Efektywne zarządzenie stronami www
-
Upload
jan-krzywanek -
Category
Technology
-
view
78 -
download
0
Transcript of Efektywne zarządzenie stronami www
JAK WYGLĄDA TYPOWY PROJEKT?
▸ Klient chcę, żebyś wykonał mu stronę
▸ Zgadzacie się na koszt jej postawienia
▸ Strona jest gotowa
▸ Klient płaci Ci uzgodnioną kwotę
▸ Zapominasz o niej (a przynajmniej dopóki klient czegoś nie zepsuje)
GŁOWNE ZALETY ZARZĄDZANIA STRONAMI
▸ Zarządzanie przyniesie stały przychód z wielu klientów
▸ Klienci będą mieli poczucie bezpieczeństwa
▸ Dzięki odpowiednim narzędziom, nie zajmuje to dużo czasu
▸ Zmieniasz status quo Joomli jako podatnego na ataki CMS’a
JAK PRZEKONAĆ OBECNYCH KLIENTÓW?
▸ Znasz kod, strukturę i wygląd strony, co czyni zarządzanie łatwiejszym
▸ Kontynuacja usług - bardziej chętnie zatrudnią Cię do kolejnych prac, co oznacza jeszcze więcej pieniędzy
▸ Podtrzymanie reputacji
▸ Aktualizacja jest wymagana, by zapobiec popularnym atakom przez ostatnio wykryte luki bezpieczeństwa
JAK PRZEKONAĆ NOWYCH KLIENTÓW?
▸ Strony są żywym organizmem, a nie reklamą w gazecie
▸ Ciągłe ataki hakerów mają na celu nieaktualne i wrażliwe strony
▸ Strata wrażliwych danych
▸ Utrata reputacji
CO MOŻESZ OFEROWAĆ? (ALE NIEKONIECZNIE POWINIENEŚ)
▸ Hosting
▸ Zarządzanie treścią
▸ Nowe funkcjonalności
▸Migracje
1. AUDYT BEZPIECZEŃSTWA
▸ Hasła
▸Wersja PHP / MySQL
▸Wersja strony i jej rozszerzeń
▸ Dostęp do zaplecza
▸ Uprawnienia katalogów i plików
▸ Ustawienia PHP
1A. USUNIĘCIE SZKODLIWEGO KODU
▸ Skanowanie strony
▸ Zastąpienie plików core oryginalnymi
▸ Przeinstalowanie rozszerzeń
▸ Usunięcie pozostałego szkodliwego kodu
▸ Zmiana haseł / dostępów / prefixów bazy
2. KOPIA ZAPASOWA
▸ Przed rozpoczęciem prac
▸ Po zakończeniu prac
▸ Sprawdzić, czy da się przywrócić
▸ Ustawić automatyczny harmonogram
▸ Nie trzymać na tym samym serwerze co strona
3. AKTUALIZACJA
▸ Kopia zapasowa przed rozpoczęciem prac
▸ Sprawdzenie czy wszystko w porządku po aktualizacji
4. ZABEZPIECZENIE STRONY
▸ HTTP Basic Authentication
ZABEZPIECZENIE KATALOGU ADMINISTRATOR
W pliku .htaccess:
AuthType Basic AuthName “Zabezpieczenie logowania” AuthUserFile /sciezka/do/pliku/.htpasswd Require user nazwauzytkownika
Komenda: htpasswd -c .htpasswd nazwauzytkownika
Opcjonalnie:
Deny from ALLAllow from xx.yy.zz.aa
4. ZABEZPIECZENIE STRONY
▸ Dodatkowy parametr
ZABEZPIECZENIE KATALOGU ADMINISTRATOR
JSecure Authentication - https://extensions.joomla.org/extensions/extension/access-a-security/site-security/jsecure/
Admin Tools Pro - https://extensions.joomla.org/extension/admin-tools-professional/
4. ZABEZPIECZENIE STRONY
▸ Rozszerzenia
WEB APPLICATION FIREWALL
RSFirewall! - https://extensions.joomla.org/extensions/extension/access-a-security/site-security/rsfirewall/
Admin Tools Pro - https://extensions.joomla.org/extension/admin-tools-professional/
Security Check Pro - https://extensions.joomla.org/extensions/extension/access-a-security/site-security/securitycheck-pro/
4. ZABEZPIECZENIE STRONY
▸Warstwa serwerowa
WEB APPLICATION FIREWALL
Sucuri - https://sucuri.net/website-firewall/
Sitelock - https://www.sitelock.com
4. ZABEZPIECZENIE STRONY
▸ Rozszerzenia
▸ Szablony
▸ Administratorzy / Użytkownicy
▸ Kopie zapasowe
▸ Inne strony / stare wersje / środowiska developerskie
USUWANIE ZBĘDNYCH RZECZY
4. ZABEZPIECZENIE STRONY
▸ Skomplikowane hasła
▸ Różne hasła do wszystkiego
▸ Jak najmniej osób ma dostęp
▸Menedżer haseł: LastPass, KeePass, 1Password
HASŁA