Ennek a cikknek az a célja, hogy összegyűjtsek (persze ezt mások, máskor, máshol is megtették már) olyan információkat, amely hozzásegíthet egy Joomla! alapú weboldal tulajdonost ahhoz, hogy biztonságos oldalt birtokoljon. Túl a saját tapasztalatokon több forrás volt segítségemre, ezeket a cikk végén jelzem is. Az információk az írás utolsó frissítésének idejéből származnak, később elavultak, vagy pontatlanok lehetnek.
A biztonságnak többféle aspektusa létezik, s ezek mindegyikének megvalósítása más és más eszközöket, eljárásokat igényel. Mások a biztonsággal kapcsolatos szempontjai egy weboldal üzemeltetőjének, és mások egy felhasználónak. Itt most egy Joomla! tartalomkezelőn futó weboldal üzemeltetésével kapcsolatos kérdéseket tekintem át. A témából adódóan a cikk nem vállalkozik arra, hogy teljes és hiánytalan legyen a kérdésben.
Hova tegyem? - tárhely szolgáltató választás
Először is fontos, hogy az általunk felépített oldal, illetve az ott tárolt adatok megbízhatóan, gyorsan, folyamatosan elérhetőek legyenek. Ezt - az Internet más elemeinek működőképessége esetén - a tárhely szolgáltató feladata biztosítani.
Hogy kinek mi a fontos a tárhely szolgáltató kiválasztásánál az nagyon eltérő lehet. A jó minőségű, megfizethető szolgáltatások, az elérhető, szakszerű és gyorsan reagáló (és emellett udvarias) ügyfélszolgálat, vagy a megfelelő kezelőfelület mind olyan összetevők, amiket a választáskor célszerű mérlegelni. Természetesen a cikknek nem feladata a szolgáltatók minősítése, ajánlása, így ezt nem is teszem. Egy újonnan alakult szolgáltató is lehet jó, de az is igaz, hogy a több éves megbízható (és pl. a fórumokon is követhetően pozitív megítélésű) működés, az esetleges referenciák is jó támpontot jelenthetnek. Magyar, vagy külföldi? Erről azt gondolom, hogy leginkább a nyújtott szolgáltatás célközönsége a mérvadó. Ha a weboldalt elsősorban Magyarországról olvassák, inkább fizikailag is itthon található szolgáltatót (vagy magyarországi hostot kínáló szolgáltatót) célszerű választani. Tényleges, vagy virtuális? Mármint a szolgáltató... Sok helyen van lehetőség tárhelyet bérelni olyan módon, hogy azt tovább lehet szolgáltatni, mint virtuális szolgáltató. Az üzemeltetést, támogatást a tárhelyet biztosító cég végzi, a "virtuális" szolgáltató áll kapcsolatban az ügyfelekkel. Ez is lehet jó. Ami igazán fontos, itt is a szolgáltatás minősége, megbízhatósága, sebessége, az ügyfélszolgálat elérhetősége.
A szolgáltatások között talán a legfontosabbak a stabil, megbízható PHP és MySQL szolgáltatás, valamint a szolgáltató által végzett, ütemezett rendszer- és az általunk igény szerint indítható egyedi mentés. A különböző tárhely csomagok tartalma nagyon eltérő lehet, több-kevesebb kutatással mindenki megtalálhatja a számára megfelelőt. Jó, ha van ingyenes próbaidőszak, mert ebben az esetben kockázat nélkül próbálhatók ki a tárhely tulajdonságai. Az olcsó húsnak most is (lehet) híg a leve, ha a szokásos áraknál sokkal olcsóbb ajánlatot találunk, legyünk körültekintőek.
Itt is igaz, hogy lakvahasználat közben ismerszik meg az emberszolgáltató. Ha a használat során megbízhatósági problémák merülnek fel - az oldal, vagy a tárhely adminisztráció értesítés nélkül hosszabb ideig nem érhető el, beállítások változnak meg, szolgáltatások nem, vagy nem megfelelően működnek, az ügyfélszolgálat nem reagál a megkeresésekre, stb. -, vagy biztonsági incidensek történnek - a szolgáltató túlterheléses támadás áldozata lesz, több weboldalt ér sikeres támadás a szolgáltató tárhelyein, a levelezés részben használhatatlan, mert a kimenő levelezőkiszolgáló feketelistára került - akkor érdemes megfontolni egy költözködést. Ez sajnos akár több éves kapcsolat után is előfordulhat.
Ingyenes tárhelyszolgáltatók? Ha alapszintű szolgáltatásokat igénylünk, együtt tudunk élni az esetlegesen alacsonyabb rendelkezésre állással, a reklámcsíkokkal, és az oldalra fordítható pénzünk kevesebb, mint évi néhány ezer forint - amibe a legolcsóbb fizetős tárhelyek kerülnek -, akkor lehet olyan kérdés, amire ez a válasz. Hivatalos, céges, üzleti jellegű oldalaknál azonban nem megoldás az ingyenes tárhely. A teljes képhez hozzátartozik, hogy nem minden ingyenes tárhely barátja a Joomla!-nak, a szolgáltatások nem garantáltak, és a szolgáltató, mint arra példa is volt, viszonylag rövid határidővel is beszüntetheti a működést.
Telepítés, beállítások
A Joomla! telepítése a legtöbb esetben gyors és problémamentes. Persze itt is lehetnek kivételek. Egy alkalommal a Joomla!-t nem sikerült telepíteni a tárhelyre, holott minden rendben lévőnek tűnt. Ugyanakkor a fejlesztési környezetből átmásolva az állományokat, importálva az adatbázist, és módosítva a config állományt, az oldal működött. Frissíteni és a beállításokat módosítani továbbra sem lehetett. Végül kiderült, hogy a tárhely egy jogosultsági beállítása volt a ludas.
A telepítés során meg kell adnunk a beállításhoz szükséges alapvető adatokat. Az első lehetőség itt kínálkozik a biztonság fokozására. Az alapértelmezett 'admin' helyett adjunk más nevet a legmagasabb rangú felhasználónak, jelszavát pedig kellően erősre - és olyanra, amely máshol nem használt - állítsuk be. Kis lépés, de a biztonság sok kis részletből áll össze.
A bővítménykezelőben kapcsoljuk ki a nem használt bővítményeket (beépülők, modulok, komponensek). Természetesen csak olyasmit kapcsoljunk ki amiről biztosan tudjuk, hogy mire szolgál, és biztosan nincs rá szükségünk. A módosítások után mindig ellenőrizzük a webhely működőképességét. Célszerű a kiinduló állapotról biztonsági másolatot, mentést készíteni. Mivel ilyen esetben az adatbázisban történnek módosítások, elegendő annak állapotát lementeni. A Joomla! magjához tartozó összetevők nem törölhetők, de erre nincs is szükség, a kikapcsolás elegendő.
Ha egy bővítmény kikapcsolása rossz döntésnek bizonyulna (pl. ha a kikapcsolás után nem, vagy nem megfelelően töltődik be az oldal), visszatölthető a kiinduló állapot, vagy az adatbázis megfelelő módosításával visszakapcsolható a bővítmény.
Ezt a tárhely adminisztrációban (amennyiben MySQL adatbázis-kezelőt használunk) a phpMyAdmin programmal tehetjük meg. A Joomla! adatbázisában az extensions táblában (a tábla neve xxxx_extensions, ahol az xxxx_ a telepítéskor beállított adatbázis előtag) az enabled mező értékét kell a megfelelő bővítményre hivatkozó rekordban 1-re állítani. Ez az információ a Joomla! 3.x verzió esetén helytálló.
Fontos még a könyvtárak és állományok jogosultságának megfelelő beállítása. A könyvtárak listázását megelőzhetjük azzal, ha minden könyvtárban van egy üres index.html állomány. A Joomla! és a bővítmények erről általában gondoskodnak, de az általunk létrehozott könyvtárak esetén magunknak kell erről gondoskodnunk.
Hiányzik valami? (Bővítmények)
A Joomla! már a telepítést követően is sok használható funkcióval rendelkezik, de lehetnek olyan elvárásaink az oldallal kapcsolatban, amelyeket az alaprendszer nem, vagy nem optimálisan képes kielégíteni. Megfelelő ismeretek birtokában akár magunk is írhatunk bővítményt a Joomla!-hoz, de ha bármilyen okból még sem ezt az utat járjuk, akkor rengeteg fejlesztő terméséből választhatunk.
A legcélszerűbb kiindulási pont a Joomla! Extensions Directory (JED). Az itt található bővítmények, kiegészítők száma több a cikk írásának idején 8 717 volt. A JED nemrégiben alapos ráncfelvarráson ment keresztül. A megfelelő bővítmény megtalálását áttekinthető katalógus, ajánlók, pontozás és egy nagyon részletes keresőrendszer segíti. A bővítményeknél megtalálható a fejlesztő, a funkciók rövid leírása, az esetleges hozzászólások, hivatkozások a fejlesztő, a bővítmény demo oldalához, és a dokumentációhoz. Jelzik azt is, hogy mennyien töltötték le, mikor került be a JED-be, és hogy mikor volt az utolsó frissítés. Könnyen azonosítható ikonok mutatják a verziókompatibilitást. Ugyancsak fontos információ, hogy fizetős, vagy ingyenes a licenc. Vannak olyan fejlesztők, amelyek egy bővítménynek elkészítik a szerényebb tudású ingyenes változatát is, a jobb képességű, fizetős változat mellett. Ez lehetőséget adhat a kevés kockázattal történő kipróbálásra. Az, hogy melyik kiegészítőnél mi található meg ezek közül, az változó, de a legfontosabb tudnivalók mindenhol megtalálhatók. Sok olyan bővítmény van, aminek a letöltéséhez regisztrálni kell a fejlesztő weboldalán.
A bővítmény letöltéseinek számából, az utolsó frissítés időpontjából, vagy a hozzászólások számából és az ott megfogalmazott véleményekből hasznos kiegészítő információkra tehetünk szert a kiszemelt bővítménnyel kapcsolatban.
A különböző neves, és kevésbé neves fejlesztők oldalain is rengeteg ingyenes és több-kevesebb pénzbe kerülő kiegészítő található. Ugyancsak se szeri, se száma a sablonokat kínáló oldalaknak. Erre is igaz, hogy készíthetünk magunk is ilyet, vagy beszerezhetünk ingyen, illetve pénzért készen. A jók - és nem csak a fizetősek - eléggé testre is szabhatók ahhoz, hogy ne legyen azonnal felismerhető, melyik sablont használjuk. Az óvatosság itt sem árt. Akár egy sablon, vagy más kiegészítő is lehet veszélyforrás. Ismeretlen bővítmény használata előtt tájékozódjunk. A JED erre is jó lehetőséget kínál. A hozzászólások, illetve a készítők reagálásai hasznos támpontot adhatnak.
Mindig frissen!
A Joomla! az 1.6 verziótól kezdve egyre jobban használható frissítőeszközöket kínál. A 2.5 verziótól felfelé pedig a Vezérlőpulton megjelent az alaprendszer és a bővítmények állapotát jelző két ikon. A megfelelőre kattintva gyorsan és egyszerűen frissíthető a rendszer, vagy a kiegészítők. Sajnos a rendszer nem tökéletes. Ha a tárhely szolgáltató nem engedélyez bizonyos PHP funkciókat, előfordul, hogy a rendszer naprakésznek mutatja magát, pedig jelent meg telepíthető frissítés. Az is fontos, hogy a bővítmények támogassák ezt a frissítési eljárást. Ha egy bővítmény hosszabb ideig nem frissül, célszerű a fejlesztő oldalán is ellenőrizni, vagy ha van ilyen lehetőség, akkor a bővítmény beépített frissítés ellenőrzőjével rákeresni, jelent-e meg újabb verzió. Vannak olyan bővítmények, amelyek csak a saját frissítési eljárásukon keresztül frissíthetők.
Természetesen továbbra sem árt a körültekintés. A frissítések telepítése előtt biztonsági mentést kell készíteni az adatbázisról és az állományterületről, a frissítés(ek) telepítése után pedig tesztelni a működést. A legoptimálisabb - különösen egy forgalmas oldal esetén, ahol nem jó, ha bármiért is le kell állni és vissza kell tölteni a frissítés előtti állapotot - ha rendelkezésre áll egy olyan környezet, ahol az éles rendszer másolatán tesztelni lehet a frissítéseket és a frissítés utáni működést. Ezt használva, az éles rendszerre már kipróbált javítások kerülhetnek. Egy ilyen környezetről szól a Joomla! 3.x telepítése saját gépen című cikk.
Menteni, menteni!
Nagyon fontos, hogy mindig legyen olyan mentésünk, amiből szükség esetén a lehető legkisebb veszteséggel helyre tudjuk állítani a webhelyünket. Jó esetben a tárhely szolgáltató is készít olyan mentéseket, amiket szükség esetén igénybe vehetünk. Ezenfelül nekünk magunknak is van lehetőségünk mentést készíteni az adatbázisról, vagy az állományterületről. Ezek mikéntje szolgáltatónként jelentősen eltérhet.
A Joomla! Extensions Directory-n több olyan bővítmény is található, amelyekkel magunk is készíthetünk a szolgáltatótól független mentéseket.
Ellenőrzések, trükkök
A JED-en és máshol is se szeri, se száma a különböző biztonsági szoftvereknek és szolgáltatásoknak, amelyeket szintén bevethetünk weboldalunk védelmében. Sajnos, több jól használható ezek közül pénzbe kerül, mégpedig esetenként nem is kevésbe. Ezt pedig vagy elbírja a büdzsé, vagy nem. Vannak azonban olyan megoldások is, amelyek nem kerülnek pénzbe, de hatásosak lehetnek.
Az egyik ilyen, hogy kísérjük oldalunkat, oldalainkat figyelemmel, ellenőrizzük rendszeresen, végezzünk vírusellenőrzést.
A további, szintén ingyenes lehetőségek közül kettőről ezen az oldalon is lehet olvasni az Elrejtett bejárat - JLSecure My Site, és az Egy hasznos apróság - Login Failed Log című cikkekben. Ezen túl további jó megoldások léteznek, a közeljövőben egy külön cikkben foglalkozom ezekkel.
Mi kell még?
A biztonsághoz tartozik még az általunk használt eszközök és környezet biztonsága is, mivel egy vírusfertőzés áldozatául esett számítógépről kezelve webhelyünket, magunk is megfertőzhetjük azt. A biztonsághoz szükséges a legális és naprakészen tartott operációs rendszer és felhasználói programok, valamint a hatékony és megbízható végpontvédelem, ami a vírusok, trójaik, kémprogramok, spamek ellen is megfelelő védelmet nyújt. Ez lehet akár egy csomag, akár több különálló program kombinációja. Ugyancsak lényeges a használt programok megfelelő, legális forrásból történő beszerzése. A nem legális letöltőoldalakon elérhető programok sok esetben tartalmaznak "extra meglepetést". Különösen igaz ez az operációs rendszerek és biztonsági szoftverek esetében. Egy fertőzötten telepített rendszer és/vagy biztonsági csomag akár hosszú időn át is "tisztának mutatkozhat", miközben mind a saját adatainkra, mind pedig a velünk kapcsolatba kerülők rendszereire és adataira nagy veszélyt jelentünk.
Az oldalunkat, tárhelyünket ne adminisztráljuk ismeretlen számítógépről. Ha valamiért erre kényszerülünk, a lehető legrövidebb időn belül - a saját gépünket, vagy más megbízható számítógépet használva - cseréljük az adminisztrátori jelszót.
Természetesen ez a cikk nem teljes és távolról sem tökéletes. De mivel fontos, a jövőben is foglalkozom majd a témával.
Köszönet az információkért és ötletekért, valamint további olvasnivalók a témában:
http://magazine.joomla.org/issues/issue-july-2012/item/805-simple-security-guide-part-1
http://magazine.joomla.org/issues/issue-aug-2012/item/820-simple-security-guide-part-2
http://magazine.joomla.org/issues/issue-jan-2013/item/1032-how-secure-is-your-joomla-website?
Nincs jogosultságod hozzászólás beküldésére. Kérlek jelentkezz be!