Przeglądając zasoby internetu w poszukiwaniu ciekawostek ze świata Joomla natknęliśmy się na genialny tekst autorstwa Brada Bakera - "Top Ten Stupidest Joomla! Administrator Tricks". Tekst powstał w oparciu o posty z forum, które jak pisze autor artykułu są smutne, ale niestety prawdziwe.
Oto polska adaptacja tego tekstu (tłumaczenie: Marek Dylewicz):
10. Wybierz najtańszego z możliwych dostawców hostingu, utrzymującego na swoich serwerach tysiace stron WWW, z których największy ruch generują serwisy porno.
9. Nie trać czasu na wykonywanie regularnych kopii zapasowych. Może administrator Twego serwera hostingowego kiedyś Ci pomoze.
8. Nie zawracaj sobie głowy dostrajaniem Joomli i PHP pod kątem bezpieczeństwa. Przecież instalacja była debilnie prosta! Jak reszta mogłaby być zła? Martw sie o szczegóły jedynie wtedy, jak wystąpi jakiś problem.
7. Używaj tego samego loginu i hasła do Twego konta w eBanku, do Panelu Administratora Joomla, konta w sklepie internetowym, konta poczty elektronicznej itp. Hej, a kto ma czas spamiętać tyle haseł? Jakkolwiek by nie było, odkąd przestałeś zmieniać hasła o ileż łatwiejsze jest używanie tych samych danych zawsze i wszędzie.
6. Zainstaluj swój nowy, śliczny oparty o Joomlę serwis. Świętuj dobrze wykonaną robotę i przestań się martwić o cokolwiek. A już po wszystkim, skoro nie robisz innych zmian, to co może pójść nie tak? (Podpowiedź: bardzo dużo).
5. Rób wszystkie aktualizacje i poprawki na serwerze "produkcyjnym", na żyjącym serwisie. Kto by tam potrzebował osobnego miejsca na testowanie i rozwój aplikacji? Jeśli jakaś instalacja się nie powiedzie - po prostu odinstaluj niedziałający składnik w nadziei ze wszystko wróci do normy.
4. Ufaj wszystkim rozszerzeniom pisanym przez firmy czy osoby trzecie i instaluj wszystkie wypasione wodotryski, jakie tylko znajdziesz w sieci. Ktoś był wystarczająco inteligentny, żeby napisać rozszerzenie do Joomli i na pewno stworzony przez niego kod jest na tyle perfekcyjny, że będzie blokować wszystkie próby exploitów teraz i na wieki. W końcu wszystkie te dodatki są utrzymywane za darmo przez wielkodusznych wolontariuszy o dobrych sercach, którzy na bank wiedzą co robią.
3. Nie trać czasu na aktualizację Joomli do najnowszej wersji. Przecież póki co wszystko gra! Tak czy siak - za dużo byłoby z tym roboty.
2. Kiedy haker zaatakuje Twój serwis, zacznij siać panikę na forach dyskusyjnych i załóż nowy wątek z nikomu nieznanym tytułem "Pomocy! Hakerzy włamali mi się na stronę Co robić!?". Bądź pewien, że nie podałeś , której to przestarzałej wersji Joomla oraz innych składników używasz.
1. Kiedy Twój serwis padnie ofiarą hakerów, skasuj wszystkie podmienione przez nich pliki i udawaj że już wszystko jest jak dawniej. Nie przeglądaj logów, nie zmieniaj haseł, nie kasuj zawartości swego serwisu w celu przywrócenia go ze sprawdzonej kopii zapasowej, nie wykonuj żadnych innych paranoidalnie przesadnych akcji. Kiedy napastnik wróci do Ciebie następnego dnia krzycz głośno "Znów hakerzy zepsuli mi stronę!" i że to wszystko wina Joomli. Zignoruj fakt, że usunięcie podmienionych plików to nawet nie jest pierwszy krok w złożonym procesie przywrócenia zaatakowanego serwisu do stanu pełnej używalności.
Czy to wszystko jest na poważnie?
Tak! Administrowanie serwisem opartym na Joomli jest łatwe, ale wymaga "trochę" zaangażowania się administratora w tę czynność.
Jeśli chcesz dowiedzieć się więcej na temat bezpieczeństwa serwisu zbudowanego z pomocą Joomli, zapoznaj się z Security FAQ (po angielsku) dostępnym tutaj.
Przedruk za zgodą autora
Źródło: Brad Baker