В этом небольшом обзоре посмотрим на некоторые уязвимые места сайта на Joomla. Любая бесплатная CMS, как правило, защищена хуже коммерческой и Джумла не исключение.
Придумайте уникальное имя и пароль для админа
Как бы банально это не звучало, но не создавайте таких вот тестовых админов с паролем 123456. У вас должен быть хороший пароль с большим количеством символов (желательно не имеющих смысла). Цифры и большие буквы вперемешку будут только плюсом. Для надежности, назовите юзера не банальными admin или administrator, а как-то более уникально.
Не забывайте удалять папку installation
Благодаря этой папке можно перезаписать ваш старый сайт. Поэтому, когда вас при установке спросят, хотите ли вы удалить эту директорию, нажмите Да, и убедитесь, что все прошло успешно.
Следите за обновлениями сайта и плагинов
Обновлять Joomla нужно как только – так сразу. Скачивая обновления, мы не только фиксим баги но и залатываем дыры в безопасности сайта, что немаловажно. Некоторые плагины и модули также подвержены атакам со стороны, поэтому убедитесь в актуальности их версий. Кстати говоря, откажитесь от более неподдерживаемых версий Joomla – рекомендую версию не меньше 2.5, а если у вас старая версия (например 1.7) – задумайтесь о миграции.
Регулярно делайте резервную копию
Если ваш сайт часто обновляется материалами, возьмите за правило делать резервную копию хотя бы раз в неделю, или раз в месяц. В этом вам поможет Akeeba Backup.
Не забывайте использовать .htaccess
При установки htaccess обычно записывается в текстовый файл htaccess.txt, и очень важно его переименовать в .htaccess (но если его нет, не беда). Есть мнение, что это уменьшит риск заражения столь популярными base64 вирусами. Создайте файл на сервере со следующим содержанием, вот краткая версия:
RewriteEngine On
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [OR]
RewriteRule .* index.php [F]
также, есть более полная версия, не уверен что у вас сработает, проверял на Joomla 3.2 +
##
# @package Joomla
# @copyright Copyright (C) 2005 - 2015 Open Source Matters. All rights reserved.
# @license GNU General Public License version 2 or later; see LICENSE.txt
##
##
# READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE!
#
# The line just below this section: 'Options +FollowSymLinks' may cause problems
# with some server configurations. It is required for use of mod_rewrite, but may already
# be set by your server administrator in a way that disallows changing it in
# your .htaccess file. If using it causes your server to error out, comment it out (add # to
# beginning of line), reload your site in your browser and test your sef url's. If they work,
# it has been set by your server administrator and you do not need it set here.
##
## No directory listings
IndexIgnore *
## Can be commented out if causes errors, see notes above.
Options +FollowSymlinks
Options -Indexes
## Mod_rewrite in use.
RewriteEngine On
## Begin - Rewrite rules to block out some common exploits.
# If you experience problems on your site block out the operations listed below
# This attempts to block the most common type of exploit `attempts` to Joomla!
#
# Block out any script trying to base64_encode data within the URL.
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
# Block out any script that includes a <script> tag in URL.
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL.
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL.
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Return 403 Forbidden header and show the content of the root homepage
RewriteRule .* index.php [F]
#
## End - Rewrite rules to block out some common exploits.
## Begin - Custom redirects
#
# If you need to redirect some pages, or set a canonical non-www to
# www redirect (or vice versa), place that code here. Ensure those
# redirects use the correct RewriteRule syntax and the [R=301,L] flags.
#
## End - Custom redirects
##
# Uncomment following line if your webserver's URL
# is not directly related to physical file paths.
# Update Your Joomla! Directory (just / for root).
##
# RewriteBase /
## Begin - Joomla! core SEF Section.
#
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
#
# If the requested path and file is not /index.php and the request
# has not already been internally rewritten to the index.php script
RewriteCond %{REQUEST_URI} !^/index\.php
# and the requested path and file doesn't directly match a physical file
RewriteCond %{REQUEST_FILENAME} !-f
# and the requested path and file doesn't directly match a physical folder
RewriteCond %{REQUEST_FILENAME} !-d
# internally rewrite the request to the index.php script
RewriteRule .* index.php [L]
#
## End - Joomla! core SEF Section.
Используйте ЧПУ
Одна из известных уязвимостей кроется в странных машинных адресах джумлы – просто включите в админке ЧПУ (Включить SEF(ЧПУ) – Да). Также, это пригодится вам в дальнейшем в SEO.
Следите за правами на файлы и папки
Не ставьте права 777 – вы, прежде всего, должны защитить их от перезаписи (рекомендуется ставить 644, а то и 555).
Советы по безопасности
- Запретите всем подряд регистрироваться на вашем сайте, это уменьшит риск возникновения вирусов 🙂 . Если же регистрация столь необходима, внимательно контролируйте кто у вас зарегистрировался.
- Перенесите директории “logs/” и “tmp/” – в настройках системы и настройках сервера вы можете поменять пути, по умолчанию они ведут к корню сайта.
- В новых версиях Joomla можно включить двухэтапную авторизацию. Включить и настроить эту опцию можно в разделе «Пользователи» -> «Менеджер пользователей» -> Имя вашего пользователя -> «Двухфакторная аутентификация».
Что делать если сайт взломали?
Если это все таки произошло, немедленно напишите в тех.поддержку хостинга (если он вам сам не написал 🙂 ). Попросите сканирование на вирусы и логи, чтобы выяснить когда и где взаимодействовали с сайтом.
От себя вы можете сделать следующее:
- Смените пароль администратора сайта и закройте доступ остальным пользователям из группы админов
- Поменяйте доступы по FTP (логин и пароль)
- Проверьте свой компьютер на вирусы
- Пока хостер отвечает, можно скачать файлы сайта и проверить своим антивирусом (я использую ESET Smart Security)
- Используйте веб-антивирус, мне помог aibolit-for-windows – этот антивирус нашел целую кучу файлов, которую не нашли даже при сканировании хостеры (найти его можно в интернете на официальном сайте, и запустить на вашем компьютере).
- Чтобы ускорить выход сайта из бана, отправьте письма, что ваш сайт больше не содержит вредоносного кода (не помню эти сервисы, отправлял на 2 сайта, одна от гугл вторая зарубежная).
Надеюсь эти советы позволят сделать ваш сайт безопасным 🙂 .
