Joomla как защитить сайт

В этом небольшом обзоре посмотрим на некоторые уязвимые места сайта на Joomla. Любая бесплатная CMS, как правило, защищена хуже коммерческой и Джумла не исключение.

Придумайте уникальное имя и пароль для админа

Как бы банально это не звучало, но не создавайте таких вот тестовых админов с паролем 123456. У вас должен быть хороший пароль с большим количеством символов (желательно не имеющих смысла). Цифры и большие буквы вперемешку будут только плюсом. Для надежности, назовите юзера не банальными admin или administrator, а как-то более уникально.

Не забывайте удалять папку installation

Благодаря этой папке можно перезаписать ваш старый сайт. Поэтому, когда вас при установке спросят, хотите ли вы удалить эту директорию, нажмите Да, и убедитесь, что все прошло успешно.

Следите за обновлениями сайта и плагинов

Обновлять Joomla нужно как только — так сразу. Скачивая обновления, мы не только фиксим баги но и залатываем дыры в безопасности сайта, что немаловажно. Некоторые плагины и модули также подвержены атакам со стороны, поэтому убедитесь в актуальности их версий. Кстати говоря, откажитесь от более неподдерживаемых версий Joomla — рекомендую версию не меньше 2.5, а если у вас старая версия (например 1.7) — задумайтесь о миграции.

Регулярно делайте резервную копию

Если ваш сайт часто обновляется материалами, возьмите за правило делать резервную копию хотя бы раз в неделю, или раз в месяц. В этом вам поможет Akeeba Backup.

Не забывайте использовать .htaccess

При установки htaccess обычно записывается в текстовый файл htaccess.txt, и очень важно его переименовать в .htaccess (но если его нет, не беда). Есть мнение, что это уменьшит риск заражения столь популярными base64 вирусами. Создайте файл на сервере со следующим содержанием, вот краткая версия:

также, есть более полная версия, не уверен что у вас сработает, проверял на Joomla 3.2 +

Используйте ЧПУ

Одна из известных уязвимостей кроется в странных машинных адресах джумлы — просто включите в админке ЧПУ (Включить SEF(ЧПУ) — Да). Также, это пригодится вам в дальнейшем в SEO.

Следите за правами на файлы и папки

Не ставьте права 777 — вы, прежде всего, должны защитить их от перезаписи (рекомендуется ставить 644, а то и 555).

Советы по безопасности

  • Запретите всем подряд регистрироваться на вашем сайте, это уменьшит риск возникновения вирусов 🙂 . Если же регистрация столь необходима, внимательно контролируйте кто у вас зарегистрировался.
  • Перенесите директории «logs/» и «tmp/» — в настройках системы и настройках сервера вы можете поменять пути, по умолчанию они ведут к корню сайта.
  • В новых версиях Joomla можно включить двухэтапную авторизацию. Включить и настроить эту опцию можно в разделе «Пользователи» -> «Менеджер пользователей» -> Имя вашего пользователя -> «Двухфакторная аутентификация».

Что делать если сайт взломали?

Если это все таки произошло, немедленно напишите в тех.поддержку хостинга (если он вам сам не написал 🙂 ). Попросите сканирование на вирусы и логи, чтобы выяснить когда и где взаимодействовали с сайтом.
От себя вы можете сделать следующее:

  1. Смените пароль администратора сайта и закройте доступ остальным пользователям из группы админов
  2. Поменяйте доступы по FTP (логин и пароль)
  3. Проверьте свой компьютер на вирусы
  4. Пока хостер отвечает, можно скачать файлы сайта и проверить своим антивирусом (я использую ESET Smart Security)
  5. Используйте веб-антивирус, мне помог aibolit-for-windows — этот антивирус нашел целую кучу файлов, которую не нашли даже при сканировании хостеры (найти его можно в интернете на официальном сайте, и запустить на вашем компьютере).
  6. Чтобы ускорить выход сайта из бана, отправьте письма, что ваш сайт больше не содержит вредоносного кода (не помню эти сервисы, отправлял на 2 сайта, одна от гугл вторая зарубежная).

Надеюсь эти советы позволят сделать ваш сайт безопасным 🙂 .

автор: Dmitriy

Занимаюсь веб-разработкой с 2011 года. Посмотреть некоторые из моих работ, а также узнать чуть больше обо мне, вы можете на forwww.com/dmitriy/.

Какие услуги предоставляю:
- Создание сайтов, шаблонов и компонентов на 1С-Битрикс;
- Разработка функционала с нуля и доработка кода на уже созданных проектах;
- Адаптивная вёрстка макетов и натяжка на Битрикс;
- Парсинг файлов и выгрузка на сайт (форматы - CSV, XML, XLSX, JSON)
- Интеграции со сторонними сервисами по API;
- Многоязычные версии и многое другое.

Если у вас остались вопросы, свяжитесь со мной любым удобным для вас способом или оставьте комментарий внизу.
E-mail: dmitriyribka@gmail.com
Skype: cinemacreaterus

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *