Jump to content

Regras Mod_Security Joomla


JulianoCunha
 Share

Recommended Posts

Olá amigos,

 

Adquiri um servidor dedicado recentemente para hospedar meus clientes que em 95% usam Joomla desde 1.0 até 2.5.

 

Sabendo das vulnerabilidades, eu gostaria de ativar o Mod_Security porém já com as regras otimizadas para rodar bem o Joomla sem dar problemas de permissões, erro 500 e de upload de imagens.

 

Alguém poderia me ajudar com um conjunto de regras  boas para Joomla?

 

Obrigado.

Link to comment
Share on other sites

Olá amigos,

 

Adquiri um servidor dedicado recentemente para hospedar meus clientes que em 95% usam Joomla desde 1.0 até 2.5.

 

Sabendo das vulnerabilidades, eu gostaria de ativar o Mod_Security porém já com as regras otimizadas para rodar bem o Joomla sem dar problemas de permissões, erro 500 e de upload de imagens.

 

Alguém poderia me ajudar com um conjunto de regras  boas para Joomla?

 

Obrigado.

 

Já tentou utilizar as regras padrão?

Link to comment
Share on other sites

Cassiano,

Ainda não tentei, pois como não tenho experiência, tenho medo de começar a dar problemas nos sites dos clientes.

Você usa as regras padrão?

Conhece a gotroot? Eles dão 30 dias para testar e depois, parece que paga 200,00 por ano.

Link to comment
Share on other sites

julianojc,

 

Está querendo que os sites carreguem mais rápido ou é apenas curiosidade para verificar se vale a pena configurar?

Eu já trabalhei com Joomla e utilizo uma configuração htaccess que melhorou e muito o carregamento das páginas sem ter apresentado até hoje qualquer tipo de erro. Se quiser, te passo o link aqui no PDH.

Link to comment
Share on other sites

Olá Leandro,

 

O carregamento está até bom, o que quero mesmo é mais segurança, pois muitos sites não tem como ficar atualizando, isto é fantasia.

 

Como atualizar sites em Joomla que tem inúmeros componentes, módulos, todos traduzidos, modificados e etc?

 

A gente vê muita dica de segurança Joomla colocando como principal a atualização, mas isto é totalmente sem noção, pois quase ninguém usa o Joomla puro e vazio sem outros módulos, plugins e componentes de terceiros.

 

Então, o que quero mesmo é um servidor Joomla mais seguro com o Mod_Security, porém ouvi dizer que dá muitos problemas nos sites.

 

Sobre o htaccess, eu quero sim, por favor.

Link to comment
Share on other sites

Não me lembro o link mas tem alguns bons exemplos aqui: http://docs.joomla.org/Htaccess_examples_%28security%29

 

O .htaccess que eu utilizo tanto para 1.5 quanto para 2.5 é esse:

 

### @version $Id: htaccess.txt 10492 2008-07-02 06:38:28Z ircmaxell $
# @package Joomla
# @copyright Copyright © 2005 - 2008 Open Source Matters. All rights reserved.
# @license http://www.gnu.org/copyleft/gpl.html GNU/GPL
# Joomla! is Free Software
##

## Can be commented out if causes errors, see notes above.
Options +FollowSymLinks -Indexes

#
# mod_rewrite in use

RewriteEngine On

########## Begin - Rewrite rules to block out some common exploits
## If you experience problems on your site block out the operations listed below
## This attempts to block the most common type of exploit `attempts` to Joomla!
#
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
# Block out any script that includes a tag in URL
RewriteCond %{QUERY_STRING} (\|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## End - Rewrite rules to block out some common exploits

# RewriteBase /

########## Begin - Joomla! core SEF Section
#

RewriteCond %{HTTP:Accept-Encoding} gzip
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_URI} !^/index.php
RewriteCond %{REQUEST_URI} (/|\.php|\.html|\.htm|\.feed|\.pdf|\.raw|/[^.]*)$ [NC]
RewriteRule (.*) index.php
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},L]

#
########## End - Joomla! core SEF Section
SetOutputFilter DEFLATE
Header set Expires "max-age=29030400, public"
Header unset ETag
FileETag None

ExpiresActive On
ExpiresDefault A600
ExpiresByType image/x-icon A2592000
ExpiresByType application/x-javascript A604800
ExpiresByType text/css A604800
ExpiresByType image/gif A2592000
ExpiresByType image/png A2592000
ExpiresByType image/jpeg A2592000
ExpiresByType text/plain A1200
ExpiresByType application/x-shockwave-flash A2592000
ExpiresByType video/x-flv A2592000
ExpiresByType application/pdf A2592000
ExpiresByType text/html A600

Link to comment
Share on other sites

Guest
This topic is now closed to further replies.
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...