Опубликовано автор в категориях Joomla.

Не так давно ко мне обратились клиенты одного из конкурентов с просьбой перенести сайт от него на мое обслуживание по большей мере из-за того, что сайт периодически «ломали», загружая в корень шел, за что Google отправлял сайт в базу неблагополучных. Сайт, конечно же, был на Joomla! И то, что он был на версии 1.5.х — это пол беды. Сайт был поставлен на какой-то из многочисленных сборок с кучей расширений, из которых на сайте реально нужны были лишь два-три. Собственно в этом вступлении мы сразу же нарушение двух основных заповедей безопасности, а для того чтобы их не было больше, и чтобы ваши сайты меньше «ломали» я и решил опубликовать здесь перевод статьи из ежемесячного журнала The Joomla!® Community Magazine.

Пока я добрался до перевода первой части статьи, в журнале уже вышла вторая часть, так что в скором времени будет продолжение и здесь. А сейчас начнем с основ безопасности Joomla! Как советуют авторы статьи, не стоит выпускать сайта в «продакшн», не прибегнув к перечисленным ниже инструкциям.

Резервное копирование

Бэкапы нужно делать исходя в первую очередь из предположения, что каждый сайт может быть взломан. Таким образом, самое главное, позаботиться о систематическом резервном копировании. Если вы администрируете один или несколько сайтов под управлением Joomla!, то очень хорошим решением, чтобы не прибегать к серверному резервному копированию, будет использование компонента Akeeba Backup, который позволяет создать резервную копию сайта буквально одним щелчком мыши. В идеале делать резервные копии так же часто, как вы добавляете новый контент на сайт.

Последняя версия Joomla

Не имеет значения, являетесь ли вы опытным создателем сайтов, или же используете Joomla-сайт как хобби, первое, что вы должны сделать, это позаботиться обновить Joomla до последней версии. Начиная с версии 1.6, у вас теперь есть иконка в панели управления администратора, которая позволяет узнать статус обновления ядра. Большинство релизов безопасности очень важны, поэтому обновлять систему нужно как можно скорее. При правильных настройках сервера (хостинга), начиная с версии Joomla! 1.6 обновление и модернизацию можно делать опять таки буквально одним щелчком мыши. Так что не стесняйтесь делать это.

Панель управления Joomla!

Пользователь с правами администратора

Одна из самых очевидных вещей для хакеров, это попытать подобрать пароль в админ панель Joomla. Поэтому, вы должны предотвратить это, используя несколько простых правил. Во-первых, не использовать для имени суперпользователя по умолчанию имена типа: admin, administrator или root. Выберите другое имя!

Не используйте пользователя администратора по умолчанию

Пользователь администратора по умолчанию хорошо известен и имеет стандартные идентификаторы (42 для 1.6 + и 62 для 1,5). Именно эти ID часто используют хакера при взломе Joomla. При установке Joomla, просто создайте нового пользователя, сделайте его администратором (под другим именем), и удалите старого пользователь.

Примечание* начиная с версии 2.5.5 первый id пользователя панели управления назначается рандомно, поэтому если вы используете свежую версию Joomla!, то не стоит прибегать к описанному выше правилу смены пользователя по умолчанию.

Блокировка административной панели

Все прекрасно знают как попасть в панель управления Joomla!. Для этого просто нужно пройти по адресу yoursite.com/administrator (где yoursite.com — это имя вашего сайта). Поэтому нужно блокировать данный путь с помощью несложных манипуляций которые возможно выполнить на любом хостинге, как правило в панели управления есть пункт который, позволяет ставить пароли на доступ к директориям.

Кроме этого автор оригинальной статьи советовал использовать его расширение JLSecure My Site (к сожалению на момент публикации этого перевода ссылка была недоступна).

Расширения

Joomla! имеет огромнейший набор расширений, как платных, так и бесплатных (более 9000) и для любой цели есть по крайней мере 3 решения.

Однако вы должны помнить — чем больше расширений, тем больше потенциальных «дыр» в вашем сайте. Существует организованный список уязвимых расширений и доступных исправлений для них. Рекомендуется проверить список перед установкой незнакомого расширения на ваш сайт.

Ненужные расширения

Joomla 2.5 (я бы сказал это только по отношению к ней — hiway) является очень продвинутой системой управления контентом. Даже в установке по умолчанию, она поставляется с определенным количеством расширений, некоторые из однозначно полезны (например, com_content и com_users), а некоторые не используются на большинстве сайтов. Например, такие компоненты как баннеры (com_banners), контакты (com_contacts), ленты RSS новостей и т.д., не являются необходимостью для многих веб-сайтов. Даже если нет существующих ссылки на эти компоненты, есть базовые ссылки на эти компоненты, например, попробуйте ввести в браузере: index.php?option=com_search.

Вы можете отключить ненужные расширения, которые не использует ваш сайт. Вы можете сделать это из админ панели-> меню расширения -> Управление расширениями-> Управление. Просто отключите компоненты, переключая иконку «Опубликовать». Не рекомендуется удаление базовых расширений, в случае, если вы захотите использовать их в будущем.

Резюме

На этом заканчивается первая часть рекомендаций. Во второй части рекомендации будет носить более сложный характер и ориентированны на более продвинутых пользователей. Однако, как показывает опыт 90% создателей сайтов на Joomla! не следуют даже простым рекомендациям безопасности. Поэтому не зазывайте сайты у неопытных веб-мастеров, лучше обратится к профессионалам по созданию сайтов на Joomla!, например к нам, в hiwayarts.com

Один Ответ к записи “Простое руководство по безопасности Joomla!, часть 1”

  1. Алексей

    цитата: «назначаются рандомно» … — ёкарный бабай, по русски не говорится что-ли? Сказать «назначаются случайно» или «случайным образом», не судьба? Что за пепси поколение выросло.

    Ответить

Оставить комментарий

  • (не будет показан)