Joomla123.lt

Kaip paslėpti Joomla pėdsakus

Pirmadienis, 14 Vasaris 2011 12:55 Parašė Rimvydas Peržiūrų: 1421

( 10 Balsai )

Vienas iš tinklapio saugumo didinimo būdų yra paslėpti informaciją kokį “variklį” naudoja tinklapis. Čia pakalbėsime apie Joomla 1.5 sistemą  ir jos struktūrą . Aišku nuo patyrusių programuotojų tai praktiškai nuslėpti neįmanoma, bet tiems tas tik pradeda “hakerio verslą” ir ieško poligono pratyboms tai gali būti sudėtingiau. Kiek tai padeda manau irgi nežinoma, bet čia jau kita tema. Dabar kaip paslėpti Joomlos pėdsakus. Kad tai padaryti pirmiausiai reikia išsiaiškinti pagal kokius požymius galima spręsti, kad tinklapis sukurtas Joomlos pagrindu ir po to bandyti juos pašalinti nepadarant įtakos tinklapio veikimui .

 

1.    Pirmiausiai tai Copyright puslapio apačioje. Daug kas nesistengia pakeisti standartinio užrašo skelbiančio kad tinklapis sukurtas Joomla TVS.

“Visos teisės saugomos © 2011 Test Joomla.
Joomla! yra nemokama programinė įranga, platinama pagal GNU/GPL licenziją.”
2.    Standartinė ikona naršyklės  adreso įvedimo lauke.
3.    Prisijungimas prie administravimo skydo. Surinkus wwww........../administrator pamatome  prisijungimą prie Joomlos admin valdymo skydo.
4.    Nuorodos naršyklės eilutėje į puslapius : http://www.pavadinimas.lt/index.php?option=com_content&task=view&id=14&Itemid=1
5.    Nepakeistos meta gairės :

<meta name="description" content="Joomla - the dynamic portal engine and content management system" />
<meta name="keywords" content="Joomla, joomla" />

Taip pat įrašas generuojamas branduolio:

<meta name="Generator" 
content="Joomla! - Copyright (C) 2005 - 2007 Open Source Matters. All rights reserved." /> 
matomos pažiūrėjus puslapio kodą.

6.    Standartinė puslapių navigacija  “<pradžia atgal 1 2 3 4 pirmyn pabaiga>"
7.    Galimybė peržiūrėti  modulių pozicijas :...pavadinimas/?tp=1
8.    Tinklapio katalogų turinys. Kai kuriuose serveriuose galima pažiūrėti katalogų turinį pvz.: pavadinimas.lt /components
9.    Klaidos pranešimas :  “Error 404 ........” gražus raudonas užrašas su paaiškinimu būdingas Joomlai.

Dabar pakalbėkime kaip visus šiuos išvardintus trūkumus pašalinti.

1. Pirmiausiai išsiaiškinkime su Copyright užrašu puslapio apačioje. Pats paprasčiausias būdas atidaryti šablono index.php failą ir suradus užrašą :

<p id="power_by">
<a href="http://www.joomla.org">Joomla!</a>.
<a href="http://validator.w3.org/check/referer">XHTML</a> <a href="http://jigsaw.w3.org/css-validator/check/referer">CSS</a>.
</p>
ir pašalinti šį kodo gabaliuką.  ( visus paaiškinimus atlieku naudodamas standartinį Joomla šabloną  “rhuk_milkyway”) . Visa tai gerai tol kol nepakeisime šablono.
Norėdami visam laikui  pranešimą panaikinti turime atlikti sekančius veiksmus. Galimi keli variantai.
Pirmas variantas atsidaryti kalbų kataloge \language\lt-LT\lt-LT.mod_footer.ini susirasti eilutes

FOOTER_LINE1=

FOOTER_LINE2=

ir viską po lygybės ženklo ištriname. Antras būdas:  modules\mod_footer\tmpl\default.php . Redaguojame  default.php failą atjungiame  trečia ir ketvirtą eilutes .

<div><?php echo $lineone; ?></div>
<div><?php  echo JText::_( 'FOOTER_LINE2' ); ?></div>

Daugumoje šablonų užtenka atjungti tik ketvirtą eilutę, nes trečia paprastai būna tuščia t.y. nebūna ten išvedamas tekstas.

2. Standartinė ikona naršyklės adreso įvedimo lauke. Tai paveikslėlis (ikona) favicon.ico kuri yra pagrindiniame šablono kataloge . Pakeičiame ją sava arba ištriname.

3. Prisijungimas prie administravimo skydo. Surinkus www........../administrator matome grąžų joomlos vaizdelį. Visiems gerai žinoma tiesa.  Tam trukumui pašalinti irgi yra  pora variantų. Pirmas uždėti slaptažodį katalogui  administrator. Kad tai padaryti sukuriame šiame kataloge failą .htaccess su tokiuio įrašu:

AuthName "For Registered Users Only"
AuthType Basic
AuthUserFile /pub/site.lt/.htpasswd
require valid-user
</Files>

Kur reikšmė  AuthName pranešimas ar paaiškinimas lankytojui. Reikšmė AuthUserFile
nurodo vietą kur saugomas failas su slaptažodžiu. Pats failas sukuriamas specialia programėle htpasswd.exe
Šis būdas nėra tobulas, nes turi vieną trūkumą : jei naudojami plėtiniai ar komponentai kurie kreipiasi į admin katalogą vartotojas gaus pranešima: prašome įvesti slaptažodį todėl paprasčiau naudoti antrą variantą. Tai papildomas plėtinys jSecure Authentication.

4. Nuorodos naršyklės eilutėje į puslapius . Naudokite standartinius Joomla SEO nustatymus arba papildomus komponentus kurie vidines nuorodas paverčia paprastais žodžiais. sh404SEF, ARTIO JoomSEF, NuSEF , SEF Advance ir t.t

5. Meta gairės. Description ir keywords  keičiami Globaliuose nustatymuose administravimo skyde.  Generatoriaus tekstą kode matome tokiu užrašu :

 <meta name="generator" content="Joomla! 1.5 - Open Source Content Management" />

Tam panaikinti galimi sekantys būdai:  koreguoti pačios Joomla failus arba daryti pakeitimus šablono faile. Pirmas variantas veiks iki Joomlos versijos atnaujinimo antras iki šablono pakeitimo. Pirmam variantui atidarome failus
libraries\joomla\document\document.php
libraries\joomla\document\html\renderer\head.php
Jei norime pakeisti tik užrašą tai faile document.php surandame 85 eilutę  

var $_generator = 'Joomla! 1.5 - Open Source Content Management';

ir tarp kabučių įrašome norimą tekstą. Jei norime visai pašalini meta gairę tai faile head.php
komentuojame eilutę:

$strHtml .= $tab.'<meta name="generator" content="'.$document->getGenerator().'" />'.$lnEnd;

Antras būdas labiau “humaniškas” nereikalaujantis pačios Joomlos kodo koregavimo. Atidarome šablono index.php failą ir tarp  <head >  </head> gairių patalpiname tokią komandą

<?php $this->setGenerator('mano generatorius');?>

 tarp kabučių įrašome pageidaujamą frazę arba paliekame tuščia.

6.  Standartinis puslapiavimas.  Kaip ta pakeisti parašysiu atskirame straipsnelyje , nes čia užims labai nemažai vietos.
7.  Uždraudžiame peržiūrėti modulių pozicijas. Atidarome failą  /libraries/joomla/application/module/helper.php
maždaug tarp eilučių 96-103 randame

if(count($result) == 0) {

 if(JRequest::getBool('tp')) {

 $result[0] = JModuleHelper::getModule( 'mod_'.$position );

 $result[0]->title = $position;

 $result[0]->content = $position;

 $result[0]->position = $position;

 }

}

Visas jas komentuojame eilutės pradžioje pridėdami //

Toliau kodas tarp 199-201 eilučių

if(JRequest::getBool('tp')) {
 $attribs['style'] .= ' outline';
}

irgi komentuojame.

8. Punktui paprasčiausiai į kiekvieną kaltalogą ikeliame tusčią index.html failą

9. Pranešimas: "Klaida 404"  kaip tai pakoreguoti jau aprašyta mūsų tinklapyje
Klaida 404 puslapis nerastas