Joomla! Zabezpieczanie witryn

• Na co należy zwrócić uwagę przy wyborze firmy hostingowej?
• Jak wykorzystać potencjał plików .htaccess i php.ini?
• Jak reagować na ataki hakerów?

Nikomu nie trzeba jej przedstawiać — Joomla! to wiodący system zarządzania treścią. Wśród jej zalet warto wymienić łatwość instalacji i konfiguracji, dostępność wielu dodatków oraz cenę — jest to system darmowy. Jednakże z tej popularności wynika też pewna zasadnicza wada. Mianowicie Joomla! jest łakomym kąskiem dla internetowych włamywaczy.

Dzięki tej książce dowiesz się, jak zabezpieczyć swoją stronę, opartą o ten system, przed ich działaniem. Podręcznik w kompleksowy sposób opisuje wszystkie zagadnienia związane z bezpieczeństwem Joomla! — począwszy od wyboru firmy, na której serwerach umieścisz swoją stronę, a skończywszy na tworzeniu polityki reagowania na ataki. Ponadto podczas lektury zdobędziesz ogrom wiedzy na temat dostępnych narzędzi, metodologii ataków oraz konfiguracji za pomocą plików .htaccess i php.ini. Wśród poruszanych tematów znajdziesz również te poświęcone logom serwera i wykorzystaniu szyfrowanego kanału komunikacyjnego SSL. Książka ta jest obowiązkową lekturą dla wszystkich administratorów stron internetowych opartych o system Joomla! — zarówno tych małych, jak i korporacyjnych.

• Hosting — na co zwrócić uwagę
• Wykorzystanie środowiska testowego do prowadzenia badań nad bezpieczeństwem
• Dostępne narzędzia oraz ich przeznaczenie
• Luki w systemie
• Instalacja poprawek
• Ataki typu "wstrzyknięcie kodu" oraz "RFI"
• Techniki wykorzystywane przez włamywaczy
• Konfiguracja systemu za pomocą plików .htaccess oraz php.ini
• Logi serwera — sposoby na zdobycie wiedzy o systemie
• Wdrażanie SSL
• Zarządzanie incydentami

• Wprowadzenie (17)
• Powszechnie używana terminologia (18)
• Wybór hostingu dostosowanego do potrzeb (19)
• Co to jest firma hostingowa? (19)
• Wybieranie firmy hostingowej (19)
• Pytania, jakie należy zadać przyszłemu dostawcy usług hostingowych (20)
• Pomieszczenia (20)
• O co zapytać dostawcę hostingu w kwestiach bezpieczeństwa? (21)
• Pytania dotyczące warunków w pomieszczeniach (21)
• Monitorowanie i ochrona lokalizacji (22)
• Instalowanie poprawek a bezpieczeństwo (22)
• Hosting współdzielony (23)
• Hosting dedykowany (25)
• Planowanie instalacji Joomla! (26)
• Jakiemu celowi ma służyć Twoja witryna? (26)
• Jedenaście kroków do udanej architektury witryny (27)
• Pobieranie systemu Joomla! (29)
• Ustawienia (30)
• .htaccess (33)
• Uprawnienia (34)
• Zarządzanie użytkownikami (35)
• Typowe błędy (35)
• Ustanawianie parametrów bezpieczeństwa (38)
• Podsumowanie (45)

• Witaj w laboratorium! (48)
• Środowisko testowe (48)
• Jaki to ma związek z zabezpieczeniami? (49)
• Błędne koło aktualizowania (49)
• Tworzenie planu testów (52)
• Wykorzystanie środowiska testowego w planowaniu działań na wypadek awarii (54)
• Tworzenie dobrej dokumentacji (55)
• Korzystanie z systemu zarządzania tworzeniem oprogramowania (58)
• Raportowanie (60)
• Ravenswood Joomla! Server (62)
• Uruchamianie (63)
• Podsumowanie (64)

• Wprowadzenie (65)
• Narzędzia, narzędzia i jeszcze raz narzędzia (66)
• HISA (66)
• Joomla! Tools Suite with Services (72)
• Jak zdrowie? (73)
• Nmap - narzędzie do mapowania sieci ze strony insecure.org (80)
• Wireshark (82)
• Metasploit - zestaw narzędzi do testów penetracyjnych (85)
• Nessus - skaner luk (87)
• Podsumowanie (89)

• Wprowadzenie (91)
• Instalowanie poprawek jest nieodzowne (93)
• Czym jest luka? (94)
• Luki związane z uszkodzeniem zawartości pamięci (95)
• Wstrzyknięcie kodu SQL (97)
• Ataki przez wstrzyknięcie poleceń (99)
• Dlaczego pojawiają się luki? (100)
• Co można zrobić, aby zapobiec lukom? (100)
• Odmowa dostępu (103)
• Niewłaściwe formatowanie zmiennych i niebezpiecznych danych wejściowych (103)
• Brak testów w zróżnicowanym środowisku (104)
• Testowanie w różnych wersjach baz SQL (104)
• Współdziałanie z rozszerzeniami niezależnych producentów (104)
• Użytkownicy końcowi (105)
• Socjotechnika (105)
• Nieregularne instalowanie poprawek i aktualizacji (106)
• Podsumowanie (107)

• Wprowadzenie (110)
• Wstrzyknięcie kodu SQL (110)
• Testowanie odporności witryny na wstrzyknięcie kodu SQL (114)
• Kilka metod zapobiegania wstrzyknięciu kodu SQL (114)
• Metoda zapobiegania wstrzyknięciu kodu SQL zalecana przez PHP.NET (115)
• Ataki RFI (116)
• Najprostszy atak (118)
• Co możemy zrobić, żeby powstrzymać atak? (118)
• Zapobieganie atakom RFI (122)
• Podsumowanie (123)

• Obecne regulacje prawne (126)
• Namierzanie celu (127)
• Poznawanie celu (128)
• Narzędzia do wykrywania luk (131)
• Nessus (131)
• Nikto - skaner luk o otwartym dostępie do kodu źródłowego (132)
• Acunetix (132)
• Nmap (133)
• Wireshark (134)
• Ping Sweep (134)
• Firewalk (134)
• Angry IP Scanner (135)
• Cyfrowe graffiti a prawdziwe ataki (137)
• Wyszukiwanie celów ataku (144)
• Co możesz zrobić? (144)
• Przeciwdziałanie (145)
• Co zrobić, jeśli firma hostingowa nie jest skłonna do współpracy? (146)
• Co zrobić, jeśli ktoś włamał się do mojej witryny i ją oszpecił? (146)
• Co zrobić, jeśli napastnik umieścił na serwerze rootkita? (147)
• Słowo na zakończenie (147)
• Podsumowanie (148)

• Plik .htaccess (150)
• Zmniejszanie transferu danych (151)
• Wyłączanie sygnatury serwera (151)
• Zapobieganie dostępowi do pliku .htaccess (151)
• Zapobieganie dostępowi do jakiegokolwiek pliku (151)
• Zapobieganie dostępowi do plików różnych typów (152)
• Zapobieganie nieuprawnionemu przeglądaniu katalogów (152)
• Ukrywanie rozszerzeń skryptów (153)
• Ograniczanie dostępu do sieci LAN (153)
• Udostępnianie katalogów na podstawie adresu IP i (lub) domeny (153)
• Blokowanie dostępu i zezwalanie na dostęp do domeny na podstawie przedziału adresów IP (154)
• Blokowanie hotlinkingu i zwracanie materiałów zastępczych (154)
• Blokowanie robotów, programów typu site ripper, przeglądarek offline i innych "szkodników" (155)
• Pliki, katalogi i inne elementy chronione hasłem (157)
• Aktywowanie trybu SSL za pomocą pliku .htaccess (160)
• Automatyczne ustawianie uprawnień do plików różnych typów (160)
• Ograniczanie wielkości plików w celu ochrony witryny przed atakami przez odmowę usługi (DoS) (161)
• Niestandardowe strony błędów (161)
• Udostępnianie uniwersalnej strony błędu (162)
• Zapobieganie dostępowi w określonych godzinach (162)
• Przekierowywanie żądań z danym łańcuchem znaków pod określony adres (162)
• Wyłączanie ustawienia magic_quotes_gpc na serwerach z obsługą PHP (163)
• Plik php.ini (164)
• Czym jest plik php.ini? (164)
• Jak przebiega odczytywanie pliku php.ini? (164)
• Podsumowanie (166)

• Czym dokładnie są pliki dziennika? (168)
• Nauka czytania logów (169)
• A co z tym? (170)
• Kody stanu w HTTP 1.1 (172)
• Analizowanie plików dziennika (175)
• Łańcuchy znaków z nazwą agenta (176)
• Blokowanie przedziałów adresów IP z danego kraju (177)
• Skąd pochodzi napastnik? (177)
• Konserwowanie plików dziennika (178)
• Etapy konserwowania plików dziennika (179)
• Narzędzia do przeglądania plików dziennika (180)
• BSQ-SiteStats (180)
• JoomlaWatch (181)
• AWStats (181)
• Podsumowanie (182)

• Czym jest technologia SSL (TLS)? (184)
• Używanie SSL do nawiązywania zabezpieczonych sesji (185)
• Certyfikaty autentyczności (186)
• Uzyskiwanie certyfikatów (187)
• Procedura wdrażania SSL (188)
• SSL w systemie Joomla! (188)
• Kwestie związane z wydajnością (190)
• Inne zasoby (191)
• Podsumowanie (191)

• Tworzenie polityki reagowania na incydenty (194)
• Tworzenie procedur na podstawie polityki reagowania na incydenty (197)
• Obsługa incydentu (199)
• Komunikacja z zewnętrznymi jednostkami na temat incydentów (199)
• Określanie struktury zespołu (203)
• Podsumowanie (203)

• Spis treści podręcznika zabezpieczeń (205)
• Informacje ogólne (206)
• Przygotowywanie pakietu narzędzi (206)
• Narzędzia do tworzenia kopii zapasowej (207)
• Lista kontrolna z obszaru pomocy (207)
• Codzienne operacje (209)
• Podstawowa lista kontrolna z obszaru bezpieczeństwa (209)
• Narzędzia (210)
• Nmap (210)
• Telnet (212)
• FTP (212)
• Skanowanie pod kątem wirusów (212)
• JCheck (212)
• Zestaw narzędzi dla systemu Joomla! (213)
• Narzędzia dla użytkowników Firefoksa (213)
• Porty (214)
• Pliki dziennika (216)
• Kody stanu serwera Apache (216)
• Format CLF (218)
• Informacje o kraju - kody domen najwyższego poziomu (219)
• Lista krytycznych ustawień (227)
• Plik .htaccess (227)
• Plik php.ini (230)
• Ogólne informacje na temat serwera Apache (231)
• Lista portów (232)
• Podsumowanie (236)