Regras Mod_Security Joomla

[JulianoCunha]

Olá amigos,

 

Adquiri um servidor dedicado recentemente para hospedar meus clientes que em 95% usam Joomla desde 1.0 até 2.5.

 

Sabendo das vulnerabilidades, eu gostaria de ativar o Mod_Security porém já com as regras otimizadas para rodar bem o Joomla sem dar problemas de permissões, erro 500 e de upload de imagens.

 

Alguém poderia me ajudar com um conjunto de regras  boas para Joomla?

 

Obrigado.

[Cassiano Teixeira]

Olá amigos,

 

Adquiri um servidor dedicado recentemente para hospedar meus clientes que em 95% usam Joomla desde 1.0 até 2.5.

 

Sabendo das vulnerabilidades, eu gostaria de ativar o Mod_Security porém já com as regras otimizadas para rodar bem o Joomla sem dar problemas de permissões, erro 500 e de upload de imagens.

 

Alguém poderia me ajudar com um conjunto de regras  boas para Joomla?

 

Obrigado.

 

Já tentou utilizar as regras padrão?

[JulianoCunha]

Cassiano,

Ainda não tentei, pois como não tenho experiência, tenho medo de começar a dar problemas nos sites dos clientes.

Você usa as regras padrão?

Conhece a gotroot? Eles dão 30 dias para testar e depois, parece que paga 200,00 por ano.

[LeandroAlves]

julianojc,

 

Está querendo que os sites carreguem mais rápido ou é apenas curiosidade para verificar se vale a pena configurar?

Eu já trabalhei com Joomla e utilizo uma configuração htaccess que melhorou e muito o carregamento das páginas sem ter apresentado até hoje qualquer tipo de erro. Se quiser, te passo o link aqui no PDH.

[JulianoCunha]

Olá Leandro,

 

O carregamento está até bom, o que quero mesmo é mais segurança, pois muitos sites não tem como ficar atualizando, isto é fantasia.

 

Como atualizar sites em Joomla que tem inúmeros componentes, módulos, todos traduzidos, modificados e etc?

 

A gente vê muita dica de segurança Joomla colocando como principal a atualização, mas isto é totalmente sem noção, pois quase ninguém usa o Joomla puro e vazio sem outros módulos, plugins e componentes de terceiros.

 

Então, o que quero mesmo é um servidor Joomla mais seguro com o Mod_Security, porém ouvi dizer que dá muitos problemas nos sites.

 

Sobre o htaccess, eu quero sim, por favor.

[LeandroAlves]

Não me lembro o link mas tem alguns bons exemplos aqui: http://docs.joomla.org/Htaccess_examples_%28security%29

 

O .htaccess que eu utilizo tanto para 1.5 quanto para 2.5 é esse:

 

### @version $Id: htaccess.txt 10492 2008-07-02 06:38:28Z ircmaxell $
# @package Joomla
# @copyright Copyright © 2005 - 2008 Open Source Matters. All rights reserved.
# @license http://www.gnu.org/copyleft/gpl.html GNU/GPL
# Joomla! is Free Software
##

## Can be commented out if causes errors, see notes above.
Options +FollowSymLinks -Indexes

#
# mod_rewrite in use

RewriteEngine On

########## Begin - Rewrite rules to block out some common exploits
## If you experience problems on your site block out the operations listed below
## This attempts to block the most common type of exploit `attempts` to Joomla!
#
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
# Block out any script that includes a tag in URL
RewriteCond %{QUERY_STRING} (\|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## End - Rewrite rules to block out some common exploits

# RewriteBase /

########## Begin - Joomla! core SEF Section
#

RewriteCond %{HTTP:Accept-Encoding} gzip
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_URI} !^/index.php
RewriteCond %{REQUEST_URI} (/|\.php|\.html|\.htm|\.feed|\.pdf|\.raw|/[^.]*)$ [NC]
RewriteRule (.*) index.php
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},L]

#
########## End - Joomla! core SEF Section
SetOutputFilter DEFLATE
Header set Expires "max-age=29030400, public"
Header unset ETag
FileETag None

ExpiresActive On
ExpiresDefault A600
ExpiresByType image/x-icon A2592000
ExpiresByType application/x-javascript A604800
ExpiresByType text/css A604800
ExpiresByType image/gif A2592000
ExpiresByType image/png A2592000
ExpiresByType image/jpeg A2592000
ExpiresByType text/plain A1200
ExpiresByType application/x-shockwave-flash A2592000
ExpiresByType video/x-flv A2592000
ExpiresByType application/pdf A2592000
ExpiresByType text/html A600

[Jordan Miguel]

Utilize as regras da atomiccorp free. =)

[JulianoCunha]

Olá Jordan,

 

Estas?

http://www.atomicorp.com/products/modsecurity.html

 

Ela é grátis só por 30 dias? Ou, apenas a atualização que é grátis 30 dias?

 

Obrigado.

[Jordan Miguel]

Olá Jordan,

 

Estas?

http://www.atomicorp.com/products/modsecurity.html

 

Ela é grátis só por 30 dias? Ou, apenas a atualização que é grátis 30 dias?

 

Obrigado.

 

http://updates.atomicorp.com/channels/rules/delayed/

[JulianoCunha]

Jordan,

 

Obrigado pelo retorno.

 

Mas, qual a diferença para esta que é paga?