Joomla 5.2.2 Security & Bugfix Release
Joomla 5.2.2 je nyní k dispozici. Jedná se o bezpečnostní vydání pro Joomla 5.x.
Admin Tools - rady a zkušenosti
18. říj 2016 18:24 #128816
Ahoj vespolek, mám čerstvě zakoupeno Admin Tools a prokousávám se nastavením a všema možnostma. Pokud by se někdo chtěl podělit o zkušenosti, nebo přispět radou, budu moc rád.
Je nějaký standardní postup, jak s Admin Tools pracovat? Já se během těch pár dní zatím dopracoval k následujícímu modelu, přičemž vycházím ze základního nastavení instalace + instrukcí na webu Akeeba.
Nainstaluju Admin Tools, nastavím přístup do administrace pouze pro povolené IP, zapíšu IP adresy pro administrátory do whitelistu, vygeneruju .htaccess a upravím v něm všechno co mi na webu zablokoval, nechám si vyjet Kontrolu změn souborů, prohlédnu a pokud nenajdu nic podezřelého, označím vše jako bezpečné.
Současně mi s tím ale vyvstaly otázky...
1. - Lze se do administrace přihlašovat jinak, než se zápisem IP do whitelistu? I když po prvním přihlášení vymažu dočasně blokované adresy, tak pokud se nenapíšu do whitelistu, Admin Tools mě do administrace nepustí.
2. - Je rozumné mít na webu umístěný odkaz do administrace? Nenapomáhám tím různým robotům?
3. - V nastavení webového firewallu je možnost použití tajného URL pro administrátory. Zkoušel jsem to, ale po nastavení mi pak fungují dvě adresy, tajná i ta původní.
4. - Je nutné použít Ochranu administrace heslem, když mám přístup do administrace vázaný na IP ve whitelistu?
5. - Výpis kontroly souborů mi hlásí množství potenciálně nebezpečných souborů, všechno to jsou součásti běžných a vyzkoušených rozšíření, takže je všechny označím jako bezpečné. Speciálně Event Gallery ve výpisu vychází jako 100% ohrožení, díky parametru eval v kódu, ale důvěřuju výrobci komponenty, takže taky označuju jako bezpečné. Má laik, respektive neprogramátor, šanci rozeznat ve výpisu opravdu nebezpečný soubor?
6. - Krátce po instalaci mi začnou chodit emaily s upozorněním Security exception. Je to normální? 5 - 10 emailů k jednomu webu za den. Když si toto upozorňování v nastavení vypnu, neprošvihnu tím něco?
7. - Nový soubor .htaccess vygenerovaný z Admin Tools mi zablokoval několik rozšíření, převážně týkajících se obrázků, galerie. Něco z toho jsem vyřešil sám podle návodu, s něčím mi obratem a ochotně poradili na Akeeba supportu. Netuším nakolik je to riskantní či není, povolovat výjimky v přístupu k souborům a složkám, potřebným pro tyto rozšíření. Na supportu se tvářili jako že používání složky cache pro ukládání náhledů fotek není zrovna košer. Ale opět vycházím z toho, že pokud je to běžné rozšíření z Joomla Extensions, mělo by to být bezpečné... (poslední věta před hacknutím webu
K dalším nástrojům v Admin Tools jsem se zatím neprokousal, popravdě ani nevím jak je použít, tak budu rád za zkušenosti a rady.
Předem díky!
Je nějaký standardní postup, jak s Admin Tools pracovat? Já se během těch pár dní zatím dopracoval k následujícímu modelu, přičemž vycházím ze základního nastavení instalace + instrukcí na webu Akeeba.
Nainstaluju Admin Tools, nastavím přístup do administrace pouze pro povolené IP, zapíšu IP adresy pro administrátory do whitelistu, vygeneruju .htaccess a upravím v něm všechno co mi na webu zablokoval, nechám si vyjet Kontrolu změn souborů, prohlédnu a pokud nenajdu nic podezřelého, označím vše jako bezpečné.
Současně mi s tím ale vyvstaly otázky...
1. - Lze se do administrace přihlašovat jinak, než se zápisem IP do whitelistu? I když po prvním přihlášení vymažu dočasně blokované adresy, tak pokud se nenapíšu do whitelistu, Admin Tools mě do administrace nepustí.
2. - Je rozumné mít na webu umístěný odkaz do administrace? Nenapomáhám tím různým robotům?
3. - V nastavení webového firewallu je možnost použití tajného URL pro administrátory. Zkoušel jsem to, ale po nastavení mi pak fungují dvě adresy, tajná i ta původní.
4. - Je nutné použít Ochranu administrace heslem, když mám přístup do administrace vázaný na IP ve whitelistu?
5. - Výpis kontroly souborů mi hlásí množství potenciálně nebezpečných souborů, všechno to jsou součásti běžných a vyzkoušených rozšíření, takže je všechny označím jako bezpečné. Speciálně Event Gallery ve výpisu vychází jako 100% ohrožení, díky parametru eval v kódu, ale důvěřuju výrobci komponenty, takže taky označuju jako bezpečné. Má laik, respektive neprogramátor, šanci rozeznat ve výpisu opravdu nebezpečný soubor?
6. - Krátce po instalaci mi začnou chodit emaily s upozorněním Security exception. Je to normální? 5 - 10 emailů k jednomu webu za den. Když si toto upozorňování v nastavení vypnu, neprošvihnu tím něco?
7. - Nový soubor .htaccess vygenerovaný z Admin Tools mi zablokoval několik rozšíření, převážně týkajících se obrázků, galerie. Něco z toho jsem vyřešil sám podle návodu, s něčím mi obratem a ochotně poradili na Akeeba supportu. Netuším nakolik je to riskantní či není, povolovat výjimky v přístupu k souborům a složkám, potřebným pro tyto rozšíření. Na supportu se tvářili jako že používání složky cache pro ukládání náhledů fotek není zrovna košer. Ale opět vycházím z toho, že pokud je to běžné rozšíření z Joomla Extensions, mělo by to být bezpečné... (poslední věta před hacknutím webu
K dalším nástrojům v Admin Tools jsem se zatím neprokousal, popravdě ani nevím jak je použít, tak budu rád za zkušenosti a rady.
Předem díky!
18. říj 2016 20:09 - 18. říj 2016 20:15 #128818
Odpověď od Martin70
Zkušený uživatel
Po napadení webu v roce 2013 taky používám AdminTools, myslím si že je to slušný základ. Ale u spousty nastavení rovněž nevím, co přesně znamenají. Docela dobrá věc mi přijde geografická blokace, zvláště Ukrajina, Turecko, China, Bělorusko, apod. Akorát nevím, zda mohu blokovat Severní Ameriku kvůli robotovi google. I to hromadné nastavení práv souborů a složek je dobrá věc.
Občas mi přijde, že to blokovalo MUA Shield.
Občas mi přijde, že to blokovalo MUA Shield.
Poděkovali: Vráťa
18. říj 2016 20:19 - 18. říj 2016 20:21 #128819
Odpověď od zpetr
Zkušený uživatel
Neumím odpovědět na všechno také to zkoumám za pochodu.
1. zvolil jsem si raději dvojí přihlášení bo nesedím stále na jedné ip. Většinou když se něco přihodí jsem právě mimo.
2. asi ne i když roboti to projedou jak pro joomlu tak i pro worpress a podobné systémy. Takže už asi vědí kam.
3. nezkoušel jsem mám pocit bezpečí s dvojím přihlášením + silnější hesla.
4. viz bod 1
5. no babo raď když jsem měl soubory napadené( před admin tools) tak bylo v obsahu poznat i nezkušeným pohledem co tam nepatří. Většinou první instalace je čistá tak od ní se odrážím.
6. 10 mailu za den =pohoda. V nastavení sablony mejlů jde sloučit mejly např 5 za hodinu do jednoho. to je ještě potřeba v nastaveni firewallu zatrhnout (zaznamy a výkazy dole).
7. to se mi nepodařilu mám asi štestí snažím se používat minimum doplňků.
Ještě k tomu blokování pokud zůstane adresa uvedena jako událost (zaznamy bez. vyjímek) musí se máznout i tam nestačí ji vyhodit z dočasného blokování nebo blokovaných adres. Ona totíž je tím stále plněna podmínka pro to blokování. (tj třeba 3x za hodinu špatný login ban na den.)
Moc se mi líbí geo blok, když odfiltruju asii rusko ameriky, tak mám spoutu volného času odrážet ataky od francouzů a rumunů (v mém případě).
1. zvolil jsem si raději dvojí přihlášení bo nesedím stále na jedné ip. Většinou když se něco přihodí jsem právě mimo.
2. asi ne i když roboti to projedou jak pro joomlu tak i pro worpress a podobné systémy. Takže už asi vědí kam.
3. nezkoušel jsem mám pocit bezpečí s dvojím přihlášením + silnější hesla.
4. viz bod 1
5. no babo raď když jsem měl soubory napadené( před admin tools) tak bylo v obsahu poznat i nezkušeným pohledem co tam nepatří. Většinou první instalace je čistá tak od ní se odrážím.
6. 10 mailu za den =pohoda. V nastavení sablony mejlů jde sloučit mejly např 5 za hodinu do jednoho. to je ještě potřeba v nastaveni firewallu zatrhnout (zaznamy a výkazy dole).
7. to se mi nepodařilu mám asi štestí snažím se používat minimum doplňků.
Ještě k tomu blokování pokud zůstane adresa uvedena jako událost (zaznamy bez. vyjímek) musí se máznout i tam nestačí ji vyhodit z dočasného blokování nebo blokovaných adres. Ona totíž je tím stále plněna podmínka pro to blokování. (tj třeba 3x za hodinu špatný login ban na den.)
Moc se mi líbí geo blok, když odfiltruju asii rusko ameriky, tak mám spoutu volného času odrážet ataky od francouzů a rumunů (v mém případě).
Poděkovali: Vráťa
19. říj 2016 10:34 #128829
Odpověď od Cony
Moderátor
ad 1/ Možností je více, záleží na tom jak jste paranoidní Počínaje blokování administrace heslem, tajným parameterem (tj. aby se administrace spustila je třeba zadat např administrator?tajneheslo), vlastní adresou administrace (podobná funkčnost jako u tajného parametru), blokování času přístupu do administrace (tedy např. od půlnoci do 6 ráno tam nikdy nechodím), dvoufázové ověření atd... Osobně za nejdůležitější považuji nastavení "Blokování stálých útočníků" tj. např. po 3 výjimkách za minutu zablokovat na 15 minut a po třech takovýchto blokováních zablokovat IP na stálo. V kombinaci s "Považovat neúspěšné přihlášení za bezpečností výjimku" to zablokuje většinu pokusů o útok. Za zvážení pak stojí i možnost "Zakázat přihlášení super správců do veřejné části"
2/ Je to asi jedno, roboti opravdu obvykle jdou cíleně na adresu a vůbec neřeší jestli je tam Wordpress, Joomla nebo PHPMyAdmin, na druhou stranu tam odkazem dostanete i zvýdavce, který si řeknou, tak se zkusím přihlásit
3/ To je v pořádku, viz popis k tomu nastavení. Princip je takový, že pokud člověk zadá /tajneurl "odemkne" se mu adresa /administrator, a dál administruje již klasicky. Pokud zadá jen /administrator bez předchozího /tajneurl dojde k přesměrování na frontpage webu.
4/ Opět podle toho jak jste paranoidní
5/ Kontrola souborů je dobrá hlavně v tom, že Vám nahlásí změny. Tzn. pokud jí spustíte a najdete změněné soubory, kde jste si jistý, že jste nic neaktualizoval, je třeba zbystřit. Zda se jedná opravdu o škodlivý kód - na to už je asi potřeba opravdu nějakých znalostí, ale je to primárně vodítko. Nedocenitelné je to v okamžiku, kdy je web opravdu napaden - jednoduše si vyjedete napadené (změněné) soubory. Někdo si změny nechává kontrolovat automatem, a má tak každý den jistotu, že se nic neměnilo...
6/ Maily jsou vhodné hlavně zpočátku, aby jste si ověřil, že jste něco nepřekombinoval. Pak už je obvykle vypínám a jen kontroluji občas výpis v administraci. Dá se zapnout seskupování mailů, pak by jich mělo chodit míň.
7/ Čím míň výjimek tím samozřejmě líp. Obecně by rozšíření měla co nejvíce používat, právě kvůli bezpečnosti přístup přes framework. To že je rozšíření na JED ještě není zárukou toho, že je dobře napsané. Použití cache pro obrázky je trochu sporné. Hodně pluginů právě cache používá, už jen proto, že se dá z administrace pročistit kliknutím na tlačítko a nechat tak náhledy přegenerovat. Nicméně je pravda, že hodně lidí kolem Joomly tvrdí, že na náhledy by měl být adresář /media.
2/ Je to asi jedno, roboti opravdu obvykle jdou cíleně na adresu a vůbec neřeší jestli je tam Wordpress, Joomla nebo PHPMyAdmin, na druhou stranu tam odkazem dostanete i zvýdavce, který si řeknou, tak se zkusím přihlásit
3/ To je v pořádku, viz popis k tomu nastavení. Princip je takový, že pokud člověk zadá /tajneurl "odemkne" se mu adresa /administrator, a dál administruje již klasicky. Pokud zadá jen /administrator bez předchozího /tajneurl dojde k přesměrování na frontpage webu.
4/ Opět podle toho jak jste paranoidní
5/ Kontrola souborů je dobrá hlavně v tom, že Vám nahlásí změny. Tzn. pokud jí spustíte a najdete změněné soubory, kde jste si jistý, že jste nic neaktualizoval, je třeba zbystřit. Zda se jedná opravdu o škodlivý kód - na to už je asi potřeba opravdu nějakých znalostí, ale je to primárně vodítko. Nedocenitelné je to v okamžiku, kdy je web opravdu napaden - jednoduše si vyjedete napadené (změněné) soubory. Někdo si změny nechává kontrolovat automatem, a má tak každý den jistotu, že se nic neměnilo...
6/ Maily jsou vhodné hlavně zpočátku, aby jste si ověřil, že jste něco nepřekombinoval. Pak už je obvykle vypínám a jen kontroluji občas výpis v administraci. Dá se zapnout seskupování mailů, pak by jich mělo chodit míň.
7/ Čím míň výjimek tím samozřejmě líp. Obecně by rozšíření měla co nejvíce používat, právě kvůli bezpečnosti přístup přes framework. To že je rozšíření na JED ještě není zárukou toho, že je dobře napsané. Použití cache pro obrázky je trochu sporné. Hodně pluginů právě cache používá, už jen proto, že se dá z administrace pročistit kliknutím na tlačítko a nechat tak náhledy přegenerovat. Nicméně je pravda, že hodně lidí kolem Joomly tvrdí, že na náhledy by měl být adresář /media.
Poděkovali: Vráťa
04. led 2017 14:45 #129745
Odpověď od Martin70
Zkušený uživatel
Nevíte někdo, kde v AdminTools přenastavím toto?: Nemáte oprávnění použít k přímému přístupu na stránky tento odkaz (#128). Děje se to při opakovaném pokusu editovat stejný článek. A já se musím odhlásit z administrace, znova přihlásit a zas to jde. Prostě uložím článek a pokud ho chci znovu otevřít, nejde to. Ale ihned po odhlášení a přihlášení (což jsou cca 2 sec.) to zase jde. Ale zas jen jednou. Pokud mezi tím edituju jiné články tak to pak myslím jde. Prostě nejde stejný článek otevřít 2x ihned za sebou.
Tuším že to bude někde buď v nastavení Firewall nebo event. htaccess ale jsou tam mraky položek a nevím, která to je.
Děkuji. Martin
Tuším že to bude někde buď v nastavení Firewall nebo event. htaccess ale jsou tam mraky položek a nevím, která to je.
Děkuji. Martin
04. led 2017 14:51 #129746
Odpověď od Cony
Moderátor
To nemá s admin tools co dělat, je to nějaký problém Joomly, občas na to někde narazím, ale zatím se mi nepovedlo zjistit pravidlo kdy se to děje.