Joomla как защитить сайт

В этом небольшом обзоре посмотрим на некоторые уязвимые места сайта на Joomla. Любая бесплатная CMS, как правило, защищена хуже коммерческой и Джумла не исключение.

Придумайте уникальное имя и пароль для админа

Как бы банально это не звучало, но не создавайте таких вот тестовых админов с паролем 123456. У вас должен быть хороший пароль с большим количеством символов (желательно не имеющих смысла). Цифры и большие буквы вперемешку будут только плюсом. Для надежности, назовите юзера не банальными admin или administrator, а как-то более уникально.

Не забывайте удалять папку installation

Благодаря этой папке можно перезаписать ваш старый сайт. Поэтому, когда вас при установке спросят, хотите ли вы удалить эту директорию, нажмите Да, и убедитесь, что все прошло успешно.

Следите за обновлениями сайта и плагинов

Обновлять Joomla нужно как только — так сразу. Скачивая обновления, мы не только фиксим баги но и залатываем дыры в безопасности сайта, что немаловажно. Некоторые плагины и модули также подвержены атакам со стороны, поэтому убедитесь в актуальности их версий. Кстати говоря, откажитесь от более неподдерживаемых версий Joomla — рекомендую версию не меньше 2.5, а если у вас старая версия (например 1.7) — задумайтесь о миграции.

Регулярно делайте резервную копию

Если ваш сайт часто обновляется материалами, возьмите за правило делать резервную копию хотя бы раз в неделю, или раз в месяц. В этом вам поможет Akeeba Backup.

Не забывайте использовать .htaccess

При установки htaccess обычно записывается в текстовый файл htaccess.txt, и очень важно его переименовать в .htaccess (но если его нет, не беда). Есть мнение, что это уменьшит риск заражения столь популярными base64 вирусами. Создайте файл на сервере со следующим содержанием, вот краткая версия:

RewriteEngine On
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [OR]
RewriteRule .* index.php [F]

также, есть более полная версия, не уверен что у вас сработает, проверял на Joomla 3.2 +

##
# @package    Joomla
# @copyright  Copyright (C) 2005 - 2015 Open Source Matters. All rights reserved.
# @license    GNU General Public License version 2 or later; see LICENSE.txt
##

##
# READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE!
#
# The line just below this section: 'Options +FollowSymLinks' may cause problems
# with some server configurations.  It is required for use of mod_rewrite, but may already
# be set by your server administrator in a way that disallows changing it in
# your .htaccess file.  If using it causes your server to error out, comment it out (add # to
# beginning of line), reload your site in your browser and test your sef url's.  If they work,
# it has been set by your server administrator and you do not need it set here.
##

## No directory listings
IndexIgnore *

## Can be commented out if causes errors, see notes above.
Options +FollowSymlinks
Options -Indexes

## Mod_rewrite in use.

RewriteEngine On

## Begin - Rewrite rules to block out some common exploits.
# If you experience problems on your site block out the operations listed below
# This attempts to block the most common type of exploit `attempts` to Joomla!
#
# Block out any script trying to base64_encode data within the URL.
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
# Block out any script that includes a <script> tag in URL.
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL.
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL.
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Return 403 Forbidden header and show the content of the root homepage
RewriteRule .* index.php [F]
#
## End - Rewrite rules to block out some common exploits.

## Begin - Custom redirects
#
# If you need to redirect some pages, or set a canonical non-www to
# www redirect (or vice versa), place that code here. Ensure those
# redirects use the correct RewriteRule syntax and the [R=301,L] flags.
#
## End - Custom redirects

##
# Uncomment following line if your webserver's URL
# is not directly related to physical file paths.
# Update Your Joomla! Directory (just / for root).
##

# RewriteBase /

## Begin - Joomla! core SEF Section.
#
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
#
# If the requested path and file is not /index.php and the request
# has not already been internally rewritten to the index.php script
RewriteCond %{REQUEST_URI} !^/index\.php
# and the requested path and file doesn't directly match a physical file
RewriteCond %{REQUEST_FILENAME} !-f
# and the requested path and file doesn't directly match a physical folder
RewriteCond %{REQUEST_FILENAME} !-d
# internally rewrite the request to the index.php script
RewriteRule .* index.php [L]
#
## End - Joomla! core SEF Section.

Используйте ЧПУ

Одна из известных уязвимостей кроется в странных машинных адресах джумлы — просто включите в админке ЧПУ (Включить SEF(ЧПУ) — Да). Также, это пригодится вам в дальнейшем в SEO.

Следите за правами на файлы и папки

Не ставьте права 777 — вы, прежде всего, должны защитить их от перезаписи (рекомендуется ставить 644, а то и 555).

Советы по безопасности

  • Запретите всем подряд регистрироваться на вашем сайте, это уменьшит риск возникновения вирусов 🙂 . Если же регистрация столь необходима, внимательно контролируйте кто у вас зарегистрировался.
  • Перенесите директории «logs/» и «tmp/» — в настройках системы и настройках сервера вы можете поменять пути, по умолчанию они ведут к корню сайта.
  • В новых версиях Joomla можно включить двухэтапную авторизацию. Включить и настроить эту опцию можно в разделе «Пользователи» -> «Менеджер пользователей» -> Имя вашего пользователя -> «Двухфакторная аутентификация».

Что делать если сайт взломали?

Если это все таки произошло, немедленно напишите в тех.поддержку хостинга (если он вам сам не написал 🙂 ). Попросите сканирование на вирусы и логи, чтобы выяснить когда и где взаимодействовали с сайтом.
От себя вы можете сделать следующее:

  1. Смените пароль администратора сайта и закройте доступ остальным пользователям из группы админов
  2. Поменяйте доступы по FTP (логин и пароль)
  3. Проверьте свой компьютер на вирусы
  4. Пока хостер отвечает, можно скачать файлы сайта и проверить своим антивирусом (я использую ESET Smart Security)
  5. Используйте веб-антивирус, мне помог aibolit-for-windows — этот антивирус нашел целую кучу файлов, которую не нашли даже при сканировании хостеры (найти его можно в интернете на официальном сайте, и запустить на вашем компьютере).
  6. Чтобы ускорить выход сайта из бана, отправьте письма, что ваш сайт больше не содержит вредоносного кода (не помню эти сервисы, отправлял на 2 сайта, одна от гугл вторая зарубежная).

Надеюсь эти советы позволят сделать ваш сайт безопасным 🙂 .

автор: Dmitriy

Занимаюсь веб-разработкой с 2011 года. Посмотреть некоторые из моих работ, а также узнать чуть больше обо мне, вы можете на forwww.ru.

Какие услуги предоставляю:
- Создание сайтов, шаблонов и компонентов на 1С-Битрикс;
- Разработка функционала с нуля и доработка кода на уже созданных проектах;
- Адаптивная вёрстка макетов и натяжка на Битрикс;
- Парсинг файлов и выгрузка на сайт (форматы - CSV, XML, XLSX, JSON)
- Интеграции со сторонними сервисами по API;
- Многоязычные версии и многое другое.

Если у вас остались вопросы, свяжитесь со мной любым удобным для вас способом или оставьте комментарий внизу.
E-mail: dmitriyribka@gmail.com
Skype: cinemacreaterus

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *