Донецкий техникум промышленной автоматики

Посібник з безпеки Joomla!

  1. Резервне копіювання
  2. Остання версія Joomla
  3. Користувач з правами адміністратора
  4. Не використовуйте користувача адміністратора за замовчуванням
  5. Блокування адміністративної панелі
  6. розширення
  7. непотрібні розширення
  8. резюме

Не так давно до мене звернулися клієнти одного з конкурентів з проханням перенести сайт від нього на моє обслуговування по більшій мірі через те, що сайт періодично «ламали», завантажуючи в корінь йшов, за що Google відправляв сайт в базу неблагополучних. Сайт, звичайно ж, був на Joomla! І те, що він був на версії 1.5.х - це пів біди. Сайт був поставлений на якийсь із численних збірок з купою розширень, з яких на сайті реально потрібні були лише два-три. Власне в цьому вступі ми відразу ж порушення двох основних заповідей безпеки, а для того щоб їх не було більше, і щоб ваші сайти менше «ламали» я і вирішив опублікувати тут переклад статті з щомісячного журналу The Joomla! ® Community Magazine .

Поки я добрався до перекладу першої частини статті, в журналі вже вийшла друга частина, так що незабаром буде продовження і тут. А зараз почнемо з основ безпеки Joomla! Як радять автори статті, не варто випускати сайту в «продакшн», що не вдавшись до наступних інструкцій.

Резервне копіювання

Бекапи потрібно робити виходячи в першу чергу з припущення, що кожен сайт може бути зламаний. Таким чином, найголовніше, подбати про систематичне резервне копіювання. Якщо ви адмініструєте один або кілька сайтів під керуванням Joomla !, то дуже хорошим рішенням, щоб не вдаватися до серверного резервного копіювання, буде використання компонента Akeeba Backup , Який дозволяє створити резервну копію сайту буквально одним клацанням миші. В ідеалі робити резервні копії так само часто, як ви додаєте новий контент на сайт.

Остання версія Joomla

Не має значення, чи є ви досвідченим творцем сайтів, або ж використовуєте Joomla-сайт як хобі, перше, що ви повинні зробити, це подбати оновити Joomla до останньої версії. Починаючи з версії 1.6, у вас тепер є іконка в панелі управління адміністратора, яка дозволяє дізнатися статус поновлення ядра. Більшість релізів безпеки дуже важливі, тому оновлювати систему потрібно якомога швидше. При правильних налаштуваннях сервера (хостингу), починаючи з версії Joomla! 1.6 оновлення та модернізацію можна робити знову таки буквально одним клацанням миші. Так що не соромтеся робити це.

Користувач з правами адміністратора

Одна з найбільш очевидних речей для хакерів, це спробувати підібрати пароль в адмін панель Joomla. Тому, ви повинні запобігти цьому, використовуючи кілька простих правил. По-перше, не використовувати для імені суперкористувача за замовчуванням імена типу: admin, administrator або root. Виберіть інше ім'я!

Не використовуйте користувача адміністратора за замовчуванням

Користувач адміністратора за замовчуванням добре відомий і має стандартні ідентифікатори (42 для 1.6 + і 62 для 1,5). Саме ці ID часто використовують хакера при зломі Joomla. При установці Joomla, просто створіть нового користувача, Ви можете це зробити адміністратором (під іншим ім'ям), і видаліть старого користувач.

Примітка * починаючи з версії 2.5.5 перший id користувача панелі управління призначається рандомно, тому якщо ви використовуєте свіжу версію Joomla !, то не варто вдаватися до описаного вище правилу зміни користувача за замовчуванням.

Блокування адміністративної панелі

Всі прекрасно знають як потрапити в панель управління Joomla !. Для цього просто потрібно пройти за адресою yoursite.com/administrator (де yoursite.com - це ім'я вашого сайту). Тому потрібно блокувати даний шлях за допомогою нескладних маніпуляцій які можливо виконати на будь-якому хостингу, як правило в панелі управління є пункт який, дозволяє ставити паролі на доступ до тек.

Крім цього автор оригінальної статті радив використовувати його розширення JLSecure My Site (На жаль на момент публікації цього перекладу посилання була недоступна).

розширення

Joomla! має величезний набір розширень, як платних, так і безкоштовних (більше 9000) і для будь-якої мети є по крайней мере 3 рішення.

Однак ви повинні пам'ятати - чим більше розширень, тим більше потенційних «дірок» у вашому сайті. існує організований список уразливих розширень і доступних виправлень для них. Рекомендується перевірити список перед установкою незнайомого розширення на ваш сайт.

непотрібні розширення

Joomla 2.5 (я б сказав це тільки по відношенню до неї - hiway) є дуже просунутою системою управління контентом. Навіть в установці за замовчуванням, вона поставляється з певною кількістю розширень, деякі з однозначно корисні (наприклад, com_content і com_users), а деякі не використовуються на більшості сайтів. Наприклад, такі компоненти як банери (com_banners), контакти (com_contacts), стрічки RSS новин та т.д., не є необхідністю для багатьох веб-сайтів. Навіть якщо немає існуючих посилання на ці компоненти, є базові посилання на ці компоненти, наприклад, спробуйте ввести в браузері: index.php? Option = com_search.

Ви можете відключити непотрібні розширення, які не використовує ваш сайт. Ви можете зробити це з адмін панелі-> меню розширення -> Управління расшіреніямі-> Управління. Просто вимкніть компоненти, перемикаючи іконку «Опублікувати». Не рекомендується видалення базових розширень, в разі, якщо ви захочете використовувати їх в майбутньому.

резюме

На цьому закінчується перша частина рекомендацій. У другій частині рекомендації носитиме більш складний характер і орієнтовані на більш просунутих користувачів. Однак, як показує досвід 90% творців сайтів на Joomla! не дотримуються навіть простим рекомендаціям безпеки. Тому не зазивають сайти у недосвідчених веб-майстрів, краще звернутися до професіоналів зі створення сайтів на Joomla !, наприклад до нас, в hiwayarts.com

Php?