Главная » Безопасность

Защита сайта на Joomla!®.

1. Регулярно создавайте бэкапы и храните их в надежном месте.

Важнейшим фактором сохранности данных является их регулярное резервное копирование.

Даже в случае взлома, Вы всегда сможете восстановить данные и устранить возникшие ошибки. Создавать бэкапы можно как на уровне Joomla с помощью компонентов, так и на уровне панели управления (рекомендуемый способ). При этом желательно хранить копии в разных местах для возможности восстановления даже в случае физического повреждения одного из носителей информации.

2. Регулярно обновляйте версию Joomla и всех установленных расширений.

Разработчики Joomla непрерывно работают над исправлением дыр в безопасности и выпускают обновления продуктов. Когда Вы получаете уведомления о доступных обновлениях в панели администратора, не игнорируйте их! Это наиболее эффективный способ защитить свой сайт от взлома.

Если Ваши шаблоны и плагины не работают с последней стабильной версией Joomla, от них лучше всего отказаться.

3. Скачивайте Joomla, шаблоны и плагины только с официальных источников.

Нуленные скрипты, а также непроверенные источники ВСЕГДА несут в себе потенциальную угрозу безопасности. Помните, что взломанный скрипт может использоваться злоумышленником во вредоносных целях таким образом, что Вы даже не будете подозревать об этом (особенно часто в код встраиваются скрытые внешние ссылки). Как следствие, проблемы могут возникнуть не только с содержимым сайта, но и с выдачей в поисковых системах.

4. Не используйте «admin» или «administrator» в качестве имени пользователя.

Придумайте нестандартное имя пользователя и сложный пароль, чтобы их было сложно подобрать. По возможности, создавайте только одного администратора (пользователя в группе Super Users).

5. Удалите неиспользуемые плагины, шаблоны и неактивных пользователей.

Через уязвимости в неиспользуемых и неактивных расширениях может внедряться вредоносный код. Если Вы не используете плагин, шаблон или другое дополнение - тут же его удаляйте.

6. Установите дополнительный пароль на уровне WEB-сервера Apache.

Создать двухуровневый доступ к административной части можно без специальных знаний. Для этого воспользуемся бесплатной утилитой АпачПаролеГенератор.

  • имя пользователя — Ваш будущий логин, к примеру admin
  • пароль — Ваш будущий пароль
  • путь к файлу .htpasswd — путь от корня сервера к папке administrator. Имеет вид:
    /var/www/ваш_логин_в_ispmanager/data/www/ваш_домен/administrator

Запомните или запишите себе указанные логин и пароль и нажмите «Сгенерить».

В открывшемся окне Вы увидите два блока с соответствующими командами: В файл /var/www/ваш_логин_в_ispmanager/data/www/ваш_домен/administrator/.htaccess скопируйте вывод верхнего окошка (если файла нет - просто создайте его), пример:

.htaccess
AuthUserFile /var/www/ваш_логин_в_ispmanager/data/www/ваш_домен/administrator/.htpasswd
AuthGroupFile /dev/null
AuthName "Запароленная зона"
AuthType Basic

В файл /var/www/ваш_логин_в_ispmanager/data/www/ваш_домен/administrator/.htpasswd скопируйте вывод нижнего окошка (логин:зашифрованный в MD5 пароль), пример:

.htpasswd
admin:aaNN3X.PL2piw

На этом настройка второго уровня аутентификации завершена. Перейдите в административную панель Вашего сайта для проверки изменений.

7. Установите права 444 на файл configuration.php, либо вынесите его в директорию уровнем выше.

Файл configuration.php содержит секретную информацию Вашего сайта, поэтому крайне важно исключить возможность несанкционированного доступа к нему.

Сделать это довольно легко: выставьте все необходимые настройки в configuration.php, и установите на файл права 444 с помощью FTP-менеджера или через панель управления. В крайнем случае, конфигурационный файл следует вынести за пределы корневой директории сайта.

Подробно о том, как это сделать.

8. Используйте SEF компоненты (ЧПУ).

Большинство хакеров используют «Google inurl: » при поиске уязвимостей для эксплойтов. Используйте Artio, JoomSEF или другой компонент SEF для того, чтобы переписать ссылки и помешать хакерам найти возможность эксплойта. Кроме того, при использовании дружественных URL (ЧПУ) Вы получите более высокий рейтинг в поисковых системах Google, Яндекс и пр.

9. Скройте просмотр позиций для модулей через "?tp=1".

При просмотре сайта по адресу http://ваш_сайт/?tp=1 можно легко убедиться что он работает именно на CMS Joomla. Для решения, в файл .htaccess сайта добавляем строки:

##### Start ?tp=1 prevention######
RewriteCond %{QUERY_STRING} tp=(.*)
RewriteRule ^(.*)$ index.php [F,L] 
##### End ?tp=1 prevention ######

Теперь любопытного пользователя, решившего просмотреть позиции модулей Вашего шаблона, просто перебросит на главную страницу сайта.

10. Не указывайте данные от FTP в настройках Joomla.

Никогда не сохраняйте данные Вашего FTP-аккаунта в настройках (к примеру, в Joomla 2.5:
Общие настройки > Сервер). Дополнительно ограничьте доступ по FTP с помощью файла .ftpaccess.

11. Используйте специализированное ПО для проверки сайта на вирусы.

Эффективным решением для защиты от эксплойтов, backdoor, SQL-инъекций и прочего являются:

Уделите всего несколько минут вопросам безопасности. Это сохранит Вам время и нервы, снизит вероятность взлома и убережет информацию от несанкционированного доступа.


Вместе с этим смотрят: