Связаться с нами

  • (097) ?601-88-87
    (067) ?493-44-27
    (096) ?830-00-01

Статьи

Вісім Біт - Інтернет бюро - КІЛЬКА ПРОСТИХ КРОКІВ ЩОДО ЗАХИСТУ JOOMLA

  1. Не використовуйте «варезних» шаблонів або розширень
  2. Завжди «оновлюєтеся»
  3. Включаємо елементарну захист
  4. Забороняємо запуск сторонніх сценаріїв
  5. кинутий сайт
  6. Надійно зберігаємо паролі
  7. Забороняємо завантаження gif зображень

Останнім часом, на жаль, все більше сайтів на Joomla виявляються зламаними. Деякі відразу кинулися лаяти CMS, хоча система цілком надійна, і з нею працюють великі компанії, як наприклад, Ліптон (сайт http://www.liptonicetea.com ) Або РАНХиГС, і нічого, ознак злому не спостерігається.

Якщо подивитися на звіти компаній, що спеціалізуються на інформаційній безпеці, то можна побачити, що Joomla не є лідером за кількістю зломів, але на території колишньої СРСР ситуація прямо протилежна.

На мій погляд, все почалося кілька років тому, коли мережу заполонили уроки - «як стати Великим вебмайстрів за три кліка». Уроки, можливо, приносили якусь користь, але хотілося високого рівня, а для верстки знань «куди клікати» не вистачало. Тоді ж в мережі з'явилися варезні сайти, де можна було скачати «квікстарт» і протягом декількох секунд розгорнути повну копію демоверсії сайту. Залишалося замінити матеріали і зображення сайту на свої, і вуаля - готовий до вживання продукт.

Залишалося замінити матеріали і зображення сайту на свої, і вуаля - готовий до вживання продукт

«Виразника» швидко зрозуміли можливості додаткового заробітку і спочатку додавали в шаблони приховані посилання на сторонні сайту для накрутки ТИЦ. Пізніше можливості розширили, додаючи в вигляді «бонуса» скрипти з широким функціоналом, як розсилка спаму, перенаправлення на інші сайти, завантаження відвідувачам шкідливих скриптів. Оскільки викладають варез модифікують файли на своєму комп'ютері, вони нічим не обмежені. Зміні піддаються оригінальні файли ядра, де їх не завжди можливо знайти, мені зустрічався файл ліцензії Joomla (в який ніхто і ніколи заглядає) з шеллом. Припускаю, що той, хто викладає варез, сам не використовує штучні діри, а елементарно їх передає на взаємовигідних умовах, але це вже інша історія.

Як же виходить так, що у кого-то Joomla працює з дня запуску сайту, а хтось стикається з проблемами через тиждень?

Не використовуйте «варезних» шаблонів або розширень

У всіх студій є безкоштовні шаблони, а безкоштовні від платних, як правило, відрізняються менш ефектним демоконтентом, для більш привабливого вигляду. При початкових навичок в CSS і HTML безкоштовний шаблон можна кастомизировать під свої вимоги. Якщо платний шаблон все ж дуже хочеться, то простіше купити його у розробника, стоять, як правило, шаблони (з квік стартом і розширеннями) від 25 до 45 доларів, що навіть дешевше верстки шаблону на замовлення. Крім того, студії регулярно влаштовують розпродажі, і тоді шаблони можна купити з 30 або навіть 50% знижкою.

Компоненти, плагіни, модулі. Навіть якщо Ви скачаєте 100% чисті розширення, а завтра в них знайдуть вразливість, то, що Ви будете робити?

Завжди «оновлюєтеся»

За статистикою sitesecure.ru , Найостаннішу версію Joomla використовували тільки 3% сайтів.

Не буду говорити простих істин, раз випускають оновлення, то випускають їх не просто так. Зараз на головній сторінці адмін панелі виводиться попередження про необхідність оновлення доповнень і самої CMS, але повірте, «стародавні» версії можна зустріти в третини установок. Я, звичайно, розумію, що не всі кожен день заходять в адмін панель, хтось вносить правки з лицьового боку сайту, а хтось замовив сайт і взагалі не заходить в адмін панель, за принципом - працює ж, ну й добре.

Якщо немає необхідності в щоденній правці сайту, можна підписатися на розсилку на Joomla.org , І тоді повідомлення про оновлення буде приходити на пошту, з розширеннями, звичайно, складніше, але це краще, ніж нічого.

Іноді оновлення не застосовують через острах, раптом злетить. Тут боятися нічого, на хостингу зберігаються копії за останні кілька днів, і в разі невдачі завжди можна «відкотитися» до початкового стану, а потім шукати причину невдачі.

Ну і звичайно, якщо все вищеописане далеко від Вас або нецікаво, можна найняти фахівця, який за 1-3 тисячі рублів буде стежити за здоров'ям вашого сайту і заодно нести якусь відповідальність.

Включаємо елементарну захист

Перейменовуємо htaccess.txt в .htaccess

Закриваємо доступ до адмін панелі через авторизацію Apache. В панелі управління хостингом переходимо в файловий менеджер, далі в папку з сайтом, натискаємо на директорію «administrator», в закладці «файл» вибираємо «пароль на директорію».

В панелі управління хостингом переходимо в файловий менеджер, далі в папку з сайтом, натискаємо на директорію «administrator», в закладці «файл» вибираємо «пароль на директорію»

Відключаємо реєстрацію користувачів. В адмін панелі Joomla переходимо в менеджер користувачів - настройки - відключити реєстрацію користувачів. Якщо у Вас не інтернет-магазин, то реєстрація в більшості випадків не потрібна, реєструватися будуть практично одні боти, а для компонента коментарів реєстрація не потрібна.

Якщо реєстрація необхідна, то включите капчу, вона йде «з коробки», її потрібно тільки активувати в налаштуваннях сайту.

Забороняємо запуск сторонніх сценаріїв

Обмежити запуск сторонніх сценаріїв поза управління Joomla можна додавши в .htaccess рядки

RewriteCond% {REQUEST_URI} ^ / images / [NC, OR] RewriteCond% {REQUEST_URI} ^ / media / [NC, OR] RewriteCond% {REQUEST_URI} ^ / logs / [NC, OR] RewriteCond% {REQUEST_URI} ^ / tmp / RewriteRule. * \. (phps? | sh | pl | cgi | py) $ - [F]

У мережі можна знайти більш параноїдальні варіанти, але при цьому можуть не запускатися деякі скрипти.

кинутий сайт

Найчастіше на хостингу розташовується кілька сайтів, кілька основних і кілька створених для тестів або на майбутнє. Такі «непотрібні» сайти, можуть скільки завгодно довго перебуває на хостингу, а власник автоматично продовжувати доменне ім'я. Але одного разу в покинутому сайті з'явиться вразливість, його знайде бот, і заразить все, до чого зможе дотягнутися.

Як правило, вимкнути такий сайт можна правкою файлу конфігурації, змінивши пароль або ім'я бази.

Надійно зберігаємо паролі

Сучасні віруси можуть багато, перехоплювати передані паролі, натискання клавіш ... Як зберігати паролі, рекомендацій давати не буду, на цю тему багато написано в мережі. Особливо б не радив заходити на FTP з чужих комп'ютерів, а також з організацій, де всі комп'ютери безпосередньо підключені в один світч (зазвичай це гордо іменується мережею). Звичайно, велика спокуса поправити щось на сайті прямо з офісу замовника, але результат може не порадувати.

Забороняємо завантаження gif зображень

Якщо з якихось причин у Вас дозволена реєстрація користувачів (або у Вас просто параноя), то забороняємо gif зображення, оскільки під виглядом звичайної «гифки» може ховатися шелл.

Для цього переходимо в медіа-менеджер - компонент і прибираємо gif зі списку дозволених. Якщо Ви використовуєте це розширення в формі зворотного зв'язку з можливістю прикріплення зображення або інші розширення, то почитайте в документації, як зробити обмеження на розширення завантаження.

Якщо Ви використовуєте це розширення в формі зворотного зв'язку з можливістю прикріплення зображення або інші розширення, то почитайте в документації, як зробити обмеження на розширення завантаження

Звичайно, всі поради відомі і прості, але їх дотримання допоможе Вашому ресурсу бути «у формі».

Потім того бажаю.

Як же виходить так, що у кого-то Joomla працює з дня запуску сайту, а хтось стикається з проблемами через тиждень?
Навіть якщо Ви скачаєте 100% чисті розширення, а завтра в них знайдуть вразливість, то, що Ви будете робити?
Phps?

Новости

Все товары для праздника оптом купить
Как сделать правильный выбор в работе, бизнесе и жизни, о котором никогда не придется жалеть. Мы хотим рассказать вам об удивительной и очень простой технике 7 вопросов, которые позволят оценить ситуацию

Пиротехника своими руками в домашних
Самые лучшие полезные самоделки рунета! Как сделать самому, мастер-классы, фото, чертежи, инструкции, книги, видео. Главная САМОДЕЛКИ Дизайнерские

Фольгированные шары с гелием
Для начала давайте разберемся и чего же выполнен фольгированный шар и почему он летает дольше?! Как вы помните, наши латексные шарики достаточно пористые, поэтому их приходится обрабатывать специальным

Как сделать красивую снежинку из бумаги
Красивые бумажные снежинки станут хорошим украшением дома на Новый год. Они создадут в квартире атмосферу белоснежной, зимней сказки. Да и просто занимаясь вырезанием из бумаги снежинок разнообразной

Надувные шарики с гелием с доставкой
На праздники часто бывают востребованы воздушные шарики, надутые гелием. Обычно, их покупают уже готовыми (надутыми) и привозят на праздник. Или, приглашают специалистов, которые приезжают и надувают

Как сделать из бумаги самолет
 1. Самолеты сделанный по первой и второй схеме являются самыми распространенными. Собирается такое оригами своими руками достаточно быстро, несмотря на это самолет летит достаточно далеко за счет свое

Аниматоры на детские праздники в Зеленограде
Уж сколько раз твердили миру…Что готовиться ко дню рождения нужно заранее, а не бегать в предпраздничный день угорелой кошкой. Нельзя впихнуть в 24 часа дела, рассчитанные на недели. К празднику нужно

2400 наименований пиротехники
В последние десятилетия наша страна может похвастаться появлением нескольких десятков отечественных производителей, специализирующихся на выпуске пиротехники. Если вы сомневаетесь, какой фейерверк заказать,