Немного о безопасноcти Joomla

Смотрел недавно свои файлы логов и обнаружил очень неприятную для себя вещь: столько людей пытается получить доступ к админке и что они только не вводят, тут и /administrator/index.php?option=com_login, и /administrator/index.php, и /wp-login.php, и /bitrix/admin/, да и много чего еще...

А ведь если они получат-таки доступ к админке, то ой чего они там натворят... Страшно подумать)))

Короче говоря, рассмотрим основные способы защиты вашего сайта на CMS Joomla в целом и способы защиты админки в частности.

Прячем CMS, которой пользуемся

Чтобы скрыть от особо любопытных, что ваш сайт использует Joomla, ищем файл head.php. Находится он здесь:

сайт/libraries/joomla/document/html/renderer/

и удаляем в нем вот эту строчку

$strHtml .= $tab.'<meta name="generator" content="'.$document->getGenerator().'" />'.$lnEnd;

Не скачивайте расширения с непроверенных сайтов.

Скачал я как-то что-то с одного такого сайта (название говорить не буду) и получил очень много левых ссылок в самом скрипте, плюс к этому там еще и вирусы были (меняли файл .htaccess таким образом, что все мобильные посетители попадали на сторонний ресурс, т.е. напрямую к мошенникам. Удалял я все это вручную и потратил целый день, так что не повторяйте чужих ошибок).

Не используйте стандартный логин администратора и префикс базы данных.

При установке Joomla измените префикс базы данных, например на aff1_, и обязательно измените логин администратора, вместо стандартного admin используйте iloveaff1, к примеру :)

Используйте сложный пароль к админке

Желательно, чтобы он больше нигде вами не использовался. Не забудьте записать его на бумажке!

Делайте резервные копии сайта и базы данных

Обязательно делайте резервное копирование перед каким-либо изменением на сайте. Например, если вы хотите установить новый шаблон или непроверенный модуль. Желательно иметь до 3 резервных копий на ПК.

Все ненужные компоненты лучше удалить

Т.е. если вы точно уверены, что этот модуль или плагин вам не понадобится, то смело удаляйте его. Ведь если злоумышленники найдут уязвимость в расшерении Joomla, а он у вас стоит, но вы им не пользуетесь, то они все равно смогут заразить ваш сайт. Так что лучше от греха подальше удалить (простое отключение здесь не поможет). Кстати, это касается и компонента регистрации пользователей, находится здесь components/com_user. Можно удалить всю папку com_user.

Пользуйтесь обновлением

Постоянно обновляете версию самой Joomla и версии расширений. Не забывайте про бэкап перед обновлением))

Используйте плагины защиты админки

Вот некоторые из них: AdminExile, JLSecure My Site, Admin Shield - подойдут для J2.5 и J3.x. Кликнув по ссылке можно их скачать, ну а если вы читали пункт 2 (и отнесли мой сайт к непроверенным), то ищите эти расширения на офф. сайте Extensions.joomla.org. Работают эти плагины примерно одинаково: добавляют ключ или пароль к адресу административной панели управления сайтом, т.е доступ к админке с использованием любого плагина будет выглядеть так http://сайт/administrator?секретный_ключ=секретный_пароль. Разобраться с их использованием не составит труда, но если что, пишите в комментариях.

Компонент Brute Force Stop

Этот компонент защитит вашу админку от брутфорс атаки (это когда какие-нибудь умники пытаются получить доступ к админке перебирая пароли). Компонент блокирует IP адрес злоумышленника, если он ввел определенное количесво раз неверный пароль или имя пользователя. Все данные сохраняются в админке, можно потом посмотреть. Не забудьте его активировать! Скачать Brute Force Stop подойдет для J2.5 и J3.x.

Защита админки с помощью .htaccess и .htpasswd

Надо будет создать эти файлы в текстовом редакторе (создаете пустой файл, а вместо названия пишете .htaccess или .htpasswd) и поместить их в директорию сайт/administrator. Потом переходим на http://www.ifstudio.org/seo/htaccess.php (бесплатный онлайн генератор файла .htaccess и .htpasswd) и вводим там логин, пароль и папку administrator (которыю закрываем от доступа).

Нажимаете "Сгенерить" и получаем информацию, которую надо вставить в файлы .htaccess и .htpasswd.

Теперь, когда кто-то захочет попасть в админку, ему сначала надо будет пройти один доступ с паролем (то, что вы писали на http://www.ifstudio.org), а потом еще и второй (ваши логин с паролем от админки).

Выставляйте правильно права на папки и файлы

На папку tmp 705, на папку logs 705, на файлы в корневой директории 444, templates 555, на все остальные папки 755, а на файлы внутри них 644, можно поставить на images/stories 777 (если будете загружать туда картинки)

Запрещаем доступ к админке, со всех IP, кроме своего

Для этого надо поместить в папку administrator файл .htaccess следующего содержания:

<Filesmatch ".(php)$"> order deny,allow deny from all </Filesmatch> <Files index.php> order deny,allow deny from all allow from 11.11.11.11 allow from 22.22.22.22 allow from 33.33.33.33 </Files>

Где IP-адреса типа 11.11.11.11 - это IP, с которых вы администрируете Joomla.

Пользуйтесь хорошими антивирусами

Про антивирусную защиту компьютера никогда не забывайте!

Вроде все))) Если что забыл, пишите, добавим. Необязательно делать все, что описано выше, делайте так, как вам нравится больше. И помните, есть два типа вебмастеров: те, которые еще не делают бэкап и те, которые уже делают...