Spørsmål om sikkerhet /intranet

[sign_kjo]

Hei alle sammen.

Ser at det ikke er så mye aktivitet her, men prøver meg ut på glattisen likevel.

Arbeidsgiveren min driver en side med relativt høy trafikk innenfor finans/bank næringen. Jeg har nå fått i oppgave å bygge et intranett for bedriften med fokus på sikkerhet. For øyeblikket benytter vi WP, men sliter med konstante brute-force angrep og annet unødvendig tull. Det føles litt som å gå med en stor rød blink på ryggen..

Av den grunn snuser vi nå på å bruke Joomla som et separat intranett på et underdomene.

Er det noen av dere som har tips til hvilke løsninger det lønner seg å bruke når sikkerhet er i fokus? Tar også gjerne i mot tips når det kommer til hvilke sikkerhets-plugins som er verdt å bruke.

Har sett litt på denne: https://www.joomlart.com/joomla/templates/ja-intranet

[rued]

I og med at sikkerhet er veldig viktig tror jeg at jeg vil råde deg til å ta en prat med, og muligens hyre inn bistand fra, Nicholas på https://www.akeebabackup.com/

[sign_kjo]

Takk for raskt svar

Skal ta en titt på siden og hvorvidt det er aktuelt. Jeg har i utgangspunktet nok kunnskap til å sette det opp selv, men litt hjelp kan være nødvendig. Det var mer for å høre om noen av dere har tips eller gode erfaringer å dele mht. sikkerhet for Joomla intranets.

Jeg tenker vi kjører en htaccess block, blandet med øvrige sikkerhetslag for å hindre brute force.

[sign_kjo]

Det gjelder forresten for [ redacted ]. Nå bruker vi WP på hovedsiden, men ser at det kan være greit å skifte til Joomla for intranettet på et subdomain.

[sign_kjo]

Har du og noen erfaring med bruk av Admin Tools? Ser at det er en populær plugin for site-admins.

[Per Yngve Berg]

Det meste av sikkerhet skjer på server og ikke i Joomla. Skal siden være tilgjengelig fra Internett?
Hva slags server (egen eller VPS)? Skal den plasseres i bedriftens nettverk?
Administrasjon kan settes opp til kun å være tilgjengelig fra bedriftens nettverk. Har bedriften VPN-løsninger for at de ansatte skal komme inn på Intranettet fra utenfor bedriftens nettverk?

Jeg har ikke prøvet noen sikkerhets-plugin. De hjelper ikke mot en usikker server. Kjører selv et nettsted på en VPS. Den har kun 3 porter åpne (80, 443 og 22). Skal du kun kjøre https, trenger du heller ikke 80. Port 22 er terminal/administrasjon med ssh. Her er passord-autentisering skrudd av og vi bruker kun nøkler fra de maskiner som skal aksessere. Jeg ser det er mange som prøver seg, men det nytter ikke når passord er skrudd av.

[rued]

Jeg har ikke prøvet noen sikkerhets-plugin. De hjelper ikke mot en usikker server.

På en side har du rett, men likevel feil i denne påstanden. Bl.a. Admin Tools vil kunne bidra til å øke sikkerheten, bl.a. fordi den ofte vil kunne hindre utnyttelse av sikkerhetshull i Joomla/WP, også sikkerhetshull som følger av usikker delt server. Det finnes også eksempler på at den har gjort det før de har vært kjent, men på den andre siden vil den jo ikke kunne hindre tilgang til sikkerhetshull direkte på servernivå.

Ellers gode og relevante spørsmål og innspill.

[polard55]

Enig med Per du sude sikre serveren først, Også selskapet skal ha gode VPN-løsninger for sine Medarbeidere. Du kan prøve ulike VPN Service Trial Perioder, for eksempel denne VPN https://www.purevpn.com/blog/trial- vpn / for å sjekke hvilken som vil passe godt til ditt intranett.

[polard55]

Beklager, dette er den riktige nettadressen for deres prøveversjon https://www.purevpn.com/blog/trial-vpn /