Защита сайта Joomla 3 от взлома

4.5 1 1 1 1 1 1 1 1 1 1 Рейтинг 4.50 (3 Голосов)

Защита сайта Joomla 3 от взлома

Каким бы не был Ваш сайт, простой одностраничник, или же большой портал он всегда будет под пристальным вниманием людей занимающимися взломами. И чем больше и влиятельней Ваш ресурс тем более пристальное внимание он будет привлекать к себе. 

Определить CMS на которой построен наш сайт очень просто, даже есть много онлайн сервисов которые позволяют это сделать. Скрыть эти следы, по которым определяется CMS, можно, но при очередном обновлении все ваши манипуляции перезапишутся базовыми файлами и все нужно повторять заново, а обновлять наш сайт надо будет, многие обновления имеют пакеты по исправлению ошибок и закрытию уязвимостей которые разработчики сразу не увидели. Ниже мы рассмотрим базовые средства для защиты от распространенных видов взлома.

Держите ваш сайт в актуальном (обновленном) состоянии.

Обновление сайта разработчиками делается не только для введения новых возможностей и технологий, но и для исправления старых багов и уязвимостей, которые предусмотреть на 100% практически невозможно, и они проявляются и исправляются в процессе использования сайта пользователями. Бытует мнение что не желательно сразу обновлять версию joomla на свежую, только вышедшию и здесь есть часть правды. Каждый сайт имеет множество плагинов и компонентов которые могут быть не совместимы с новой версией, по сему лучше всего протестировать это копие своего сайта находящейся на локальном хостинге (своем пк), ну а после, если нормально стало и все работает то установить уже на основной сайт не забыв сделать предварительно резервную копию (Тоже относится к плагинам и компонентам).

Изменить логин и пароль супер администратора.

Первое что надо сделать это переименовать логин супер администратора из стандартного ADMIN в любой который вы придумаете, а так же пароль не менее восьми символов содержащий буквы разного регистра (большие, маленькие), а так же цифры.

Изменение перфикса базы данных.

При установке Joomla более ранних версий система автоматически устанавливала перфикс jos что облегчало хакерам взлом вашей базы. В Joomla 3 перфикс генерируется автоматически, либо можно задать значение вручную.

Ограничение доступа к файлам конфигурации.

К базовым файлам конфигурации относятся файлы configuration.php и .htaccess которым после установки и настройки нашей CMS нужно будет установить права 444. Устанавливается через ФТП клиент (кликом правой кнопкой на файл, смена прав) WinSCP, FilleZilla либо можно через стандартный Total Commander. Но будьте внимательны - используйте ФТП клиенты скаченные только с официальных сайтов. Множество взломов сайтов происходит из вашего компьютера: либо вирусы отправляют взломщикам открытые файле с паролями хранящимися на вашем ПК, либо тот же скаченный на просторах интернета ломаный ФТП клиент отправит копию файла с логинами и паролями прямиком к взломщику, предоставив доступ к вашему сайту на блюдечке. Будьте бдительны, защищайте не только сайт но и рабочее место с которого у вас к нему полный доступ.

Замена адреса входа в админ панель.

Замена адреса входа в админ панель Joomla 3 Определив нашу CMS взломщик сразу же будет знать что для входа в админ панель надо перейти по адресу http://нашсайт.ru/administrator и его сразу перенаправит на страницу авторизации где он может начать процесс подбора логина и пароля, а если вы еще где нибудь отвечали в комментариях то логин у него уже есть что значительно упростит ему работу. Поэтому сделаем первый сюрприз такому взломщику, изменим адрес админ панели. Делается это с помощью расширения jSecure Lite которое можно скачать с официального сайта после предварительной регистрации http://www.joomlaserviceprovider.com/ . Расширение очень простое в использовании, после установки на наш сайт переходим в "Компоненты->jSecure Lite->Basic configuration" и там у нас всего лишь четыре позиции:

  • Enable - включение, выключение плагина.
  • Pass key - Url либо Form, режим работы плагина: URL - доступ к админ панели при вводе нужного url адреса в браузере; PASS KEY - доступ к админке при вводе в форму правильного ключа. Нас интересует первый режим, доступ по URL.
  • Key - поле ввода секретного ключа. Сюда мы вставляем наше секретное слово, к примеру: secret теперь же после сохранение наш адрес будет изменен на http://нашсайт.ru/administrator/?secret по этому и только по этому адресу теперь можно будет попасть в админ панель, то есть добавляется к стандартному адресу /? и следом ваше секретное слово.
  • Redirect Options - перенаправление при неправильном вводе адреса админ панели: на главную, либо оставаться на этой же странице.

Не забудьте записать куда нибудь секретное слово, Забыть всегда очень просто, а вот восстановить потом доступ к сайту потребует ненужных манипуляций, потраченного времени и нервов.

Конфидициальность на хостинге.

Если вы на одном хостинг-аккаунте держите несколько сайтов, или вы и ваши друзья размещаются на одном то всегда для каждого нового сайта создавайте новых пользователей, логины, пароли, фтп аккаунты с доступом только к своему сайту, а не к корневой папке. Думаю что будет неприятно из за одного потерять все сайты.

Основные виды взлома сайта:

  • SQL инъекция
  • PHP иньекция
  • Вирусы
  • Восстановление пароля администратора
  • Ошибки безопасности в расширениях
  • XSS или межсайтовый скриптинг

P.S.

Всегда и еще раз повторюсь ВСЕГДА делайте резервную копию сайта перед внесением изменений в основной код либо установки дополнительных компонентов. "Положить" сайт просто, а вот восстановить до прежнего состояния без резервных копий может потребовать недели, а порой проще начать все с начала чем искать хвосты в миллиардном коде. Тем более что создание резервной копии как и восстановление из нее занимает минуты.