Admin Tools Gebruikers Handleiding - AkeebaBackup.com

Recommendations

Info

Directe bestandsinjectie blokkering (DFI Schild) Uploads scanner (Upload Schild) Anti spam filtering gebaseerd op slechte woorden lijst Verbergen / Aanpassen generator metatag Genereer eigen metatag Log beveiligingsuitzonderingen Admin Tools Gebruiken Sommige hackers proberen kwetsbare componenten te verleiden tot het laden van willekeurige bestanden. Afhankelijk van het kwetsbare component, wordt het bestand ofwel letterlijk uitgevoerd of geparsed als een PHP bestand. Dit laat aanvallers toe gevoelige informatie over uw site openbaar te maken, of kwaadaardige code te uploaden naar uw site en uit te voeren via een andere kwetsbare vector, bijvoorbeeld een ongefilterde upload van uitvoerbare PHP code. Wanneer deze optie is ingeschakeld, zal Admin Tools zoeken in de request parameters naar iets dat lijkt op een pad. Als er een wordt gevonden, wordt deze gescand. Als het blijkt PHP code te bevatten, wordt het verzoek afgewezen. Wanneer deze optie is ingeschakeld, zal Admin Tools alle bestanden die zijn geüpload door Joomla! proactief scannen. Als één van deze bestanden zelfs maar één enkele regel PHP code bevat, wordt het verzoek geblokkeerd. Dit kan sommige soorten erg gevaarlijke aanvallen voorkomen, zoals het uploaden van kwaadaardige PHP code verpakt in avatar afbeeldingen. Let wel dat niet alle servers deze functie ondersteunen. Als de geüploade bestanden map wordt geblokkeerd door 'open_basedir' restricties, zal er geen scanning plaatsvinden. Bij twijfel, vraag uw host of ze 'open_basedir' restricties hebben die de toegang tot de PHP upload map blokkeren. Als de host bevestigend antwoord, zal deze Admin Tools functie niet werken, tenzij deze beperking wordt opgeheven. Warning NIET ALLE COMPONENTEN STAAN ADMIN TOOLS TOE OM HUN UP- LOADS TE SCANNEN! Sommige componenten maken geen gebruik van Joomla!'s index.php toegangspunt bestand. In plaats daarvan gebruiken ze hun eigen toegangspunt bestand. Aangezien deze uploads niet via de Joomla! toepassing gaan, zal de Admin Tools code niet worden uitgevoerd en deze geüploade bestanden worden niet gescand. In dit geval, als de component kwetsbaar is bevonden, is uw website nog steeds in gevaar. Wij stellen voor het gebruik van dergelijke componenten vermijden. Hoe weet u dat? Dat is eenvoudig. Als u gebruik maakt van de front-end bescherming optie van .htaccess Maker en u moest een uitzondering voor een component toevoegen, maakt het geen gebruik van Joomla!'s index.php en is in potentie kwetsbaar voor dit soort code upload aanvallen. Wanneer ingeschakeld, worden alle aanvragen die ten minste één woord uit de slechte woorden lijst bevat (apart geconfigureerd, zie de volgende alinea's) geblokkeerd. Standaard is de slechte woorden lijst leeg, u moet het configureren van uw site afstemmen op de behoeften. Een goed idee is om de farmaceutische, luxe horloges en schoenen merknamen te nemen, omdat dit het merendeel van commentaar en contact spam op websites is. Alle Joomla! installaties stellen de meta-tag generator tag in, een stukje HTML code in de header van alle pagina's, om bekend te maken dat uw site op Joomla! draait. Deze informatie wordt gecached door zoekmachines en wordt gebruikt door de aanvallers om te bepalen of uw site op Joomla! draait bij het zoeken naar potentiële doelwitten. Het uitschakelen van de generator tag vereist normaal het wijzigen van Joomla! core bestanden. In plaats daarvan kunt u deze optie inschakelen en een aangepaste waarde ingeven voor de generator tag in de volgende optie. Wees inventief! Gebruik iets raars, zoals 'Een miljoen apen met typemachines' of 'loop op water', of door het toekennen van de naam van een andere CMS, zoals "Drupal" of "WordPress". Als de vorige optie is ingeschakeld, is dit wat de generator meta tag waarde zal zijn. Voorgesteld wordt om deze optie in te schakelen. Wanneer ingeschakeld, alle mogelijke inbreuken op de beveiliging —geblokkeerd door Admin Tools— zullen worden vastgelegd in de database en ter beschikking worden gesteld onder de Log beveiligingsuitzonderingen tool. 35
E-mail naar dit adres bij beveiligingsuitzonderingen Sta toegang tot Joomla! extensies installer toe Bewerken backend gebruikers eigenschappen uitschakelen X-Inhoud codering door HTTP header inhoud voor gzip compressie X-Gedreven HTTP header voorrang geven (PHP kan als leeg worden getoond) Verwijder alle voorkomende tekst 'Joomla' van de uitvoer Admin Tools Gebruiken Het inschakelen van deze optie zal ook een bestand genaamd admintools_breaches.log in uw website's logs map. Dit bevat alle debug details die Admin Tools detecteerd wanneer het een 403 error betreft. Voeg dit log bestand, of tenminste dat deel dat relevant is voor de 403 error pagina die u ontvangt, bij uw verzoek om ondersteuning, om u beter van dienst te kunnen zijn. Hou er rekening mee dat uw logs map beschrijfbaar MOET zijn om het logbestand te kunnen produceren. Vul een e-mail adres in waar een melding naar wordt verstuurd wanneer er een beveiligingsuitzondering op uw website plaats vind. Een "Beveiligingsuitzondering" is alles wat Web Applicatie Firewall triggert. Dit is handig om een waarschuwing vooraf te krijgen in het geval een bot probeert om een reeks aanvallen op uw website uit te voeren. Deze opties bepaalt wie toegang heeft tot Joomla!'s extensies installer. Als u zich hier nog niet van bewust bent, zowel Super Administrators als regelmatige Beheerders hebben toegang tot deze optie. Gezien het feit dat de extensies installer kan worden gebruikt om uitvoerbare code in te voeren, en database SQL commando's uit kan voeren op uw website, kan deze optie worden benut door insider aanvallen. In feite, hoeft een potentiële aanvaller slechts een Administrator account te compromitteren om "eigenaar" (wreck havoc on) van uw site te worden. Het Joomla! beveiligingsteam is zich bewust van deze claim, compleet met gedetailleerde instructies die deze techniek demonstreren, maar toch we hebben besloten om het af te doen als een "non issue". Ik ben 'liever safe dan sorry' en ik wed dat u dat ook wilt. Dit is de reden waarom deze optie bestaat en de volgende mogelijke instellingen heeft: • Administrators en hoger (standaard). Zowel Administrators als Super Administrators hebben toegang tot de Joomla! Extensies Installer. Dit is het standaard, onveilige, Joomla! gedrag. • Alleen Super Administrators. Administrators hebben geen toegang tot de extensies installer, alleen Super Administrators hebben toegang. Dit is de aanbevolen instelling. • Niemand. Volledig vergrendelen van de extensies installer, niemand heeft toegang, tenzij deze optie wordt gewijzigd in een lagere instelling. Wanneer ingeschakeld, zullen pogingen de instellingen van een bestaande of een nieuwe manager te wijzigen, of het maken van een nieuwe Administrator of Super Administrator account mislukken. Wanneer u de GZip compressie inschakelt in de Algemene Configuratie van uw website, voegt Joomla! een onzichtbare HTTP header met reclame over haar naam toe. Hoewel u deze niet ziet, kunnen aanvallers met hun tools het wel zien. Ze kunnen eruit afleiden dat uw site een potentieel doelwit is voor hun aanvallen. Hier iets anders invoeren zal de scan tools voor de gek houden en aanvallen tegen gaan. Wees creatief als het op het verzinnen van een tekst gaat! Net als Joomla!, PHP is 'hoofd over klif' in het ijdelheid spel. Alle PHP sites bevatten een onzichtbare HTTP header reclame, niet alleen het feit dat u PHP draait, maar zelfs de PHP versie die u gebruikt! Dit is waardevolle informatie om een potentiële aanvaller, vooral als uw host een verouderde versie van PHP (FYI, dat is een angstaanjagende 90% van de live hosts onder onze gebruikers) heeft. Wees creatief! Gebruik iets geks en onverwachts. Gebruik deze optie met UITERSTE VOORZICHTIGHEID. Wanneer ingeschakeld, zal dit alle voorkomende gevallen van de woorden "Joomla!" en "Joomla" strippen uit de HTML uitvoer van uw webpagina's. Als uw site naam, map naam of een SEF URL pad het woord "Joomla" bevat zal het uw website breken. Dit betekent ook dat als u probeert deze optie te gebruiken met een site die gebruik maakt van de standaard Joomla! voorbeeld inhoud, u op ram koers ligt en een gebroken 36
Page 1 and 2: Admin Tools Gebruikers Handleiding
Page 3 and 4: Table of Contents 1. Aan de slag ..
Page 5 and 6: Aan de slag • Geographische blokk
Page 7 and 8: Aan de slag nauwelijks verhulde pog
Page 9 and 10: Aan de slag onder de root van uw si
Page 11 and 12: Chapter 2. Admin Tools Gebruiken 1.
Page 13 and 14: Admin Tools Gebruiken fout is met u
Page 15 and 16: Admin Tools Gebruiken draait is all
Page 17 and 18: Admin Tools Gebruiken Ik zie veel J
Page 19 and 20: Admin Tools Gebruiken Als u op de '
Page 21 and 22: Admin Tools Gebruiken verbinding mi
Page 23 and 24: Admin Tools Gebruiken • Opslaan z
Page 25 and 26: 6.2. Serverbeveiliging Admin Tools
Page 27 and 28: Admin Tools Gebruiken Tenslotte heb
Page 29 and 30: Admin Tools Gebruiken genereren. Aa
Page 31 and 32: Tip Admin Tools Gebruiken Als u pro
Page 33 and 34: Leid www en niet www adressen om De
Page 35 and 36: Admin Tools Gebruiken Door te klikk
Page 37: SQLi Schilt, bescherming tegen SQL
Page 41 and 42: Minimaal te blokkeren dreigingswaar
Page 43 and 44: Admin Tools Gebruiken van het 'WAF
Page 45 and 46: • Een simpele IP range, b.v.b. 19
Page 47 and 48: Admin Tools Gebruiken Een firewall
Page 49 and 50: Admin Tools Gebruiken • Het moet
Page 51 and 52: Admin Tools Gebruiken Joomla! 1.6 t
Page 53 and 54: Admin Tools Gebruiken Bij het toevo
Page 55 and 56: Admin Tools Gebruiken Ik ben mijn w
Page 57 and 58: Admin Tools Gebruiken De "System -
Page 59 and 60: Appendix A. GNU General Public Lice
Page 61 and 62: GNU General Public License versie 3
Page 69 and 70: Appendix B. GNU Free Documentation
Page 71 and 72: GNU Free Documentation License If t
Page 73 and 74: GNU Free Documentation License 7. A

Admin Tools Gebruikers Handleiding - AkeebaBackup.com

Create successful ePaper yourself

Delete template?

Save as template?