2. Hvem er Janich?
‘Sikker’ erfaring
• Joomla Bug Squad
• Proaktiv udvikling gennem bl.a. Kunena
• Praktisk afprøvelse ved bl.a. sol.dk
• ”Fritidshacker” (er man vel altid lidt )
06/05 - 2013Udvidet [Joomla] Sikkerhed
3. Hvad er
06/05 - 2013Udvidet [Joomla] Sikkerhed
sikkerhedkonsekvensen af dårlig
4. Direkte
• ‘Defacement’
– Mistet omsætning?
• Tab af (bruger)data
– Erstatningsansvar/bøde?
• Tid på at komme ”op” igen
Indirekte
Konsekvenser
• Troværdighed
– Det er en tillidssag
• Risiko for at blive misbrugt
– I mod andre
• Tid på at komme ”op” igen
– Søgemaskiner ‘straffer’
06/05 - 2013Udvidet [Joomla] Sikkerhed
7. Size matters?
06/05 - 2013Udvidet [Joomla] Sikkerhed
Konkurrence:
Hvad investerer Facebook i sikkerhed hvert år?
8. (BEKLAGER - INGEN TAL FOR FACEBOOK )
Tilbage til Joomla!
06/05 - 2013Udvidet [Joomla] Sikkerhed
9. Forebyggelse – de 4 vigtigste områder
06/05 - 2013Udvidet [Joomla] Sikkerhed
Brugere Udvidelser
JoomlaServer
10. Server
• Drop de billigste udbydere
– Ofte dårlig support / ingen hjælp når det virkelig brænder
• Vælg en udbyder med nyere PHP version
– Bør som minimum opfylde Joomla 3 installationskrav og anbefalede indstillinger
– Gerne en udbyder med mod_security
• Tjek om din udbyder har backup for dig – men stol ikke på den
– Det er kun professionelle webhosts der tilbyder det, men kan være dyrt og besværligt
– Hold i stedet en evt uderbyderbackup til sidste udvej når alt andet er fejlet
• Tjek om din udbyder køre flere webhoteller under samme bruger
– Er der et hul på ét site, kan alle site være påvirket
• Benyt htaccess til at bekæmpe alm. Angreb
– Kun for advancerede: Google ‘Joomla master htaccess’
06/05 - 2013Udvidet [Joomla] Sikkerhed
11. Brugere
• Giv ikke kodeord ud!
– (Som minimum, skift kodeord efterfølgende!!!)
• Begræns administrator rettigheder (acl)
• Brugerindstillinger
– Aktiver recaptcha
– Sænk antallet af loginforsøg
– Send kodeord = nej
• Stærke kodeord
– Min. 8 karaktere
– STORT + småt + $ymb0l£r + t4l
– Test på http://www.cgonline.dk/pwd
06/05 - 2013Udvidet [Joomla] Sikkerhed
12. • To indbrud:
– 15. nov 2012
– 30. maj 2013
• 30.000 kodeord i alt
• Heraf 26.974 unikke
– (Langt færre dupletter end antaget)
• Mest benyttede kodeord:
1. 123456
2. 12345
3. 123456789
4. 12345678
5. 1mcpork (intern brug hos sex.dk)
6. 666666
7. 111111
8. Jensen
9. 1234567
10. Fisse (sandsynligvis site-specifik )
Case: Sex.dk
06/05 - 2013Udvidet [Joomla] Sikkerhed
13. Joomla
• Opdatér! Opdatér! Opdatér!
• Backup
– Husk at teste din backup før du skal bruge den!
• Hold rengøring engang i mellem
– F.eks. i /tmp/ og /cache/ mapperne
• Beskyt administrator
– F.eks. vha. jSecure eller manuelt med HTTP Auth
• Evt. brug en ”waf” (web application firewall)
– Bør ikke være nødvendigt for et opdateret site
– De fleste er kommercielle
– Eksempler: OSE Anti-BruteForce™ plugin - jHackGuard - RSFirewall!
06/05 - 2013Udvidet [Joomla] Sikkerhed
14. Udvidelser
• Er oftest synderen for hackede sites
• Deaktiver og afinstaller ubrugte / unødvendige udvidelser
• Hold dem opdateret – Eller drop dem!
• Brug JED og læs reviews
• Vær ærlig!
– Der er mange rapporter om pirat-udvidelser indeholdende ondsindet kode / virus
06/05 - 2013Udvidet [Joomla] Sikkerhed