Joomla! 1.0.14 RC1へ少しずつ変更しています。
FTPでダイレクトにファイルを開き、バックアップもせずに直接変更しているのですが、(とんでもないのでまねしないでください。)途中まで変更した状態です。
ほとんどがバックエンド部分なのでフロントエンドの検索部分とコア部分、index.phpなどを重点的に変更しました。昨日、行った変更でサイト内検索ができなくなりましたが、消してはいけない行を間違って消していたのが原因でした。まあ、直接変更していることが一番の原因なのですが・・・。少しずつという事もおかしいですね。また、今日も少し変更しました。
今・・・そうですね、 Joomla! 1.0.136 RC1 位でしょうか。
Joomlaのadministratorフォルダとxmlrpcフォルダに.htaccessでアクセス制限をかけましょう。
以下は、サンプル。
※指定したIPアドレスなら認証をスルーします。ご注意を。
<Files ~ "^\.ht">
Order allow,deny
Deny from all
Satisfy All
</Files>
#example:"/var/html/administrator/.htpasswd"
AuthUserFile "/your htpasswd file path"
AuthGroupFile /dev/null
#example:"Watashi Dakeyo"
AuthName "Only Administrator"
AuthType Basic
Require valid-user
Satisfy Any
Order Deny,Allow
Deny from all
Allow from 123.123.123.123
Allow from 345.345.345.345
htpasswdファイルは、ここで:.htaccess Tools
linux.comで「Securing Joomla! installations」という記事がありました。
簡単に
- PHP4かPHP5を使用する。
- ディレクトリは、chmod 755にファイルはchmod 644にする。
(できるだけ書き込み不可にする。全部やるとエラーが出る。) - グローバルコンフィグレーションのサーバータブでchmod の設定を行う。
(ディレクトリは、chmod 755にファイルはchmod 644) - 複雑な文字数の多いパスワードにする。
- rootのhtaccessを使う。
- register_globalsはオフにする。
- php.iniに以下を追加する。
allow_url_fopen = OFF
disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open - administratorフォルダにhtaccessでアクセス制限をかける。
- 以下のサイトをチェック。
- 絶えず、セキュリティリストをチェックし、エクステンションのバージョンアップを行う。サーバーログもチェックしなよ。と
超言葉足らずですが、要点はこんなところかと思います。中にはサーバーによってできないものもあるかと思いますが、気をつけましょう。
特にhtaccessで制限をかけることは、簡単なので最初にしておきましょう。
- Root/administratorフォルダ
- Root/xmlrpcフォルダ
最新のリビジョンのJoomla!1.5RC4をエクスポートして、比較してみました。
とりあえず、記事の日時の問題は以下でクリアしそうです。
JoomlaRoot/libraries/joomla/utilities/date.php
を
へ
を
へ 変更する。
Joomla!1.5 DemoをRC3からRC4に変更しました。手順は、先日テストサーバーで行ったのと全く同じで問題ありませんでした。VideoBarのデモのためにテンプレートに少し手を加えていたのを忘れていて消しちゃってから少しあわてましたが・・・。(全然バックアップせずに行っていた。)
少し違う点は、Demoとはいえ公開しているサイトなのでDemoRootにリダイレクトさせる.htaccessを設置してから行いました。
