Статьи
Полная защита сайта CMS Joomla

Основы безопасности и защиты от злоумышленников сайта на CMS Joomla. Рассмотрены возможные угорозы, которые могут возникнут при недостаточной защите рабочего компьютера. Дан список шагов которые нужно сделать чтобы обеспечить базовую защиту CMS Joomla на хостинге.

Выполнив рекомендации описанные в этой статье, вы значительно повысите защищенность сайта на Joomla.

В предыдущей статье "Полная защита сайта на Joomla 3.x" были рассмотрены вопросы как, зачем и почему взламывают сайты. В интернете есть множество интересных материалов на эту тему.

Информация

Можете прямо сейчас, перейдя по этой ссылке Курс "Полная защита сайта на Joomla 3", скачать и посмотреть базовый курс по защите сайта. Автор курса очень понятно и профессионально рассказывает о том как организовать защиту сайта на Joomla. Дополнительно к курсу Вы получите чек-лист по защите сайта.

А теперь перейдем к прочтению материала.

Содержание статьи:

Базовые шаги по защите данных компьютера и сайта.

Мероприятия по безопасности начнем с проверки своего компьютера, усиления защиты сохраненных на нем паролей.

  1. Антивирусная программа - Обязательно должен быть установлена антивирусная программа (Kaspersky Anti-Virus, Dr.Web). Если антивирусная программа еще не стоит, то для начала обязательно скачайте с официального сайта бесплатную версию или купите платную версию антивирусной программы и установите её на свой компьютер. Какую антивирусную программу устанавливать? Отдайте предпочтение тому антивирусу с которым возможно уже сталкивались и слышали рекомендации. Я использую бесплатную версию Antivirus COMODO, его можно скачть по ссылке antivirus.comodo.com. При установке бесплатных версий программ, будте внимательны и убирайте лишнии галочки установки дополнительных программ, если конечно эти программы вам не нужны. Разработчик который распостраняет платные версии, заинтересован в качестве своего бесплатного продукта, иначе попробовав бесплатную версию и не получив желаемого результата, Вы не купите платную версию этой антивирусной программы. В бесплатный антивирус от COMODO входит большой набор дополнений, которые позволяют хорошо защитить компьютер (Complete Malware Protection, Auto Sandbox Technology, Host Intrusion Prevention (HIPS), Cloud-Based Protection). После установки, антивирусная программа загрузит актуальные версии своих баз и сделает быструю проверку компьютера. После быстрой проверки, обязательно запустите полную проверку всех файлов. Если есть возможность, то обязательно устанавливайте платную антивирусную программу.
  2. Программа для хранения паролей - Если вы храните пароли в текстовом файле или записываете его в блокнотик, то бросайте это дело и устанавливайте себе программу для хранения паролей. Это очень удобно и при большом количестве паролей, такая программа, становится просто не заменимым инструментом. Можно выбрать любую программу которую вы сочтете удобной. Я использую бесплатную программу для хранения паролей KeePass последней версии, скачать можно по ссылке keepass.info. Скачайте и установите программу, перенесите туда свои пароли. Обязательно установите основной пароль на открытие базы паролей. В будущем, когда будете создавать новую запись в базе паролей, то программа сразу сформирует пароль необходимой сложности. Записи можно сгруппировать по группам. Двойным кликом по определенным полям, можно копировать в буфер обмена пароль или логин, открывать указанную страницу сайта. В общем изучайте и пользуйтесь. Это очень удобно и усиливает защищенность ваших паролей.
  3. Защитите мастер-паролем базу паролей хранящуюся в интернет браузере - Просматривая сайты и страницы на которых требуется аутентификация, браузер сохраняет введенные пароли для ускорения последующей аутентификации на сайте. Что бы эти пароли не стали доступны другим людям работающим на компьютере, то обязательно установите мастер-пароль, это сделает не возможным просмотр сохраненных паролей без вашего ведома.

Эти шаги позволят гарантировать,что пароли, параметры подключения к сайту, хранящиеся на ваше компьютер не станут доступна третьим лицам.

Базовые действия по защите сайта на Joomla.

  1. Обновите Joomla до последней версии - Обязательно следите за тем что бы версии Joomla и установленных расширений всегда были в актуальном состоянии. В коде со временем могут быть обнаружены уязвимости и если код не поддерживается т.е. не обновляется, то выявленной уязвимостью могут воспользоваться злоумышленники. Обязательно отключите (удалите) не используемые расширения.
  2. Выставьте правильные права на папки и файлы - Это можно сделать используя программу FileZilla скачать можно по ссылке filezilla.ru или файловый менеджер панели управления хостера. Можно установить расширение AdminTools скачать можно по ссылке www.akeebabackup.com, которое быстро и удобно позволило бы устанавливать права на папки. Помимо этого в бесплатной версии расширения есть возможность проверять и восстанавливать таблицы базы данных, устанавливать дополнительный пароль на доступ к административной панели.
    Минимальные права:
    на файлы 644
    на папки 755

    Рекомендуемые для настроенного сайта:
    файлы в корне 444
    папки 700
    исключения cache,logs,tmp,administrator/cache
  3. Используйте уникальный логин и сложный пароль - Используйте придуманный вами логин (не используйте стандартный admin) и обязательно устанавливайте сложный пароль. Это замедлит или исключит полностью возможность взлома сайта путем подбора пароля и логина.
  4. Защитите доступ к админ-панели - Это можно сделать используя расширение AdminTools, наверно это один из простых способов. Еще такую возможность предоставляет хостер, через свою панель управления. Более сложный, ручной способ, рассмотрим его для понимания, как это работает. В защищаемом паролем каталоге, в нашем случае это каталог Administrator, создается два файла .htacess и .htpasswd.
    В файл .htacess вписываем следующий текст:
    AuthUserFile "указываем полный путь к файлу .htpasswd в котором находятся зашифрованный пароль"
    AuthName "Любой текст, для информирования пользователя"
    AuthType Basic
    require valid-user

    Для генерации файла с паролем .htpasswd используем утилиту htpasswd из комплекта Apache. Для этого в командной строке пишем следующее:
    htpasswd -bc .htpasswd ИмяПользователя ПарольПользователя
    После этого нужно переместить полученный файл в директорию, указанную в AuthUserFile.
  5. Зарегистрируйтесь на сервисе по мониторингу сайта - есть ряд бесплатных сервисов по мониторингу сайта. Для мониторинга сайта можно использовать сервис Яндекс Метрика metrika.yandex.ru или uptimerobot.com. Я пользуюсь и тем и другим. Это позволит отслеживать стабильность работы сайта.
  6. Расширения и шаблоны скачиваем только с официальных сайтов - На своем сайте устанавливаем только расширения скаченные с официальных сайтов разработчиков. Если шаблон или расширение скачено с варезного сайта, то с большой долей вероятности в него могут быть интегрированы внешние ссылки, шелы и другие вредоносные элементы, которые делают сайт уязвимым и позволяют злоумышленнику использовать его для своих целей.
  7. Проверьте сайт на наличие вредоносного ПО - Подключите сервис Яндекс Вебмастер ссылка на сервис webmaster.yandex.ru, используя его можно будет отслеживать предупреждения по выявленному вредоносному ПО. VirusTotal — бесплатная служба, осуществляющая анализ подозрительных файлов и ссылок (URL) на предмет выявления вирусов, червей, троянов и всевозможных вредоносных программ, ссылка для проверки www.virustotal.com

Здесь указаны базовые действия по первичной защите сайта. Далее будут рассмотрены приемы более продвинутой защиты сайта на Joomla.

Продвинутая защита сайт на Joomla.

  1. Резервное копирование сайта - Даже если хостер делает резервные копии базы данных сайта, лучше подстраховаться и делать резервное копирование самостоятельно и хранить свои архивы в надежном месте. Это связано с тем, что может случиться так, что сервера хостинга станут не доступны, возможно сами резервные копии в какой-то момент не будут содержать актуальной информации и вообще мало ли, что может быть. Поэтому делаем копии самостоятельно. Для облегчения этой процедуры можно установить расширение Akeeba BACKUP скачать его можно по ссылке www.akeebabackup.com. В бесплатной версии этого расширения функциональности достаточно для резервного копирования и восстановления.
  2. Убрать показ позиций модулей - Если при разработке и настройке своего сайта был включен режим отображения позиций модулей, то после завершения надо не забыть отключить их показ. Таким образом мы скрываем следы по которым можно определить, что за CMS используется и соответственно выработать стратегию взлома сайта.
  3. Удалить копирайт Joomla - Скрытие копирайта тоже позволит скрыть следы Joomla.
  4. Убрать мета-тэг generator - Полное удаление или изменение мета-тэга generator скрывает версию CMS Joomla и затрудняет злоумышленнику определение конструктора сайта. Для этих целей используйте плагин который можно скачать по этой ссылке TJ Set Generator Tag
  5. Установить свой favicon.ico - Разрабатывая сайт часто бывает, что разработчик забывает установить свой favocon.ico для сайта и оставляет стандартный из используемого шаблона. По стандартному favicon.ico можно определить, что это сайт сделан на базе CMS Joomla.
  6. Удалить файл readme.txt, license.txt - Из корня сайта удалите эти текстовые файлы они содержит информации о Joomla и позволяют идентифицировать установленную CMS .
  7. Запретить доступ к просмотру содержимого папок - это достигается расположением в каждой папке и вложенной папке, файла index.html. Поэтому создавая новые папки не забывайте в них создавать пустой файл index.html или второй вариант в файле .htaccess , лежащим в корне сайта, впишите строчку Options -Indexes.
    Options -Indexes
  8. Удалить файлы с логотипом Joomla - В каталоге /images содержаться демонстрационные файлы с логотипами Joomla. Их надо удалить.
  9. Заменить 404 страницу - Заменитье 404 страницу на свою. Это позволит усложнить определение используемой CMS.
  10. Сделать SEF-ссылки - Включать SEF только на готовом сайте при переносе на хостинг.

Информация

Для правильного выполнения всех действий рекомендую посмотреть Курс "Полная защита сайта на Joomla 3". Дополнительно к курсу дается чек-лист по которому Вы сможете проверить и доработать защиту сайта Joomla.

Вот пока на этом все! Но есть еще меры которые можно предпринять, чтобы обеспечить максимальную защиту сайта на Joomla и об этом рассказано в следующей, заключительной статье "Полная защита сайта на Joomla 3.x".

4.8333333333333 1 1 1 1 1 Рейтинг 4.83 (9 Голосов)

Акции и бонусы

Акции и бонусы компании Beget.

Бесплатный хостинг, перенос сайта, домены в подарок, скидки при оплате за год ...

Акции и предложения Sprinthost.

Все акции и предложения хостинговлй компании Sprinthost собраны в этой статье...

Хостинг для JOOMLA

Бесплатный хостинг для Joomla

Бесплатный хостинг для Joomla. Без рекламы и без дополнительных условий! С полным ко...

Лучший хостинг Beget для сайта Joomla

Возможность 30 дневного тестирования, услуга переноса. Бесплатный хостинг без реклам...

Выбор хостинга для Joomla

Выбор хостинга для Joomla. Технические характеристики которым должен соотвествоват...

Недорогой виртуальный хостинг SPRINTHOST

В обзоре хостинговой компании Sprinthost собраны основные сведения о технической б...

Безопасность JOOMLA

Практика защиты сайта на Joomla 3

Основы безопасности и защиты от злоумышленников сайта на CMS Joomla. Рассмотрены воз...

Полная защита сайта на Joomla 3

Основы защиты сайта на CMS Joomla. Что можно ожидать после взлома сайта, какие метод...

Проверка на вирусы и вредоносный код.

Проверка сайта на вредоносный код и вирусы. Выявление и методы исправления. Так же в...

Рассылка в JOOMLA

Массовая рассылка AcyMailing Joomla 3

Подписка на почтовые рассылки Joomla. Это необходимый функционал для взаимодействия ...

Сервис Push-уведомлений для Joomla 3

Бесплатный сервис push- уведомлений, настройка и использование. В этой статье будет ...