• ホームページ
  • 記事
  • SEO
  • ハッカーに対する堅実なセキュリティのための20のJoomlaセキュリティのヒント–完全ガイド

ハッカーに対する堅実なセキュリティのための20のJoomlaセキュリティのヒント–完全ガイド

公開: 2021-09-25

Joomlaのセキュリティに関するヒントをお探しですか? もしそうなら、この記事はあなたのためです。 Joomlaサイトをハッカーから保護するのに役立つ20の異なる方法を取り上げます。 これらは、長年にわたって機能することが証明されている、試行錯誤された方法です。 そのため、ハッキングを絶対に避けたい場合は、これらの手順を実行することが重要です。

20Joomlaセキュリティのヒント

1)定期的にバックアップを取る

バックアップは、すべてのJoomlaユーザーが実行する必要がある非常に重要なステップです。 バックアップがないと、サイトがハッキングされた場合や、更新後に損傷があった場合に、サイトに何が起こったのかがわかりません。

また、貴重なコンテンツを失うことなく、以前のバージョンに戻って再試行できるため、ハッキングから回復するための最良の方法でもあります。

机の上のハードドライブのバックアップ

2)Joomlaデータベーステーブルプレフィックス

デフォルトのJoomlaデータベーステーブルプレフィックスを常に変更することを強くお勧めします。 これを変更することで、ハッカーがサイトテーブルを簡単に識別できなくなり、データベースへのハッキングが不可能になるのを防ぐことができます。

これを行うには、cPanelで[MySQLデータベース]セクション> [MyISAM]タブに移動し、[すべて表示]をクリックしてから、プレフィックスを変更し(任意のプレフィックスを設定できます)、[保存]をクリックします。

Joomlaデータベースの管理に使用している場合は、PHPMyAdminセクションでもこの変更を行うことをお勧めします。

MySQLクエリを実行してこれらのタイプの変更を行った後は、すべてが正しく機能していることを常に確認する必要があります。

関連: cPanel / WHMのセキュリティを向上させるための25のヒント。

3)JoomlaWebサイトを最新の状態に保ちます

Joomlaサイトを最新の状態に保つことで、更新のたびに新しいセキュリティホールが閉じられるため、ハッキングされる可能性を最小限に抑えることができます。 Extensions> Extension Managerを介して定期的に更新をチェックすることにより、すべてが最新であることを常に確認する必要があります。

利用可能な更新がある場合は、すぐにインストールし、ファイルやデータベースの変更を上書きする必要がある場合は、必ず実行してください。

拡張機能をダウンロードするときは、信頼できるソースのみを使用することも重要です。 そうでない場合は、未知または信頼できない商用コンポーネント/テンプレートをインストールすることにより、Webサイト全体を危険にさらすことになります。

タイプライターを使用して一枚の紙にタイプアウトされた更新

4)Joomlaバージョンを非表示にする

ハッカーが修正された脆弱性を見つけられないように、Joomlaのバージョン番号を非表示にすることをお勧めします。 たとえば、Joomlaバージョンxyzを実行していて、最新のリリースがABCである場合、この情報を非表示にすると、潜在的な攻撃者がサイトに対してどのようなエクスプロイトを使用できるかを知ることができなくなります。

5).htaccessを使用して、基本的な構成設定を展開します

.htaccessファイルを使用して、Joomla構成設定の一部をデプロイできます。 これは、Webサイトのルートレベルに配置される単純なテキストファイルであり、サイト全体または特定のディレクトリに対してもApacheサーバーオプションを構成できます。

いくつかの有用な例は次のとおりです。

  • ディレクトリリストの防止(Webサイト上のすべてのファイルとフォルダーを表示します)
  • php、xmlなどのさまざまなファイルタイプへの直接アクセスをブロックします。
  • .htpasswdを介してディレクトリをパスワードで保護します(これは、機密領域へのアクセスを制限するための良い方法です)
小さな穴から覗く箱に隠れている人

6)Joomla二要素認証プラグインを使用する

この追加レベルのセキュリティをすばやくインストールして利用できるJoomlaTwo FactorAuthenticationプラグインが多数あります。 ハッカーがユーザー名/パスワードを入手できた場合でも、Google認証システムによって生成されたOTP(ワンタイムパスワード)などのセカンダリデバイスまたはコードも持っていない限り、ハッカーはサイトにアクセスできません。

これらのプラグインはサイトをより安全にするため、可能な限り2要素認証を追加することを強くお勧めします。

同じことがホスティングアカウントにも当てはまります。完全なアクセスを保護し、ハッキングされる可能性を制限するために、可能であればSSHを介した2要素認証(またはその他の方法)を使用してください。

ミニオレンジ二要素認証ホームページ

7)Joomla管理エリアへのアクセスを制限する

信頼できるIPアドレスのみを許可することにより、Joomla管理エリアへのアクセスを制限することをお勧めします。 これは.htaccessファイルを介して行われ、次のように複数のエントリを追加できます。

注文拒否、許可
すべてから拒否
xx.xx.xx.xxから許可

最初の行はサーバーにアクセスを許可するように指示し、その後の行は許可されるIPまたはサブネットを定義します(「許可」で始まります)。

駐車場ゲートリゾートアクセス

8)Joomlaでのログイン試行を制限する

ログイン試行の失敗回数を制限する必要があります。これにより、ブルートフォース攻撃を防ぐことができます。 これを行うには、Joomlaサイトで特定の構成パラメーターを設定します(つまり、IPアドレスをブロックする前に失敗したログインの最大数)。

これは、[システム]> [グローバル構成]> [セキュリティ]を介して行われ、ユーザーがブロックされる前にログインに失敗できる回数を選択します。

9)強力なパスワードを使用する

ログイン情報や支払いカードデータなどの機密情報を保持する他のWebサイトと同様に、強力なパスワードを使用することが非常に重要です。

強力なパスワードは、少なくとも12文字で構成し、大文字と小文字、数字、特殊記号を組み合わせて使用​​する必要があります(つまり、!”£$%^&*)。 また、1つのアカウントがハッキングされた場合、すべてのサービスが安全でなくなるため、異なるサービスに同じパスワードを使用することは避けてください。

ハッカーは一般的なユーザー名とパスワードの組み合わせを試すことが知られているため、Joomlaサイトと電子メールに同じパスワードを使用しないことも重要です。これにより、場合によっては完全なアカウントの乗っ取りにつながる可能性があります。 各サービス/サイトに固有のパスワードを設定することをお勧めします。

パスを管理および記憶する方法はたくさんあります。他の人がアクセスする可能性のある場所(モニターに貼り付けられた付箋紙やキーボードの下など)にパスワードを書き留めないことも重要です。

必要に応じて、よく知られているLastPassなどのパスワードマネージャーを使用するなど、パスワードを安全に保存する方法はたくさんあります。 これは個人使用は無料ですが、追加機能が必要な場合はプレミアムサービスも利用できます。

いくつかの電話のコンピューターと本にロックされたチェーン

10)推奨されるJoomlaファイルのパーミッションを設定する

Joomlaをインストールするときは、Webサイトのディレクトリとファイルにファイルのアクセス許可を正しく設定することをお勧めします。 そうしないと、ハッカーが完全にアクセスして、サイトに悪意のあるコードを挿入したり、データベースの詳細、ユーザー名、パスワードなどの機密情報にアクセスしたりするなど、大混乱を引き起こす可能性があります。

ただし、権限が制限されすぎると、ファイル/フォルダーをアップロード、編集、または削除しようとしたときに問題が発生する可能性があります。

11)JoomlaWebサイトのPHPバージョンを更新します

Joomlaは、最新リリースのPHP(つまり、バージョンv.52)を含む複数のPHPバージョンで実行できます。これは、Zend GuardLoaderとして知られています。 v.44などの古いリリースに比べて、パフォーマンスの向上、追加のセキュリティ機能、およびバグ修正が提供されます。

以前のレガシーリリースでJoomlaを実行することも可能ですが、既知のセキュリティの脆弱性とバグが含まれているため、完全な侵害につながる可能性があるため、これはお勧めしません。

その上、PHP v.52が最新のJoomlaリリース(つまりバージョンv.57)でサポートされている唯一のバージョンであることも注目に値します。 他のすべてのバージョンは、それらの使用に伴う潜在的なセキュリティリスクのため、サポートされていないと見なされます。

LinuxサーバーでJoomlaWebサイトをホストしている場合は、Nginx、MariaDB、PHPを含む最新のLEMPスタックを実行していることを確認してください。

12)安全なホスティングを使用する

無料のSSL証明書と、自動ファイアウォール保護、毎日のオフサイトバックアップなどの高度なサーバーレベルのセキュリティを提供する安全なホスティングを使用します。

自分に最適なプランを選択し、簡単なインストールガイドに従ってJoomlaまたはWordPressをインストールするだけで、すぐに開始できます。

画面にロックがかかった黄色の背景の電話

13)危険なPHP関数を無効にする

PHPには、任意のPHPコードを実行できるeval()などのさまざまな組み込み関数があります。 これは、悪意のあるスクリプトを実行したり、Webサイトのファイル/データベースにアクセスしたりするために、ハッカーによって一般的に使用されます。

したがって、攻撃者がアクセスしてWebサイトやサーバーなどを危険にさらすのを防ぐために、危険なPHP関数を無効にすることをお勧めします(まだ無効になっていない場合)。

14)スクリプトインジェクションを無効にする

スクリプトインジェクションを使用すると、ハッカーは悪意のあるコードをWebサイトに挿入できます。これにより、ハッカーはWebページの外観を操作したり、訪問者を別の場所にリダイレクトしたり、機密情報を盗んだりする可能性があります。

多くのスクリプトインジェクション攻撃は、サーバー側のPHP変数を設定することで(たとえば、.htaccessファイルを介して)、サーバーのドキュメントルート内のファイルの直接実行を防ぐことができます。

15)疑わしいファイル/アクティビティに注意してください

疑わしいアクティビティ(新しいファイルの作成、異常なアクセス要求など)がないかWebサイトを定期的に監視する必要があります。 これにより、損傷が発生する前に早期に侵害を検出でき、システムからハッカーをできるだけ早く駆除する機会も得られます。

暗闇の中でコンピューターをハッキングする人

16)Joomlaでスパムコメントをフィルタリングする

悪いボットは非常に迷惑であり、Webサイトにスパムコメントを残す可能性があることを言及する価値があります。

これは、それらの多くがSEOの目的でWebをクロールし、検索エンジンランキング(SEO)の向上に役立つ貴重なバックリンクを取得するためにコメント/コンテンツを投稿するためです。

したがって、スパムコメントをフィルタリングしてサイトに表示されないようにするために、bb-botmanagerなどのプラグインをインストールすることをお勧めします。

コーヒーフィルターでコーヒーをろ過している人

17)SSLを使用してJoomlaのセキュリティを強化する

最近のすべてのWebサイトでSSLが推奨されており、基本的な要件と見なす必要があります。

SSL証明書は、サーバーとエンドユーザー間の暗号化された接続を提供し、ハッカーがログイン資格情報などの機密情報を傍受するのを防ぎます。

18)Joomlaセキュリティ監査

また、Joomlaのセキュリティ監査を実行して、ハッカーによって悪用される可能性のある潜在的な問題/欠陥を特定できることにも言及する価値があります。

これにより、エラーがサイトに対して使用される前にエラーを修正でき、将来の攻撃からWebサイトを安全に保つことができます。

独自のセキュリティ監査を実行する場合は、ブログ記事「コードのセキュリティ監査の実行:基本」を確認してください。

19)ファイアウォールを使用する

Joomla Webサイトを保護するためにできる最も重要なことの1つは、ファイアウォールを使用することです。

ファイアウォールは基本的にすべての不正なトラフィックをブロックし、ハッカーがサーバーにアクセスするのを防ぎます(悪意のあるスクリプトなどを介して)。

ModSecurity、Naxsi、Suhosinなど、利用可能なファイアウォールはたくさんあります。

レンガの壁

20)不要なプラグイン/テーマを削除します

また、不要なプラグインやテーマをすべてJoomlaから削除することをお勧めします。これらは、ハッカーが不正アクセスを取得したり、Webページにスクリプトを挿入したりするために悪意のある目的で使用される可能性があるためです。

よくある質問

Joomlaサイトのセキュリティ保護に関してSSLが重要なのはなぜですか?

SSL証明書は、サーバーとエンドユーザー間の暗号化された接続を提供します。これにより、ハッカーがログイン資格情報などの機密情報を傍受するのを防ぐことができます。

疑わしいアクティビティがないか、Webサイトをどのくらいの頻度で監視する必要がありますか?

サイト/システムを定期的に監視して、スパムコメント、インジェクション攻撃、アクセスエクスプロイトなどの被害が発生する前に、侵害や脆弱性を早期に検出できるようにすることをお勧めします。これにより、問題を迅速に修正するための手順を実行できます。ハッカーがそれらを悪用してアクセスするのを待つよりも。

ファイアウォールとは何ですか?なぜファイアウォールを使用する必要があるのですか?

ファイアウォールは基本的にすべての不正なトラフィックをブロックし、ハッカーがサーバーにアクセスするのを防ぎます(悪意のあるスクリプトなどを介して)。 ModSecurity、Naxsi、Suhosinなどの多くのファイアウォールが利用可能です。

Joomlaで不要なプラグイン/テーマを削除するにはどうすればよいですか?

不要なプラグインとテーマをすべてWebサイトから削除することをお勧めします。これらは、ハッカーが不正アクセスを取得したり、Webページにスクリプトを挿入したりする悪意のある目的で使用される可能性があるためです。

Joomlaは安全に使用できますか?

Joomlaは、使いやすさと柔軟性の点で両方の長所を提供する優れたコンテンツ管理システムです。 ただし、他のCMSと同様に、100%安全であるとは限らないため、ハッカーなどによる潜在的な脆弱性に対してサイトを強化するための措置を常に講じる必要があります。

RSFirewallとは何ですか?

RSFirewallは強力なJoomlaプラグインであり、使いやすいインターフェイスを介してサイトへのアクセスを完全に制御および監視する機能を提供します。 これを使用して、IPアドレスをブロックしたり、時刻によるアクセスを制限したりすることができます。

ModSecurityとは何ですか?

ModSecurityは、サーバーに出入りするトラフィックを制御および監視する機能を提供するオープンソースのWebアプリケーションファイアウォール(WAF)です。 これは、ハッカーがサイトにアクセスできないようにするための強力なツールです。

セキュリティ監査とは何ですか?また、自分のサイトでセキュリティ監査を実行することを検討する必要があるのはなぜですか?

セキュリティ監査は基本的に、ハッカーによって悪用される可能性のある脆弱性/問題を特定します。 これにより、エラーがサイトに対して使用される前にエラーを修正でき、将来の攻撃からWebサイトを安全に保つことができます。

結論

結論として、Joomlaは非常に人気のあるCMSであり、多くのセキュリティの脆弱性が含まれています。 そのため、Webサイトを安全に保つために、この記事の実際的な手順に従うことが重要です。

Joomlaはかなり前から存在していますが、セキュリティを十分に真剣に受け止めていないユーザー/開発者がまだいます。 これにより、ハッカーは所有者からの抵抗なしにサーバーに完全にアクセスできます。

したがって、Joomlaのセキュリティに関しては、必要なすべてのことを実行していることを確認してください。