Udvidet Joomla Sikkerhed

Udvidet Joomla! sikkerhed
JUG København, Maj 2013
CG Online /v Janich Rasmussen

Hvem er Janich?
‘Sikker’ erfaring
• Joomla Bug Squad
• Proaktiv udvikling gennem bl.a. Kunena
• Praktisk afprøvelse ved bl.a. sol.dk
• ”Fritidshacker” (er man vel altid lidt )
06/05 - 2013Udvidet [Joomla] Sikkerhed

Hvad er
sikkerhedkonsekvensen af dårlig

Direkte
• ‘Defacement’
– Mistet omsætning?
• Tab af (bruger)data
– Erstatningsansvar/bøde?
• Tid på at komme ”op” igen
Indirekte
Konsekvenser
• Troværdighed
– Det er en tillidssag
• Risiko for at blive misbrugt
– I mod andre
• Tid på at komme ”op” igen
– Søgemaskiner ‘straffer’

Gode intentioner er ikke nok (!)

Uorganiserede Organiserede
Hvem gør det?

Size matters?
Konkurrence:
Hvad investerer Facebook i sikkerhed hvert år?

(BEKLAGER - INGEN TAL FOR FACEBOOK )
Tilbage til Joomla!

Forebyggelse – de 4 vigtigste områder
Brugere Udvidelser
JoomlaServer

Server
• Drop de billigste udbydere
– Ofte dårlig support / ingen hjælp når det virkelig brænder
• Vælg en udbyder med nyere PHP version
– Bør som minimum opfylde Joomla 3 installationskrav og anbefalede indstillinger
– Gerne en udbyder med mod_security
• Tjek om din udbyder har backup for dig – men stol ikke på den
– Det er kun professionelle webhosts der tilbyder det, men kan være dyrt og besværligt
– Hold i stedet en evt uderbyderbackup til sidste udvej når alt andet er fejlet
• Tjek om din udbyder køre flere webhoteller under samme bruger
– Er der et hul på ét site, kan alle site være påvirket
• Benyt htaccess til at bekæmpe alm. Angreb
– Kun for advancerede: Google ‘Joomla master htaccess’

Brugere
• Giv ikke kodeord ud!
– (Som minimum, skift kodeord efterfølgende!!!)
• Begræns administrator rettigheder (acl)
• Brugerindstillinger
– Aktiver recaptcha
– Sænk antallet af loginforsøg
– Send kodeord = nej
• Stærke kodeord
– Min. 8 karaktere
– STORT + småt + $ymb0l£r + t4l
– Test på http://www.cgonline.dk/pwd

• To indbrud:
– 15. nov 2012
– 30. maj 2013
• 30.000 kodeord i alt
• Heraf 26.974 unikke
– (Langt færre dupletter end antaget)
• Mest benyttede kodeord:
1. 123456
2. 12345
3. 123456789
4. 12345678
5. 1mcpork (intern brug hos sex.dk)
6. 666666
7. 111111
8. Jensen
9. 1234567
10. Fisse (sandsynligvis site-specifik )
Case: Sex.dk

Joomla
• Opdatér! Opdatér! Opdatér!
• Backup
– Husk at teste din backup før du skal bruge den!
• Hold rengøring engang i mellem
– F.eks. i /tmp/ og /cache/ mapperne
• Beskyt administrator
– F.eks. vha. jSecure eller manuelt med HTTP Auth
• Evt. brug en ”waf” (web application firewall)
– Bør ikke være nødvendigt for et opdateret site
– De fleste er kommercielle
– Eksempler: OSE Anti-BruteForce™ plugin - jHackGuard - RSFirewall!

Udvidelser
• Er oftest synderen for hackede sites
• Deaktiver og afinstaller ubrugte / unødvendige udvidelser
• Hold dem opdateret – Eller drop dem!
• Brug JED og læs reviews
• Vær ærlig!
– Der er mange rapporter om pirat-udvidelser indeholdende ondsindet kode / virus

Læsestof

Læsestof
• Joomla sikkerhed:
– http://docs.joomla.org/Security_Checklist
• Registrerede, kendte sikkerhedshuller i udvidelser:
– http://docs.joomla.org/Vulnerable_Extensions_List
• Øvelse: Gør det modsatte:
– http://docs.joomla.org/Top_10_Stupidest_Administrator_Tricks
• Opslagsværk for fagtermer:
– http://en.wikipedia.org/wiki/Web_application_security

Yesterday’s code is
tomorrow’s hack
Quote: Nicholas Dionysopoulos

Spørgsmål?

Janich Rasmussen
www.cgonline.dk
jra@cgonline.dk
Slides: http://www.cgonline.dk/jsec
Husk:
Sikkerhed kan ikke bare købes.
Sikkerhed er en proces!

Udvidet Joomla Sikkerhed

Recommended

Recommended

More Related Content

Featured

Featured (20)

Udvidet Joomla Sikkerhed

Editor's Notes