Serwer

Ustawienia na karcie Serwer mają niebagatelne znaczenie dla funkcjonowania witryny, szczególnie jej bezpieczeństwa. Wszystkie zostały skonfigurowane podczas instalacji Joomla!, ale niektóre z domyślnych ustawień trzeba skonfigurować wedle własnych potrzeb. Każdą modyfikację należy dobrze przemyśleć.

Koniecznie należy włączyć kompresję stron GZIP, o ile pozwala na to serwer internetowy. A zwykle pozwala. W efekcie ładowanie stron serwisu w przeglądarkach użytkowników może być przyspieszone nawet o 80% czasu.

Można również wydłużyć nieco czas trwania sesji. Domyślne 15 minut powoduje niekiedy zbyt częste i nieco uciążliwe automatyczne wygasanie sesji. 30 minut to wystarczająco dużo (wylicz następująco: liczba minut x 60 sekund). Ustawienie zbyt długiego czasu sesji może powodować uszkodzenie tabeli #__session. Zbyt długi czas trwania sesji stwarza ponadto zagrożenia dla bezpieczeństwa witryny.

W okresie testowania witryny bądź wyszukiwania błędów, pomocna może okazać się zmiana sposobu raportowania błędów. Domyślne ustawienie - Brak [None] najlepiej zmienić wówczas na Pełne. Do prezentowanych wówczas w panelu administratora komunikatów należy podchodzić z rozwagą, czy raczej - ze znajomością rzeczy - wiele z nich, rozpoczynających się od słowa Notice nie wskazuje na błędy, ale na nierozpoznane, niezainicjolizowane wcześniej zmienne (ale mogą to być również zmienne źle zapisane!). PHP nie wymaga wcześniejszego inicjowania zmiennych. Najczęściej można je spokojnie zignorować.

Ścieżka absolutna [Absolute Path]: Absolutna (bezwzględna) ścieżka dostępu do katalogu zawierającego pliki Joomla!. Ścieżka absolutna wpisywana jest do pliku konfiguracyjnego podczas instalacji. Tutaj nie ma możliwości jej edycji. Ustawienie w pliku konfiguracyjnym configuration.php w przypadku serwerów Apache może wyglądać np. tak:

$mosConfig_absolute_path = '/var/www/html/joomla/';

URL witryny [Live Site]: Adres internetowy witryny wpisywany jest do pliku konfiguracyjnego podczas instalacji. Tutaj nie ma możliwości jego edycji. Ustawienie w pliku konfiguracyjnym configuration.php:

$mosConfig_live_site = 'http://www.joomlademo.pl';

Szyfr [Secret Word]: Unikalny kod generowany podczas instalacji Joomla! używany do szyfrowania sesji dla zapewnienia bezpieczeństwa. Tutaj nie ma możliwości jego edycji. Ustawienie w pliku konfiguracyjnym configuration.php:

$mosConfig_secret = 'mFTiR7qZpsMwJqK8';

Jeśli plik konfiguracyjny nie jest generowany podczas instalacji, ale tworzony ręcznie na podstawie pliku configuration.php-dist zalecane jest wyedytowanie tego szyfru - dokonanie w nim zmiany dowolnych albo wszystkich znaków. Poziom bezpieczeństwa podnosi również zmiana sekretnego słowa od czasu do czasu..

Kompresja stron GZIP [GZIP Page Compression]: Włącza lub wyłącza na serwerze kompresję danych przesyłanych do przeglądarek. Kompresja danych znacząco skraca czas transmisji i ładowania stron witryny przez przeglądarki odwiedzających ją gości. Domyślnemu ustawieniu Nie odpowiada w pliku konfiguracyjnym configuration.php wpis:

$mosConfig_gzip = '0';

Czas sesji użytkownika [Site Session Lifetime]: Określa w sekundach czas utrzymania sesji mimo bezczynności użytkownika zalogowanego na stronie frontowej. Po upływie tego czasu następuje automatyczne wylogowanie.
Wpisz w sekundach maksymalny czas bezczynności, po jakim zalogowany na stronie frontowej użytkownik zostanie automatycznie wylogowany. Przeglądanie zasobów udostępnionych tylko zarejestrowanym użytkownikom będzie możliwe dopiero po ponownym zalogowaniu się użytkownika - podaniu poprawnej nazwy i hasła. Ustaw tę wartość, zależnie od swego uznania. 3600 sekund jest równoważne 1 godzinie. Ustawienie domyślne Tak. Ustawienie w pliku konfiguracyjnym configuration.php:

$mosConfig_lifetime = '900';

Czas sesji administratora [Admin Session Lifetime]: Określa w sekundach maksymalny czas bezczynności użytkownika zalogowanego w panelu administracyjnym. Po upływie tego czasu nastąpi automatyczne zamknięcie sesji i wylogowanie. Wykonywanie jakichkolwiek czynności na zapleczu będzie możliwe dopiero po ponownym zalogowaniu się administratora - podaniu poprawnej nazwy i hasła. Próba wykonania jakiegoś zadania przekieruje administratora do okna komunikującego, że sesja wygasła i konieczne jest ponowne zalogowanie się. Automatyczne wylogowanie blokuje redagowany element. Ustaw tę wartość, zależnie od swego uznania. 3600 sekund jest równoważne 1 godzinie. Ustawienie domyślne Tak. Ustawienie w pliku konfiguracyjnym configuration.php:

$mosConfig_session_life_admin = '1800';

Automatyczne wylogowanie nastąpi również w przypadku, gdy administrator będzie przez dłuższy czas redagować artykuł czy materiał statyczny i nie skorzysta z przycisku Zapisz lub Zastosuj. Dzieje się tak, ponieważ Joomla! nie rozpoznaje jako aktywności administratora czynności redakcyjnych czy korektorskich w edytorach, o ile administrator nie skorzysta z przycisku Zastosuj. W rezultacie automatycznego wylogowania może nastąpić utrata danych niezachowanych w czasie trwania sesji. Dlatego podczas redagowania materiałów w edytorze tekstu należy od czasu do czasu skorzystać z przycisku Zastosuj.

Ustalanie przesadnie długiego czasu trwania sesji administratora jest również niewskazane ze względu na bezpieczeństwo systemu - zwiększenia ryzyka przechwycenia danych sesji i udanego ataku krakerskiego.

Pamiętaj stronę po wygaśnięciu sesji [Remember Expired Admin page]: Zapamiętuje stronę, na której wygasła sesja administratora. Jeśli administrator powróci do wykonywania czynności administracyjnych, zostanie najpierw przekierowany na stronę z modułem logowania i komunikatem, że sesja wygasła. Po zalogowaniu system wykona wydane polecenie (np. Zapisz, Zastosuj, Anuluj) i otworzy pamiętaną stronę, umożliwiając kontynuowanie realizowanych zadań (np. w edytorze właściwości). Domyślnemu ustawieniu Tak odpowiada w pliku konfiguracyjnym configuration.php wpis:

$mosConfig_admin_expired = '1';

Metoda autoryzacji sesji [Session Authentication Method]: Kontroluje autentyczność sesji administratora. Wybierz jedną z trzech możliwych opcji:

• 3 poziom bezpieczeństwa - domyślny i najwyższy,
• 2 poziom bezpieczeństwa - zgoda na IP proxy,
• 1 poziom bezpieczeństwa - najniższy, zgodny z poprzednimi.

Domyślne ustawienie (3 poziom) w pliku konfiguracyjnym configuration.php:

$mosConfig_shownoauth = '0';

3 poziom bezpieczeństwa: identyfikator sesji jest oparty na czterech elementach - klucza szyfru (mosConfig_secret, liczby losowej, pełnego adresu IP komputera administratora oraz danych przeglądarki.

2 poziom bezpieczeństwa: identyfikator sesji tworzony jest z czterech elementów - klucza szyfru (mosConfig_secret, liczby losowej, adresu IP podsieci serwera proxy) oraz danych przeglądarki.Poziom ten został zaprojektowany z myślą o użytkownikach korzystających z serwerów AOL (dawniej America Online) lub serwerów pośredniczących [proxy]. Ten poziom bezpieczeństwa jest niższy niż poziom 3.

1 poziom bezpieczeństwa: identyfikator sesji tworzony jest tylko z liczby losowej oraz pełnego adresu IP komputera użytkownika. To jest przestarzały sposób utrzymania bezpieczeństwa. Daje najmniejsze gwarancje i raczej nie powinien być stosowany.

Dane przeglądarki oparte są na jej formalnej informacji identyfikacyjnej, np.
Mozilla/5.0 (Windows; U; Windows NT 5.0; pl; rv:1.8.0.9) Gecko/20061206 Firefox/1.5.0.9Opera/9.00 (Windows NT 5.0; U; pl)

Szyfr jest liczbą losową generowaną przez Joomla podczas instalacji i zapisywaną w pliku konfiguracyjnym w zmiennej mosConfig_secret. Jest niepowtarzalnym identyfikatorem każdej witryny Joomla! Przeczytaj na ten temat powyżej.

Zgłaszanie błędów [Error Reporting]: Umożliwia modyfikację domyślnych ustawień serwera, co bywa zabiegiem przydatnym podczas wyszukiwaniu błędów w instalacji. Można ustawić jedną z czterech opcji:

• Domyślne [System Default] - Informacje o błędach będą wyświetlane zgodnie z ustawieniami serwera PHP, zawartymi w pliku php.ini.
• Brak [None] - Komunikaty o błędach nie będą w ogóle wyświetlane.
• Proste [Simple] - Wyświetlane będą tylko komunikaty o prostych, podstawowych błędach - ta opcja odpowiada ustawieniu w php.ini: error_reporting (E_ERROR|E_WARNING|E_PARSE)
• Pełne [Maximum] - Najwyższa szczegółowość komunikatów o błędach. raportuje wszystkie błędy. Odpowiada ustawieniu w php.ini: error_reporting (E_ALL). Raporty będą zawierać komunikaty o nierozpoznanych, niezainicjolizowanych wcześniej lub źle zapisanych zmiennych. Włączenie tej opcji w działąjacym serwisie będzie bardzo uciążliwe - spowoduje dużą ilość komunikatów na stronach zaplecza administracyjnego.
  

Tworzenie plików [File Creation]: Umożliwia zmianę praw dostępu do plików. Standardowo uprawnienia użytkowników do skryptów Joomla! są zróżnicowane. Prawa do odczytu read mają właściciel [root], użytkownicy z grupy root oraz wszyscy inni - świat [world] . Właściciel ma ponadto prawo do modyfikacji plików, a więc do zapisywania w nim zmian write. Prawa dostępu i uprawnienia zapisywane są sekwencją cyfr - 0644, z których pierwsza określa, czy plik ma pozostać w pamięci, a następne sumę wyrażonych liczbowo uprawnień - pierwsza roota, druga - użytkownika z grupy root, a trzecia - wszystkich użytkowników. Jeśli nie ma wyraźnego powodu, by zmieniać prawa dostępu do plików, należy pozostawić ustawienie domyślne Nie ustawiaj PRAW do nowych plików[Dont CHMOD new files (use server defaults)].

Zdarza się wszakże, że w niektórych skryptach trzeba dokonać modyfikacji. Można w takich przypadkach dokonać zmiany praw dostępu za pomocą klienta FTP albo za pomocą omawianego parametru, wybierając opcję PRAWA do nowych plików [CHMOD new files]. Po jej zaznaczeniu formularz rozwinie się, umożliwiając przedefiniowanie praw dostępu oraz - dodatkowo - zastosowanie takich samych praw do istniejących plików [Apply to existing files].

Działanie takie może stać się jednak źródłem dodatkowych problemów. Skorzystanie z opcji Zastosuj do istniejących plików zmieni globalnie prawa dostępu do wszystkich plików, także do tych, którym podczas instalacji rozszerzeń zostały ustalone reguły - zgodne z wymaganiami tych rozszerzeń, np. prawa do zapisu. W rezultacie trzeba będzie później wyszukać te pliki i ustawić dla nich prawa za pomocą klienta FTP lub prosić o interwencję administratora serwera. Wygodniej więc - jeśli nie ma możliwości chwilowej zmiany praw do konkretnych plików za pomocą interfejsu zaplecza administracyjnego - skorzystać z możliwości klienta FTP.

Tworzenie katalogów [Directory Creation]: Umożliwia zmianę praw dostępu do katalogów. Podobnie jak w przypadku plików, uprawnienia do katalogów również są zróżnicowane. Prawo odczytu i prawo wykonywania (w przypadku katalogów jest to - precyzyjnie rzecz ujmując - prawo wejścia do katalogu) przyznawane jest wszystkim użytkownikom, a właścicielowi prawo zapisu. Także i w tym przypadku - jeśli Joomla! działa poprawnie i nie ma wyraźnego powodu, by modyfikować prawa dostępu, należy pozostawić ustawienia domyślne. Szczególnie ostrożnie należy korzystać z opcji Zastosuj do istniejących katalogów [Apply to existing directories]. Jej zastosowanie może przykładowo uniemożliwić zapisywanie obrazów w katalogach galerii, zapisywanie w katalogach przeznaczonych na składanie dokumentów przesyłanych przez użytkowników.

Aby zmienić prawa dostępu, należy zaznaczyć wybrane przyciski opcji. Zarówno w przypadku praw do plików, jak i katalogów pole tekstowe wyświetla jedynie w postaci liczbowej efekt ustawień.