- Не використовуйте «варезних» шаблонів або розширень
- Завжди «оновлюєтеся»
- Включаємо елементарну захист
- Забороняємо запуск сторонніх сценаріїв
- кинутий сайт
- Надійно зберігаємо паролі
- Забороняємо завантаження gif зображень
Останнім часом, на жаль, все більше сайтів на Joomla виявляються зламаними. Деякі відразу кинулися лаяти CMS, хоча система цілком надійна, і з нею працюють великі компанії, як наприклад, Ліптон (сайт http://www.liptonicetea.com ) Або РАНХиГС, і нічого, ознак злому не спостерігається.
Якщо подивитися на звіти компаній, що спеціалізуються на інформаційній безпеці, то можна побачити, що Joomla не є лідером за кількістю зломів, але на території колишньої СРСР ситуація прямо протилежна.
На мій погляд, все почалося кілька років тому, коли мережу заполонили уроки - «як стати Великим вебмайстрів за три кліка». Уроки, можливо, приносили якусь користь, але хотілося високого рівня, а для верстки знань «куди клікати» не вистачало. Тоді ж в мережі з'явилися варезні сайти, де можна було скачати «квікстарт» і протягом декількох секунд розгорнути повну копію демоверсії сайту. Залишалося замінити матеріали і зображення сайту на свої, і вуаля - готовий до вживання продукт.
«Виразника» швидко зрозуміли можливості додаткового заробітку і спочатку додавали в шаблони приховані посилання на сторонні сайту для накрутки ТИЦ. Пізніше можливості розширили, додаючи в вигляді «бонуса» скрипти з широким функціоналом, як розсилка спаму, перенаправлення на інші сайти, завантаження відвідувачам шкідливих скриптів. Оскільки викладають варез модифікують файли на своєму комп'ютері, вони нічим не обмежені. Зміні піддаються оригінальні файли ядра, де їх не завжди можливо знайти, мені зустрічався файл ліцензії Joomla (в який ніхто і ніколи заглядає) з шеллом. Припускаю, що той, хто викладає варез, сам не використовує штучні діри, а елементарно їх передає на взаємовигідних умовах, але це вже інша історія.
Як же виходить так, що у кого-то Joomla працює з дня запуску сайту, а хтось стикається з проблемами через тиждень?
Не використовуйте «варезних» шаблонів або розширень
У всіх студій є безкоштовні шаблони, а безкоштовні від платних, як правило, відрізняються менш ефектним демоконтентом, для більш привабливого вигляду. При початкових навичок в CSS і HTML безкоштовний шаблон можна кастомизировать під свої вимоги. Якщо платний шаблон все ж дуже хочеться, то простіше купити його у розробника, стоять, як правило, шаблони (з квік стартом і розширеннями) від 25 до 45 доларів, що навіть дешевше верстки шаблону на замовлення. Крім того, студії регулярно влаштовують розпродажі, і тоді шаблони можна купити з 30 або навіть 50% знижкою.
Компоненти, плагіни, модулі. Навіть якщо Ви скачаєте 100% чисті розширення, а завтра в них знайдуть вразливість, то, що Ви будете робити?
Завжди «оновлюєтеся»
За статистикою sitesecure.ru , Найостаннішу версію Joomla використовували тільки 3% сайтів.
Не буду говорити простих істин, раз випускають оновлення, то випускають їх не просто так. Зараз на головній сторінці адмін панелі виводиться попередження про необхідність оновлення доповнень і самої CMS, але повірте, «стародавні» версії можна зустріти в третини установок. Я, звичайно, розумію, що не всі кожен день заходять в адмін панель, хтось вносить правки з лицьового боку сайту, а хтось замовив сайт і взагалі не заходить в адмін панель, за принципом - працює ж, ну й добре.
Якщо немає необхідності в щоденній правці сайту, можна підписатися на розсилку на Joomla.org , І тоді повідомлення про оновлення буде приходити на пошту, з розширеннями, звичайно, складніше, але це краще, ніж нічого.
Іноді оновлення не застосовують через острах, раптом злетить. Тут боятися нічого, на хостингу зберігаються копії за останні кілька днів, і в разі невдачі завжди можна «відкотитися» до початкового стану, а потім шукати причину невдачі.
Ну і звичайно, якщо все вищеописане далеко від Вас або нецікаво, можна найняти фахівця, який за 1-3 тисячі рублів буде стежити за здоров'ям вашого сайту і заодно нести якусь відповідальність.
Включаємо елементарну захист
Перейменовуємо htaccess.txt в .htaccess
Закриваємо доступ до адмін панелі через авторизацію Apache. В панелі управління хостингом переходимо в файловий менеджер, далі в папку з сайтом, натискаємо на директорію «administrator», в закладці «файл» вибираємо «пароль на директорію».
Відключаємо реєстрацію користувачів. В адмін панелі Joomla переходимо в менеджер користувачів - настройки - відключити реєстрацію користувачів. Якщо у Вас не інтернет-магазин, то реєстрація в більшості випадків не потрібна, реєструватися будуть практично одні боти, а для компонента коментарів реєстрація не потрібна.
Якщо реєстрація необхідна, то включите капчу, вона йде «з коробки», її потрібно тільки активувати в налаштуваннях сайту.
Забороняємо запуск сторонніх сценаріїв
Обмежити запуск сторонніх сценаріїв поза управління Joomla можна додавши в .htaccess рядки
RewriteCond% {REQUEST_URI} ^ / images / [NC, OR] RewriteCond% {REQUEST_URI} ^ / media / [NC, OR] RewriteCond% {REQUEST_URI} ^ / logs / [NC, OR] RewriteCond% {REQUEST_URI} ^ / tmp / RewriteRule. * \. (phps? | sh | pl | cgi | py) $ - [F]
У мережі можна знайти більш параноїдальні варіанти, але при цьому можуть не запускатися деякі скрипти.
кинутий сайт
Найчастіше на хостингу розташовується кілька сайтів, кілька основних і кілька створених для тестів або на майбутнє. Такі «непотрібні» сайти, можуть скільки завгодно довго перебуває на хостингу, а власник автоматично продовжувати доменне ім'я. Але одного разу в покинутому сайті з'явиться вразливість, його знайде бот, і заразить все, до чого зможе дотягнутися.
Як правило, вимкнути такий сайт можна правкою файлу конфігурації, змінивши пароль або ім'я бази.
Надійно зберігаємо паролі
Сучасні віруси можуть багато, перехоплювати передані паролі, натискання клавіш ... Як зберігати паролі, рекомендацій давати не буду, на цю тему багато написано в мережі. Особливо б не радив заходити на FTP з чужих комп'ютерів, а також з організацій, де всі комп'ютери безпосередньо підключені в один світч (зазвичай це гордо іменується мережею). Звичайно, велика спокуса поправити щось на сайті прямо з офісу замовника, але результат може не порадувати.
Забороняємо завантаження gif зображень
Якщо з якихось причин у Вас дозволена реєстрація користувачів (або у Вас просто параноя), то забороняємо gif зображення, оскільки під виглядом звичайної «гифки» може ховатися шелл.
Для цього переходимо в медіа-менеджер - компонент і прибираємо gif зі списку дозволених. Якщо Ви використовуєте це розширення в формі зворотного зв'язку з можливістю прикріплення зображення або інші розширення, то почитайте в документації, як зробити обмеження на розширення завантаження.
Звичайно, всі поради відомі і прості, але їх дотримання допоможе Вашому ресурсу бути «у формі».
Потім того бажаю.
Як же виходить так, що у кого-то Joomla працює з дня запуску сайту, а хтось стикається з проблемами через тиждень?Навіть якщо Ви скачаєте 100% чисті розширення, а завтра в них знайдуть вразливість, то, що Ви будете робити?
Phps?