CMS Joomla считается довольно безопасной системой управления контентом, но и в ней всё же есть довольно много уязвимостей.
Если не обезопасить свой сайт на Joomla, то даже не очень опытный хакер сможет взломать его. Поэтому о безопасности сайта необходимо подумать и подготовиться заранее, а не тогда, когда ваш сайт уже взломают.
Установка хорошего антивируса на ваш компьютер, например DrWeb, который регулярно будет обновляться, что чрезвычайно важно
Скачивайте и устанавливайте расширения только с проверенных, желательно известных Вам, источников и с официальных сайтов разработчиков этих расширений. На "левых" сайтах могут находится не только оригинальные, но и краденные или взломанные расширения с неизвестно каким содержимым. А если всё-таки скачали что-то, то перед установкой проверьте антивирусом. Тестируйте такие расширения сначала на тестовом сайте или на локальном компьютере, перед тем как ставить на рабочий сайт в интернете.
Обязательно делайте резервные копии сайта и базы данных (бекапы). Для этого используйте расширение Akeeba Backup, как наиболее распространенную утилиту . Это поможет защититься не только от хакеров, но и от своих собственных ошибок, зачастую восстановление избавит Вас от мучительно больной потери информации или невозможности вернуть назад. Делайте резервные копии сайта после каждого изменения и скачивайте его (файлы архива) на свой локальный компьютер.
Для того, чтобы спрятать свой сайт от глаз хакеров, также нужно использовать SEF компоненты для генерации человеко понятных ссылок. Для этого можно пользоваться стандартным, встроенным в Joomla SEF или же установить стороннее расширение с таким компонентом. Это необходимо из-за того, что Joomla по своему генерирует ссылки.
Скройте, какую CMS вы используете. Это снизит риск попадания поле зрения хакера вашего сайта. Для этого удалите из кода вашего сайта строчку:
<div><?php echo JText::_( 'FOOTER_LINE2' ); ?></div>
которая находится в файле - ваш сайт/modules/mod_footer/tmpl/default.php
Например, базы данных: SoftClipper - программирование, утилиты, форум
Установите плагин Backend Token или другие, подобные ему для защиты административной панели Joomla. В этом плагине нужно будет ввести кодовое слово. После того, как вы его введёте, ссылка на админ-панель вашего сайта будет выглядеть так: ваш сайт/administrator/index.php?token=кодовое_слово. Таким образом хакер просто не сможет даже увидеть вашу административную панель, введя обычный в адресной строке браузера путь в административную панель сайта - ваш сайт/administrator. Это хорошая и простая защита административной панели Joomla.
Постоянно обновляйте расширения, которые стоят на вашем сайте, а при установке новых – ищите самые свежие версии. Разработчики часто выпускают обновления своих продуктов с улучшенной защитой, т.к. хакеры постоянно находят в них какие-нибудь изъяны.
Все расширения, которые не используются на сайте в данный момент лучше удалять полностью! Также базу данных необходимо почистить. Оставляйте только самое необходимое и не ставьте все подряд для различных тестов на рабочий сайт. Например, в каком-то расширении злоумышленники нашли уязвимость. Если у вас стоит именно оно, а вы им даже не пользуетесь и, естественно, не обновляли его (пусть он даже и выключен), то это всё равно не спасёт вас от атаки.
Для того, чтобы хакеры не знали, какая версия уязвимого расширения стоит на вашем сайте (версии постоянно обновляются и избавляются от "дырок"), вам необходимо удалить номера версий всех сторонних расширений. Для этого с помощью любого текстового редактора удалите в файлах этих расширений любые упоминания об их версиях.
Если на своем сайте не используете модуль регистрации пользователей, то лучше удалить файлы, которые отвечают за восстановление пароля и его сброс. Также можно удалить или всю папку com_user (которая находится по пути ваш сайт/components) или отдельный файл, отвечающий за сброс - reset.php. Этот файл находится по пути - ваш сайт/components/com_user/models.
Для борьбы с SQL инъекциями есть два основный способа.
Первый - это установка плагина, подобного RSFireWall (хороший и довольно мощный компонент) и включение всех его функций. Второй - это смена префикса к таблицам в базе данных,который защитит ваш сайт практически от всех SQL инъекций.
Подробнее второй способ:
отключите сайт в общих настройках joomla, так как он всё равно выйдет из строя на некоторое время
обязательно сделайте резервную копию данных
заходите в административную панель своего сайта, перейдите в общие настройки/сервер. В правой части экрана ищите "Префикс базы данных", там будет написано jos_. Заменяете его на любую надпись, например, на soj_ и сохраняете
вам необходимо сделать экспорт своей базы данных на компьютер и сохранить её - зайдите в PhpMyAdmin, выберете базу данных и в правой части экрана вверху ищите "Экспорт". Выделяете все части базы, внизу ставьте SQL и ещё чуть ниже "Сохранить как файл". Справа внизу нажимаете на кнопочку "Ok". Сделайте ещё одну копию на всякий случай и сохраните её куда-нибудь в другое место;
далее можно приступить к удалению базы из PhpMyAdmin. Выберете базу данных, промотайте мышью в низ экрана и найдите там "Отметить все". Отмечаете и чуть правее ищите "С отмеченными" и выбирайте удалить;
далее необходимо открыть сохранённый файл с базой данных текстовым редактором, к примеру, блокнотом. Нажмите Ctrl+H и увидите такое окно, с помощью которого можно изменить все префиксы в Вашей таблице, нажав на "Заменить все":
далее заходите в PhpMyAdmin и нажимайте справа вверху "Импорт" и выбирайте Ваш файл с новыми данными. Кодировку поставьте UTF-8.
Правильно выставите права на файлы и папки на удаленном сервере, с помощью какого либо файлового менеджера или прямо на хостинге, где расположен ваш сайт в разделе «Файловый менеджер». Важно – у каждого сервера могут быть свои настройки, которые лучше узнать у своего хостера, но обычно ставят такие права:
- файлы, которые находятся в корневой директории 444,
- папка в корневой директории 755,
- папка tmp и logs 705,
- папка шаблона 555,
- папка image/stories 755,
- папка Cache 777.
При вводе в адресную строку браузера ваш сайт/?tp=1 будет показана страница вашего сайта со всеми модулями шаблона. По этому признаку можно понять, что у вас стоит именно Joomla. Исправляется это так - отключить в настройке шаблонов сайта предпросмотр или прописать в файле .htaccess строки :
##### Start ?tp=1 prevention ######
RewriteCond %{QUERY_STRING} tp=(.*)
RewriteRule ^(.*)$ index.php [F,L]
##### End ?tp=1 prevention ######
Немаловажно также правильно выбрать хостинг, для Вашего сайта на Joomla
В заключении сообщу, что 100% защиты от взлома никто не может Вам гарантировать, но стремиться к этому должен каждый уважающий себя разработчик (владелец) сайта. Новые апгрейды, закрывая старые дыры и улучшая функционал CMS Joomla, к сожалению, иногда приносят и новые уязвимости. Но дыр в старых еще больше и они более разведанные, поэтому желательно всегда обновлять ПО сайта.
Главная || НАЧАЛО РАЗДЕЛА ||Rabotaite.io.ua - сайт о работе и карьере | Бизнес и Работа |