Documente Academic
Documente Profesional
Documente Cultură
html
Faa um backup total ou apenas dos ficheiros 1 x por semana ou 1 x por ms e sempre que instalar uma extenso, componente, template ou fizer qualquer alterao no cdigo. Guarde pelo menos as ltimas 4 cpias. Ou guarde-as todas. Se for como eu, guarda tanto lixo no computador, porque no guardar o que realmente importante?! Se vai guardar vrias cpias, organize as pastas de modo que fique claro a data de cada cpia de segurana. Faa um backup da base de dados com a frequncia que as actualizaes do seu site justificarem. Se o seu site for actualizado diariamente, faa actualizaes dirias da base de dados. Ou at mais do que 1 por dia. Se no for actualizado com tanta frequncia, nesse caso, ser voc a pessoa melhor informada para decidir com que frequncia que deve efectuar cpias da base de dados. No faa cpias totais todos os dias! Vai estar a abusar dos recursos do servidor e francamente se fizer isso merece um pontap no traseiro! No guarde as cpias no seu alojamento. Descarregue as cpias para o seu PC e no custa nada ter tambm um backup dos ficheiros importantes que guarda no seu PC. Se o seu site for valioso, teste a integridade dessas cpias ocasionalmente. D trabalho, no d. Pois d. Mas a responsabilidade pelas cpias de segurana e pela verificao da integridade das mesmas compete ao webmaster. E ou voc tem oramento para contratar e pagar ao webmaster para ter este trabalho ou voc que vai ter que faz-lo. Com prtica, d menos trabalho
Mude as permisses deste novo ficheiro para 444. Se precisar de mudar as configuraes, faa o manualmente no umnomequalquerqueeuseiemaisninguemsabe.php.
permisso a qualquer utilizador naquele servidor para escrever nessas pastas. E isso representa um risco em termos de segurana. Quando o php corre como cgi, porque executado pelo SEU utilizador e no pelo utilizador nobody ou apache, voc j no precisa de dar permisses ao utilizador annimo. Logo, APENAS o seu utilizador, naquele servidor, ter permisses de escrita nas suas pastas. Nesse caso, sempre que ler que tem que dar permisses 777 a determinada pasta, IGNORE essa instruo e d apenas permisses 755. E como que poder saber se o php corre como mdulo do apache ou como cgi? Pergunte empresa que lhe presta o servio de alojamento. Ou coloque este cdigo num ficheiro php, por exemplo: phpinfo.php
Abra o ficheiro no browser e veja voc mesmo: www.oseudominiolindo.com/phpinfo.php Como gerir o risco, se o servidor correr o php com o utilizador nobody ou apache? Sempre que tiver que instalar alguma coisa, mude as permisses das pastas necessrios para 777 e depois, dentro da pasta do joomla, execute estes comandos atravs de ssh:
find . -type f -exec chmod 644 '{}' \; find . -type d -exec chmod 755 '{}' \;
Se no tiver acesso ftp, coloque este cdigo num ficheiro php, exemplo permissoes.php, e abra esse ficheiro no seu browser: www.nomedoseudominio.com/permissoes.php
<? shell_exec("find . -type d -exec chmod 755 {} \\;"); shell_exec("find . -type f -name '*.php' -exec chmod 644 {} \\;"); ?>
insegura. Preste ateno a este ponto. A password deve ter letras maisculas, minsculas, nmeros e caracteres especiais. No precisa de ser muito extensa. Utilize por exemplo 3 letras maisculas, 3 nmeros, uma letra minscula e um caracter especial. Exemplo: M82+EhY2 Verifique tambm se a empresa de alojamento tem alguma defesa contra brute force attacks. Se quiser, pode tambm proteger a pasta administrator com username e password. Se tiver acesso ao cpanel, tem uma opo chamada Password Protect Directories. Assim fica com uma dupla proteco, dado que para aceder zona de administrao, o hacker ter que efectuar um primeiro login para aceder pasta administrator, antes de efectuar o login normal no Joomla. Mas, no utilize esta dupla proteco para justificar a instalao de meia dzia de extenses.
7. O Malando Do Google
De que forma que os hackers decidem atacar o seu site? O mtodo habitual simples de explicar. Descobrem por exemplo que uma determinada verso duma extenso est vulnervel e a forma de explorar essa vulnerabilidade e depois procuram no Google atravs do comando inurl: a assinatura dessa extenso. O resultado uma lista de sites vulnerveis e se o seu site estiver nessa lista, advinhe o que vai acontecer. Utilize um componente SEF (Eearch Engine Friendly) de modo a rescrever o seu url. Assim no aparecer naquelas listas e ter mais sucesso nas pesquisas que lhe interessam no Google, dado que o seu site ficar mais optimizado para o Google. Na prtica, o que acontece o seguinte: os urls do Joomla e das respectivas extenses por defeito dizem demasiado ao visitante sobre o que est instalado, que verses que esto instaladas, etc. Ao reescrever esses url, essa informao deixa de estar disponvel. E os hackers so, na maioria dos casos, tipos preguiosos. Se no fossem preguiosos, teriam um trabalho honesto.
A questo simples. Para entrar como administrador, necessrio advinhar o username e a password. Qualquer hacker sabe que por defeito existe um utilizador admin. Se mantiver este utilizador, o hacker j ter completado 50% do trabalho. Se alterar o utilizador, o hacker ter que advinhar a password, mas tambm o utilizador.