13 советов улучшения безопасности Joomla

13 советов улучшения безопасности Joomla

Рост популярности системы управления контентом Joomla стал всё больше привлекать внимание злоумышленников к сайтам, которые используют ее. Но не стоит поддаваться панике, для обеспечения безопасности Joomla сайта существуют способы, соблюдение которых превратит ресурс в неприступную крепость. Статья предназначена для помощи пользователям Joomla CMS защитить сайт от хакерских атак.

1. Хостинг и серверы.

Первый и самый важный шаг – это выбор хостинга и сервера. Если сервер работает на устаревшем оборудовании или использует программное обеспечение, которое давно не обновлялось, то хакеру не составит особого труда взломать сайт, который там находится. Не спасает и ситуация, когда Ваш ресурс настроен правильно, но сайт, который находиться на том же сервере, может стать причиной взлома и Вашего ресурса. На данный момент рекомендуется размещать сайт на хостинге, сервера которого имеют следующую минимальную базовую конфигурацию:

  • - версия PHP 5.2 или выше;
  • - CGI-режиме с Su_PHP;
  • - гарантия технического администратора хостинг ресурса правильной настройки файлов .htaccess, php.ini, serverconfig.

2. Использование .htaccess файла.

Обязательно нужно убедиться, что файл htaccess.txt, который находится в корневой директории сайта Joomla, переименован в .htaccess. Правильная настройка данного файла, более чем подробно описана на данном ресурсе.

3. Права доступа. Учётные записи пользователей.

По негласному правилу на joomla сайте права на папки (директории) должны быть установлены (CHMOD) 755, а на файлы (CHMOD) 640. Права (CHMOD) 777 не должны быть пременены ни к какому либо файлу или папке!

Имя пользователя "admin" к которому привыкли многие, должно быть обязательно переименовано на другое, данное действие усложнит работу злоумышленнику (взломщику).

4. Система резервного копирования.

Создавать резервные копии сайта нужно после каждого обновления материалов. Идеально конечно будет, если производить резервное копирование каждый день. Это позволит быстро и без лишних хлопот возобновить работу ресурса в случае его взлома.

5. Расширения от сторонних разработчиков.

Основная часть проникновения на сайт происходит именно через дополнения, которые расширяют функциональную часть joomla. По этому, устанавливайте те расширения, которые действительно необходимы, не забывайте следить за их своевременным обновлением. При этом нужно всегда помнить, что даже небезопасное расширение может стать причиной краха ресурса.

6. Версии расширений (внутренние номера).

Иногда бывает, что уязвимости подвергаются конкретные версии расширений. Будет лучше, если хакеры не будут знать, какие версии дополнений используются на joomla ресурсе, это затруднит или сорвёт запланированную атаку хакеров.

7. Удаление неиспользуемых файлов.

Часто случается, что установленное расширение больше не нужно, или перестало удовлетворять какие либо требования. Такие расширения необходимо отключить, но и удалить полностью его файлы.

8. Парольная защита.

Лёгкие пароли всегда являлись слабым местом при взломе. Нужно использовать пароль, в котором будут присутствовать буквы, символы, цифры в верхнем и нижнем регистре, по возможности смену паролей производить каждые 30 дней.

Ни в коем случае не следует оставлять без внимания базу данных MySQL, доступ к ней, в обязательном порядке так же должен быть защищен паролем.

Следует применить защиту паролем папок/директорий сайта Joomla, хоть это и приведёт к двойной авторизации, но поверьте, оно того стоит!

9. Префикс таблиц баз данных.

Механизм произведения SQL инъекций сводится к получению доступа к таблице базы данных "jos_users". Если злоумышленнику удается завладеть этими данными, то у него будут все имена пользователей и пароли в т.ч. и пароль «супер администратора».

В процессе установки joomla на сервер нужно в обязательном порядке изменить префикс. На действующем сайте под управлением joomla 1.5 это можно сделать с помощью компонента DB admin. В версиях joomla 1.7 и выше уже используется случайный префикс таблиц баз данных (в joomla 1.6 изменить префикс на сайте крайне сложно!).

10. SSL сертификат.

Использовать на сайте SSL сертификат крайне рекомендуется, но следует помнить ,что его использование на домене должно быть правильно настроено, включить простым способом в Joomla его не получиться.

11. Отключение FTP в Joomla.

Отключить FTP в Joomla нужно в любом случае, и обязательно убедиться, что FTP больше не хранит информацию о данных для входа!

12. Отключение register_globals.

Отключите register_globals, но при этом помните, что это может повлиять на работу некоторых скриптов и программ, которые используются на сайте.

13. Дружественный URL (ЧПУ).

На сайтах под управлением Joomla всегда нужно использовать дружественный для поисковых систем URL. Данная мера не только позволит поднять рейтинг Вашего ресурса в поисковой системе, но и существенно затруднит его взлом!

Комментарии  

 
Александр
0 # Александр 01.01.2013 17:18
По поводу "Следует применить защиту паролем папок/директори й сайта Joomla, хоть это и приведёт к двойной авторизации, но поверьте, оно того стоит!" - какие папки можно защитить без ущерба для сайта? я так полагаю что папку администратора можно закрыть паролем, а еще какие можно закрыть, что бы обычные юзеры на пароли не наталкивались?
Ответить | Ответить с цитатой | Цитировать
 
 
webors
0 # webors 21.08.2013 10:44
Цитата:
Создавать резервные копии сайта нужно после каждого обновления материалов. Идеально конечно будет, если производить резервное копирование каждый день. Это позволит быстро и без лишних хлопот возобновить работу ресурса в случае его взлома.
Есть у этого способа защиты обратная сторона медали: а если заражение идет в несколько этапов например 5 и первые 4 не дают о себе знать, а всплывает все на последнем на пятом этапе, и промежуток между этапами от недели, вы представляете сколько нужно хранить резервных копий на всякий случай? А если сайт восстановлен с третьим или четвертым этапом заражения, то смысл восстанавливать , взлом будет произведен еще быстрее, и в итоге у вас с резервными копия копиями сайта будет полный бардак. А если сайтов несколько?
Ответить | Ответить с цитатой | Цитировать
 

Последнее в блоге

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9

Последние комментарии