6.
5. אם תוכל לכתוב על הרכיב בעזרת הגשת ידיעה באתר, זה יתרום לכולנו. כמובן שבפרסום מופיע באופן אוטומטית קישור לפרופיל שלך.

תודה על הטיפים
  • oc666
  • oc666's Avatar
  • מנותקים
  • מנהל
  • Posts: 1027
  • Thank you received: 108
  • קארמה: 23
embAD-new way to insert ads to your website
המנהל ביטל גישת כתיבה ציבורית.

תשובה: אזהרה: גל פריצות לאתרי JOOMLA 7 שנים 9 ם ago #27

oc666 wrote:
הי, Ahoy
הוספתי קישורים.
לאילו תוספי HTACCESS התכוונת?

אלו ראשי הפרקים של קטעי הקוד (מתוך הקישור שנתתי) ואשר רובם מיושמים אצלי בכמה אתרים בהצלחה וללא בעיות עם רכיבים כמו CB, KUNENA, PHOCA, ACAJOOM, CKFROMS בגרסה 1.5 ו-1.6 וכולל התאמות ל-SUBDOMAINS וכו' -

Common hacking tools and bandwidth hoggers block
Rewrite rules to block out some common exploits
Block bad user agents
File injection protection
Basic antispam Filter
SQLi
Referrer filtering for common media files
Disallow visual fingerprinting
Disallow access to htaccess.txt, configuration.php, configuration.php-dist and php.ini
Allow Agora attachments, but not PHP files
blocks fingerprinting attacks
Explicitly allow access only to XML-RPC's
Disallow front-end access
Disallow access to rogue PHP files
Allow limited access for certain Joomla! system directories
Force HTTPS for certain pages
Optimal default expiration time

בכל מקרה והיות ואבטחה וכל נושא רמת השרת הוא לא החוזקה שלי - הייתי מאוד שמח אם מישהו היה יכול לקחת את המשימה לרכז אזור "אבטחה" פה באתר שיכלול תתי פרקים לפי כל ההצעות\רכיבים\סכנות\שיטות פריצה וכו' שהוצגו כאן ובסופו של יום לתפור סל אבטחה אופטימלי (לדעתי אין כזה דבר בשום מקום ברשת בכלל, גם לא באנגלית).
  • AhoyIT
  • AhoyIT's Avatar
  • מנותקים
  • דייר ותיק
  • Posts: 141
  • Thank you received: 4
  • קארמה: -1
AhoyIT ייעוץ לאסטרטגיית אינטרנט לעסקים
ייעוץ טכנולוגי, שיווקי ומיתוגי לנוכחות אינטרנט מוכללת
המנהל ביטל גישת כתיבה ציבורית.

תשובה: אזהרה: גל פריצות לאתרי JOOMLA 7 שנים 9 ם ago #28

balanscs wrote:
בגדול עליך להתקין את הרכיב GuardXT שבודק שינויים בקבצים ובודק חורי אבטחה נפוצים, להתקין ולבצע את ההמלצות.

לשאלתך: הוא גם יבצע עבורך אוטומטית את הגדרת ההרשאות הנכונה לכל הקבצים והמחיצות שלך!

מידע חובה לכל ג'ומלאי:
לאחר פריצות חוזרות ונישנות לאתרים שלנו, בעיקר אחרי התקרית עם הטורקים, החלטתי לטפל אחת ולתמיד בנושא אבטחת האתרים.

1. דרך נפוצה לפרוץ לאתר היא על ידי SQL Injection. הדרך למנוע את זה היא להתקין ולהפעיל את הפלאג Marco's SQL Injection – LFI Interceptor

2. להתקין את הרכיב GuardXT שבודק שינויים בקבצים ובודק חורי אבטחה נפוצים, להתקין ולבצע את ההמלצות. הוא גם עוזר ליישם את ההמלצות!

3. בגלל שיש לנו מספר גדול של אתרים, לנטר את כולם הפך להיות בעיה. ולכן התקנו את הרכיב JMonitor שלאחר הגדרה והתקנה יכול מתוך ניהול של אתר אחד להריץ בדיקה על כל האתרים, ולהתריע אם קבצי מערכת השתנו. אפשר גם להריץ אותו באופן אוטומטי ושישלח מייל אם זיהה בעיה.

4. ואולי הדבר הכי חשוב! דאג שמותקנת אצלך הגרסא החדשה ביותר של ג'ומלה! את זה ניתן לעשות בעזרת רכיב שבודק ומתקין לבד גרסא חדשה. Update Manager for Joomla

5. להתקין ולהגדיר רכיב SH404SEF. לא רק שהרכיב הזה הוא חובה לקידום האתר, יש בו גם תכונות אבטחה מצויינות, כולל חיבור ל Project Honey Pot. אמנם SH404SEF הוא אינו רכיב חינם, אך עלותו נמוכה ואפשר להתקין אותו בכל האתרים שלך.

שמחה והצלחה, אפי (מקס) חסון
בלאנס פתרונות מחשוב מתקדמים

שאלה לגבי רכיב ההגנה ל-SQLI: האם הוא מאט את המערכת? והאם, בסופו של יום הוא נותן אותה תוצאה (מעבר לתכונות הנוספות) הדומה לקוד ה-HTACCESS שאני כבר משתמש בו (ראה קישור)?
  • AhoyIT
  • AhoyIT's Avatar
  • מנותקים
  • דייר ותיק
  • Posts: 141
  • Thank you received: 4
  • קארמה: -1
AhoyIT ייעוץ לאסטרטגיית אינטרנט לעסקים
ייעוץ טכנולוגי, שיווקי ומיתוגי לנוכחות אינטרנט מוכללת
המנהל ביטל גישת כתיבה ציבורית.
  • דף:
  • 1
  • 2
Time to create page: 2.331 seconds
Powered by Kunena