Prilikom izrade web sajta, potrebno je obratiti posebnu pažnju na to kako i u kojoj meri će on biti zaštićen od neželjenih upada. S obzirom da je Joomla jedan od najpopularnijih CMS sistema na svetu, sasvim je prirodno da će biti podložna i velikom broju različitih napada.

Hakeri će se maksimalno potruditi da nađu bilo kakve sigurnosne rupe i propuste, pa se od nas očekuje da istih „zapušimo“ što više. U nekim slučajevima, jedan propust može rezultovati značajnim gubitkom novaca, informacija i vremena. Uzimajući sve ovo u obzir, svakako je isplativo posvetiti se malo više zaštiti web sajta.

Kako ne biste učili na svojim greškama, ispratite u nastavku koje su to strategije za poboljšanje zaštite Joomle. Važno je napomenuti da ni svi ovi saveti ne predstavljaju 100% zaštite od hakera, zato što potpuno zaštićen sajt ne postoji (nažalost), ali navedeni koraci će svakako omogućiti kvalitetnu zaštitu od većine napadača.

1. Redovno ažuriranje Joomle, kao i njenih ekstenzija i plugina:

Metoda koja bi svakome ko se upušta u izradu web sajta trebala da bude visok prioritet – poput zaključavanja stana po izlasku.
Verzija Joomle ili njenih ekstenzija starijeg datuma predstavljaju otključan stan u koji će lopovi (hakeri) sa zadovoljstvom zakoračiti. Svaka nova verzija sa sobom nosi različite sigurnosne zakrpe. Detaljnije o razlozima za redovno ažuriranje, kao i posledicama koje nastaju usled nemara u ovoj oblasti, možete pročitati OVDE.
Za ažuriranje verzije Joomle, potrebno je koristiti „updates“ opciju na administrativnom panelu. Ako ste korisnik nekih ektsenzija, njih je takođe potrebno redovno ažurirati.

2. Korišćenje kvalitetnih lozinki:

Česta bezbednosna rupa nastaje time što se nismo dovoljno potrudili oko kvaliteta lozinke koju smo koristili za pristup našem Joomla sajtu. Vrlo je jednostavno „provaliti“ korisničko ime i lozinku koji nisu kvalitetno osmišljeni; ovo je poznato kao „Brute Forcing“. Od velike je važnosti da ne ostavljate „admin“ za korisničko ime, kao i neku generičku i jednostavnu lozinku. Ako haker uspe da pristupi admin delu web sajta, svaki segment zaštite je kompromitovan i može dovesti do značajnih gubitaka. Pametno je koristiti email adresu kao ID za nalog. Što se lozinke tiče, minimalna preporučena dužina bi bila 8 karaktera. Sve dalje, kao i korišćenje velikih i malih slova, brojeva i specijalnih karaktera je bolje i svakako poželjno kako bi lozinka bila kvalitetnija. Generatori lozinke predstavljaju jednostavno a kvalitetno rešenje za ovaj problem.

3. Redovan backup web sajta:

Ako bilo šta krene po zlu, backup nam čuva leđa. Potrebno je praviti redovan backup baza podataka i fajlova, kako bismo sa lakoćom mogli da nadoknadimo izgubljeno, ako do toga dođe.
Ovo se na jednostavan način može rečiti tako što će se vaš sajt nalaziti na hostingu koji pruža usluge redovnog backup-a. U suprotnom, može se koristiti neka od backup ekstenzija poput Akeeba Backup ili Easy Joomla Backup. One omogućavaju kreiranje automatizovanih backup-a i sadrže još neke korisne opcije.

4. Žaštita administrativne stranice:

Značajnu zaštitu na svom Joomla web sajtu možete postići tako što ćete zabraniti pristup administrativnom delu sajta. Dva najpopularnija načina za ovo su zamena URL-a admin stranice ili korišćenjem lozinke. Zaista je jednostavno promeniti URL admin stranice korišćenjem ekstenzija poput Admin Tools ili RSFirewall. Obezbeđivanje pomoću lozinke može se postići tako što ćemo je zaključati iz Cpanel-a. Odatle se može kreirati lozinka koja se unosi svaki put kada se pristupa admin stranici web sajta.
Takođe, može se zabraniti pristup preko IP adrese, a to se radi tako što se u .htaccess fajlu postojeća x.x.x.x adresa zameni sa vašom IP adresom, pa se izmene sačuvaju. Ovako će samo korisnici čija je IP adresa uneta u .htaccess fajl moći da pristupe admin stranici web sajta.

`Deny from ALL`
`Allow from x.x.x.x`

(U slučaju da vaš internet provajder nudi dinamičku, a ne statičku IP adresu, ova metoda možda nije odgovarajuća, zato što će sa svakom promenom IP adrese biti potrebno da se ažurira .htaccess fajl.)

5. Upotreba bezbednosnih ekstenzija:

Ukoliko ste zabrinuti za bezbednost vašeg sajta i želite da pojačate bezbednost, postoje brojne ekstenzije koje su vam na raspolaganju. One omogućavaju blokadu hakerskih napada i zatvaranje sigurnosnih rupa na sajtu. Iako postoji velik broj ekstenzija, potrebno je da se pre upotrebe informišete o njima; koje opcije nude, recenzije drugih korisnika, cenu i podršku.
Neke od popularnih, a kvalitetnih ekstenzija su: Admin Tools, AdminExile, jHackGuard, RSFirewall, JomDefender, OSE Antivirus, Brute Force Stop, Security Check.
Postoje besplatne ekstenzije za ovu namenu, ali je svakako pametnije koristiti PRO verzije jer, osim što pružaju više mogućnosti, redovno se ažuriraju i uglavnom pružaju bolju podršku. Prilikom korišćenja ovog tipa ekstenzija, potrebno ih je pravilno konfigurisati kako bi se web sajt „ponašao“ kako treba.

6. Jaka zaštita pomoću two-factor koda:

Pomoću two-factor koda za zaštitu, stavljamo još jednu bravu na naša vrata od stana. Ako neko uspe da otključa jednu bravu (pogodi lozinku) ostaje još jedna u vidu koda koji smo postavili kao dodatnu zaštitu. Bez tog koda, pristup nije moguć. Two-factor kod se takođe naziva OTP (One-time password).

7. Ne treba preuzimati Premium pakete za džabe:

Svesni smo šta znači baviti se nekim poslom sa ograničenim sredstvima, ali to ne znači da je pametno koristiti se premium ekstenzijama, pluginima ili drugim paketima za džabe sa lokalnih stranica.
Softver koji preuzimamo sa takvih mesta često može biti „zaražen“ nekim malicioznim dodacima pomoću kojih hakeri imaju pristup vašem backend delu web sajta. U ovom slučaju, javljaju se značajno veći gubici nego prilikom ulaganja u originalan softver.

8. Uklanjanje FTP-a iz Joomle:

FTP layer predstavlja veliku sigurnosnu rupu u Joomli, a u većini slučajeva je nepotreban i ugašen je prilikom instalacije. Ako iz bilo kog razloga omogućite FTP layer, preporučujemo da ga odmah nakon upotrebe ponovo onemogućite. Opcije za upravljanje FTP layer-om se nalaze u sekciji Global Configurafion klikom na server tab.

9. Korišćenje odgovarajućih permisija za fajlove i direktorijume:

Upravljanje permisijama je veoma bitan faktor prilikom korišćenja Joomle. Nikada nemojte omogućiti potpuni pristup ili permisiju 777. Pogrešan CHMOD može omogućiti pristup hakerima. Za foldere, koristite 755, za fajlove 644, a za configuration.php fajl koristite 444.

10. Odabir kvalitetnog hostinga:

Dobar hosting se plaća, ali značajno opravdava tu stavku time što nudi kvalitetne usluge u korist zaštite. Ovakav tip usluga koje dostupan kod besplatnih hosting sajtova. Nekada, zbog loše konfiguracije servera, bezbednost vašeg sajta može biti kompromitovana.
S tim rečeno, od velike je važnosti pažljivo odabrati hosting provajdera.

11. Implementacija SSL (https) sertifikata:

SSL omogućava dodatni sloj zaštite na web sajtu. Svaki put kada se korisnik prijavi na web sajt, njegovo korisničko ime i lozinka se šalju na server bez bilo kakvog šifrovanja i dešifrovanja. Korišćenjem SSL protokola, ID i lozinka su šifrirani (kriptovani) prilikom slanja na server.
Ako između vas i servera neko “uhvati” ovakav paket, on je neupotrebljiv bez dešifrovanja.

12. Izmena htaccess fajla:

Po instalaciji, Joomla sadrži fajl koji korisniku pomaže da se zaštiti od uobičajenih pretnji. Ovo nije omogućeno prilikom instalacije, a nalazi se u .htaccess fajlu koji je potrebno pronaći i preimenovati iz „htaccess.txt“ u „.htaccess“.

13. „Ubediti“ korisnike da koriste jake lozinke:

Za poboljšanje sigurnosti, dobra praksa je primorati korisnike da koriste kvalitetne lozinke. Neki od nas ne vole dugačke i komplikovane lozinke, ali navođenje korisnika da koriste lozinku od najmanje 8 karaktera vama znači mnogo, a za njih ne predstavlja značajan napor.
Takođe, korisnicima se može omogućiti nagoveštaj korisnicima da koriste drugačiji tip karaktera, poput velikih i malih slova, brojeva ili specijalnih karaktera.

14. Neka vaš sajt bude SEF (Search Engine Friendly):

Joomla URL nam mnogo govori o stranici koja se učitava, kao i njenom sadržaju. Korišćenjem ovih informacija, hakeri mogu da napadnu sajt. Omogućavanjem opcije Search Engine Friendly, možete maskirati svoje Joomla URL-ove od posetilaca. SEF komponenta sakriće sve osetljive informacije unutar URL-a od potencijalnog napadača.

URL bez SEF-a: https://www.imesajta.com/index.php?option=com_quix
URL sa SEF-om: https://imesajta.com/quix

15. Brisanje nepotrebnih ekstenzija:

Poput generisanja kvalitetne admin lozinke, ovo bi trebalo da bude „a must“ za svakoga ko se bavi izradom web sajta.
Kao administratori, verovatno ćete preuzimati različite ekstenzije u vidu izučavanja njihovih mogućnosti. Međutim, nije preporučljivo isprobavati svakakve ekstenzije bez znanja i prethodnog raspitivanja. Pored korisnih opcija, može sadržati i brojne sigurnosne propuste.
Korišćenjem ovakvih ekstenzija, vaš web sajt sa lakoćom može biti žrtva SQL injection napada od strane hakera. Zbog toga je važno da se broj ekstenzija svede samo na one koje su potrebne. Osim toga, sa smanjenjem broja ekstenzija doprinećete na brzini web sajta.

16. Redovno ažuriranje PHP-a:

Zastarela verzija bilo kojeg softvera može rezultovati slabijom zaštitom web sajta. Samim tim je potrebno proveriti da li vaš web sajt koristi aktuelnu verziju PHP-a. Ovo možete proveriti u „System Information“ u okviru System menija. Oficijelna podrška za PHP verzije pre 5.6.0 više ne postoji.
Dakle, ukoliko se na vašem sajtu nalazi bilo koja verzija ispod 5.6.0, preporučujemo da se time pozabavite što pre, kako biste izbegli bilo kakve probleme. Najnovija verzija PHP-a uvek dolazi sa prethodnim sigurnosnim zakrpama, pa je preporučljivo koristiti najsvežiju verziju.

Zaključak:

Pomoću ovih saveta, kao i malo više utrošenog vremena i novca, značajno možete doprineti sigurnosti vašeg Joomla web sajta. Uvek je bolje učiti na tuđim greškama, s toga se na Joomlinom forumu možete informisati o tome kolike su gubitke u vidu novca, vremena, a pogotovo živaca mnogi doživeli zbog nemara kada je u pitanju kvalitetna bezbednost web sajta.