Защита сайта на CMS Joomla 2.5 от взлома. Общие рекомендации.

1 звезда2 звезда3 звезда4 звезда5 звезда (4 голос, рейтинг: 4,75 из 5)
Loading ... Loading ...

Хотите оперативно получать новые уроки и статьи блога LAWANS.RU. Просто введите ВАШ e-mail на форме справа >>>

Привет Всем!

Как и обещал, начинаю серию статей по защите сайтов под управлением CMS Joomla 2.5 от взлома.

В последнее время популярность CMS Joomla растет быстрыми темпами и соответственно растёт внимание всяких кул хакеров к сайтам, на которых она установлена. Поэтому данной проблеме решил посвятить серию статей.

Мы будем рассматривать комплексный подход к данной проблеме, т.е. будем подходить к защите с разных сторон. В данном посте я дам общие рекомендации по настройке и соблюдению некоторых правил.

А защита начинается уже перед установкой CMS Joomla 2.5 на хостинг.

1. ВАЖНОЕ ЗАМЕЧАНИЕ! Скачивать дистрибутивы CMS Joomla 2.5 необходимо с официальных сайтов. На них заведомо нет вирусов или паразитных (внешних) ссылок в архиве  дистрибутива.Внешние ссылки встраиваются для продвижения своих сайтов непорядочными веб-мастерами. Представьте, если на сайт зайдут даже несколько сотен человек и скачают такой  дистрибутив, то сайт, на который будут вести эти встроенные ссылки после установки его на хостинг бесплатно обогатится десятками или даже сотнями ссылающихся на него сайтами, тем самым они повысят его рейтинг в поисковых системах. А для вашего сайта при этом не будет никакой пользы, а скорее наоборот. Кстати это относится и к шаблонам! В следующих постах мы рассмотрим процедуру поиска таких ссылок.

Далее идёт процесс установки CMS Joomla 2.5  и вот здесь также необходимо сделать некоторые манипуляции по защите, а именно:

2. Изменить (придумать свой) префикс для таблиц в базе данных. На этапе установки это сделать гораздо проще, нежели потом. На этапе установки это можно сделать в окне Конфигурация базы данных.

Смена префикса у таблиц

Нам просто нужно ввести свой префикс таблиц, а не тот который предлагает нам установщик. Таким образом, злоумышленник не будет знать наши названия таблиц в базе и делать так называемые SQL инъекции, о которых мы поговорим позже.

Если CMS Joomla 2.5 уже установлена, то смена префикса довольно проблематична, хотя и осуществима, однако рассчитана на более опытного пользователя. Для этого нужно будет  сменить префикс в админке:

префикс в базе

А далее, в через оснастку Phpmyadmin на хостинге сменить префикс и у таблиц в базе (вручную). Однако перед этим следует сделать резервную копию базы! Есть наверняка скрипт, который сможет это сделать автоматом, но на просторах инета я его не нашёл.

3. Также на этапе установки, а можно и после неё необходимо задать сложный пароль на вход в админку. В самой админке это можно сделать по пути Пользователи – Менеджер пользователей. Далее выбрать пользователя в группе Super Users (кстати, желательно чтобы  пользователь из такой группы был один, т.е. один админ на сайте). Я подчеркнул, что необходимо изменить на рисунке, включая и Логин пользователя.

Простые пароли это слабое место на сайте. Используйте пароль, в котором будут присутствовать буквы в верхнем и нижнем регистре, цифры, символы, старайтесь также почаще производить смену пароля в админку сайта.

смена пароля админа

5. Этап сокрытия типа установленной CMS Joomla 2.5.  Довольно сложно это сделать, так как  опытный взломщик без труда сможет определить, что у вас стоит именно CMS Joomla и даже какой линейки. Всё это видно в коде HTML страницы! К примеру в той секции, где идут пути к css или js файлаv шаблона. Бывает даже сторонние компоненты подключают свои стили или библиотеки. И тут уже явно видно, что стоит CMS Joomla. Линейку косвенно можно определить перейдя например по пути входа в админку  – имя_сайта/administrator/ ведь если стоит шаблон админки по умолчанию, то по внешнему виду можно отличить линейка 1.5.х. или 1.6-1.7-2.5 перед нами. Можно конечно сменить шаблон админки (но это кому как удобнее). Также косвенно можно определить линейки 1.5.х. или 1.6-1.7-2.5 набрав в браузере имя_сайта/?tp=1

В старых версиях CMS Joomla сразу отобразятся позиции модулей на сайте (там эта опция зашита и нам её не выключить без некоторых манипуляций). В линейке 1.6-1.7-2.5 эта опция по умолчанию выключена и если она не работает на сайте, то можно сделать вывод, что перед нами новая линейка (так как в старой линейке она должна работать в любом случае, если конечно не сделаны какие-либо хаки, что редко бывает)

В этом же пункте я добавлю то, что можно сделать и замену favicon (иконку) сайта. Она лежит по пути  – корень сайта/templates/имя_шаблона/ favicon.ico

Вы можете создать свою иконку и положить её по этому пути. А в шаблоне должна присутствовать строка:

 <link href="/templates/имя_шаблона/favicon.ico" rel="shortcut icon" type="image/vnd.microsoft.icon" />

Сделать свою favicon можно погуглив по инету и найдя сервис (такие точно есть) по их созданию.

6. Использование файла .htaccess. Необходимо переименовать файл htaccess.txt, который лежит в корне сайта CMS Joomla в .htaccess.

7. Резервирование данных. Обязательно делайте резервные копию баз данных и самих файлов CMS Joomla . Это можно делать средствами самой  CMS Joomla , по этому поводу можете прочитать мои поcты тут, тут и вот тут. Или можно это делать средствами самого хостера. И если даже сайт взломают, у вас всегда будет его актуальная версия. Идеально, если делать резервные копии каждый день!

 8. Удаление неиспользуемых расширений. Часто бывает так , что установленное расширение больше не требуется или устарело. Тогда лучше всего просто удалить его. Оставляйте только самое необходимое. Желательно перед установкой нового расширения сначала протестировать его на тестовом сайте. Просто по иронии судьбы, может случиться так, что именно в таком расширении взломщики найдут уязвимость. Ведь основная часть взломов сайта происходит как раз через сторонние расширения. И также, не забывайте следить за своевременным обновлением как самой CMS Joomla так и сторонних расширений.

9. Включение URL (ЧПУ) на сайте. Подробнее об этом было в одном и моих постов и ещё тут. Во-первых эта мера позволит поднять рейтинг сайта  в поисковой системе, а во-вторых затруднит его взлом!

10. Отключение FTP в CMS Joomla 2.5. Это делается также на этапе установки CMS Joomla , но можно эту настройку поглядеть и по пути в админке Общие настройки- Сервер:

отключаем ftp

Всё должно быть отключено и никаких данных о имени пользователя и пароле НЕ ДОЛЖНО БЫТЬ!

Вот основные настройки и рекомендации, которых следует придерживаться владельцам сайтов с установленной CMS Joomla 2.5

В следующем посте будем рассматривать тему вирусов на сайтах, как предотвратить их появление на сайте, как их искать и как бороться с последствиями.

Может быть, у Вас есть ещё какие-то общие рекомендации для защиты CMS Joomla 2.5 от взлома? Пишите в комментариях!


У ВАС ведь есть ТЕЛЕФОН? Или mp3-player? А может даже планшет, ноутбук или игровая консоль!
Хочется, чтобы он был необычным и уникальным?
Заходите к нам – мы поможем.

  
  
{lang: 'ru'}

Похожие статьи

6 thoughts on “Защита сайта на CMS Joomla 2.5 от взлома. Общие рекомендации.

  1. А разве префиксы при установке джумлы не генерируются рандомно??? Я думал они для этого и есть такие и все время разные =(

  2. Есть простой способ изменения префикса в таблицах:
    1. Экспортируем в phpMyAdmin базу данных на комп в формате .sql
    2. Открываем любым текстовым редактором
    3. Делаем замену старого префикса на новый.
    Даже в Блокноте есть подобная возможность (Правка – Заменить…) и в поле “Что” вбиваем старый префикс, в поле “Чем”соответственно новый префикс БД.
    В Notepad++ аналогично (Поиск-Замена…). Или одинаковая для обеих программ комбинация “ctrl+h”.
    4. После сохраняем файл и импортируем БД обратно в phpMyAdmin.
    5. Осталось только поменять префикс в админке Жумлы (Общие настройки – Сервер – Префикс таблиц базы данных). Так это можно сделать в файле configuration.php (графа “public $dbprefix”) в корневом каталоге сайта.

  3. В joomla 2.5 префиксы к таблицам генерируются случайным образом, так что ничего менять не надо, а этот совет к версии 1.5. :)

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>