A biztonság egy széles körű és gyorsan változó terület. Egyetlen dokumentum sem tudja teljeskörűen lefedni. Ez az ellenőrzőlista két célból készült:

1. Felhívja a figyelmed fontos kérdésekre
2. Útbaigazít, honnan szerezhetsz még több ismeretet

Nem minden biztonsági technika alkalmazható mindkét Joomla! verzióra. Ha az adott technika csak egy Joomla! verzióra érvényes, kis képpel jelöljük, például:

Register Globals

Joomla 1.0 Natív Állítsd a register globals emulációt off-ra (kikapcsolt).

Bővítmények

Joomla 1.5 Natív Hogy kihasználd az új verzió nyújtotta biztonsági tulajdonságokat, bizonyosodj meg róla, hogy csak natív 1.5-ös külső bővítményeket használsz.

A bővítményeket biztonságos oldalakról töltsd le, és hasonlítsd össze a fájl MD5 kódját, hogy felderítsd a letöltési hibákat. (Ez a javaslat mindkét verzióra vonatkozik, így nem használjuk a kompatibilitásra vonatkozó kis képet.)

Először ezt olvasd el!

Semmi sincs ingyen

Ne hagyd, hogy megtévesszen a Joomla! díjat nyert könnyű használata. Egy biztonságos dinamikus webhelyet fenntartani a mindenki számára elérhető interneten nem is olyan könnyű. A megfelelő biztonság folyamatos éberséget és erőfeszítést igényel. 

Nincs egy helyes mód

A modern webrendszerek bonyolultságának és sokféleségének köszönhetően a biztonság nem oldható meg egyetlen, mindenki számára megfelelő megoldással. Neked, vagy valakinek, akiben megbízol, ismernie kell a szerver-infrastruktúrát, hogy helyes biztonsági döntéseket hozz. 

A tapasztalatot semmi sem helyettesíti

Hogy biztosítsd webhelyed biztonságát, valódi tapasztalatokat kell saját magad szerezned (melyek között lesz majd keserű is…), de megteheted ezt másoktól is.

Emelkedj a tömeg fölé

A biztonsági fórumok tömve vannak a „Segítség! Feltörték az oldalam!” tárgyú hozzászólásokkal olyan felhasználók tollából, akik nem követik a biztonsági előírásokat. Ha már úgy döntesz, hogy tanulmányozod a biztonságról szóló dokumentumokat, mint ez is, gratulálunk, már a tömeg fölé emelkedsz. 

Nem olyan nehéz, mint amilyennek látszik

Az alábbi ellenőrzőlista ijesztőnek tűnhet, de nem szükséges egyszerre foglalkoznod minden részével. Ahogy szép lassan megismerkedsz a nyílt forráskódú webfejlesztés eszközeivel, mint például a GNU/Linux, Apache, MySQL, SQL, PHP, HTTP, CSS, XML, RSS, TCP/IP, FTP, Subversion, Javascript, Joomla!, finomítani tudod majd a biztonsági taktikáidat.

Minden komplex, dinamikus és nyílt rendszernek rengeteg hibafelderítési és javítási módra van szüksége. A weboldalak sem működnek másképp. A nagyfokú biztonság mozgó célpont. A ma szakértője a holnap áldozata lehet. Üdvözlünk a játékban…

Indulás

Készen állsz?

1. Képes vagy adminisztrálni egy dinamikus, éjjel-nappal üzemelő, az egész világ által elérhető, adatbázissal összekapcsolt, interaktív, felhasználó-hitelesítéses webszervert?
2. Van időd és forrásod, hogy reagálj a folyamatosan megjelenő internetes biztonsági kérdések áradatára? A 10 legbutább adminisztrátori fogás tragikomikus tükröt tart, hogy mit csinálhatunk rosszul. Ne kövesd el ezeket! Attól függően, hogy most milyen tapasztalatokkal rendelkezel, a legbutább fogások olvasása vagy nevetésre, vagy sírásra késztet majd…

Tájékozódj folyamatosan a biztonsági kérdésekről

A webszerverek bonyolultságából adódóan újabb és újabb biztonsági réseket fedeznek fel. Hogy tájékozott maradj, iratkozz fel a Joomla! Biztonsági bejelentések témájára angolul vagy magyarul.

Olvasd el a GyIK-et

A Joomla! Biztonság fórumában található leghasznosabb témákat Biztonság és teljesítmény GyIK-ké alakították. Ezen lista bizonyos elemeit részletesebben megtalálod itt.

Tanulj a haladóktól

Nézd meg, hogy csinálják a nálad tapasztaltabbak.

Válassz minőségi tárhelyszolgáltatót
A legfontosabb döntés

Talán egyetlen kérdés sem olyan döntő a weboldalad biztonsága szempontjából, mint a tárhelyszolgáltató és szerver kiválasztása. Azonban a szolgáltatói lehetőségek és beállítások sokfélesége miatt nem lehetséges teljes listát sem nyújtani ezekről minden szituációhoz. Ez egy elfogulatlan ajánlott szolgáltatók listája, akik egy hagyományos Joomla! oldal minden biztonsági követelményét teljesítik. (A magyar lista még várat magára…)

A megosztott szerver kockázatai

Ha kis költségvetésből dolgozol és az oldalaid nem továbbítanak szigorúan bizalmas információt, egy megosztott szerver megteszi, de meg kell értened az elkerülhetetlen kockázatokat. Az alábbi tippek segítenek a webhely biztonságossá tételét megosztott szervereken is.

Kerüld a hanyag szerverbeállítást

Hogy felnyissuk a szemed, olvasd el ezt a beszámolót (angolul) több ezer olyan webhelyről, amely lehetővé tette a Google-nek, hogy beindexelje a phpinfo() eredményét. Te ne kövesd el ezt a hibát! A beszámolóban riasztó statisztikát találhatsz azon webhelyek arányáról, amelyek helytelen beállításokat alkalmaznak, mint például register_globals ON, vagy az open_basedir-t egyáltalán nem állítják be. Apropó, ha a phpini és register_globals kifejezések ismeretlenek számodra, talán még nem vagy kész arra, hogy biztonságosan adminisztráld weboldalad.

Állíts fel egy tesztelő-fejlesztő környezetet
Fejlessz saját gépen, majd telepíts a netre

Fejleszd és teszteld az oldalad helyi gépen. A Joomla! telepítése helyi gépre egyáltalán nem olyan nehéz, mint amilyennek tűnik, a gyakorlással pedig az önbizalmad is nő. Szükséges hozzá egy helyi szerver telepítése.

További tippek haladóknak:
Használj IDE-t

Fontold meg egy Integrált Fejlesztői Környezet (IDE) használatát.

Használj verziókövető rendszert

Tedd magad képessé arra, hogy vissza tudd állítani a weboldalad egy korábbi verzióját egy modern verziókövető rendszer használatával, mint például a CVS vagy Subversion.

További javasolt eszközök…

Forrás: wiki.joomla.org.hu