Пополнить WebMoney
Вывод WebMoney
Обмен WebMoney
Кредит WebMoney

Как защитить Joomla от взлома?

Как защитить Joomla от взлома?

 



Вдохновением этой статьи стал  мой личный опыт. В тяжелой агонии я отвоевывал  свой сайт, который был взломан хакером. Сайт был создан на Joomla 1.5. Я даже и не подозревал, что в субботу  я увижу в место своего сайта, печать взлома хакера.
Итак.
Как защитить сайт от взлома, который созданный  на движке CMS Joomla 1.5.
Перейдем на практику. Если ваш сайт еще не взломали, стоит позаботиться о том, чтобы хакер не узнал на каком именно движке CMS был написан сайт. Ведь прежде хакер ищет свою жертву по этим критериям.

Совет №1. – удаление информации о cms.
Как хакер узнаёт, что сайт сделан на Joomla 1.5? Это легко. Joomla сообщает поисковикам и прочим сервисам интернета что сайт сделан на Joomla 1.5. Cамый простой метот проверки, это  открыть исходный код web – странички в браузере любого сайта созданного на Joomla и увидеть  в самом верху кода строчку
<meta name="generator" content="Joomla! 1.5 - Open Source Content Management" />
Благодаря этому мета тегу злоумышленники и находят ваш сайт работающего на CMS Joomla.
Итак. Давайте скроем то, что сайт сделан на Joomla 1.5.
Откройте файл head.php  он находиться в /libraries/joomla/document/html/renderer/head.php
Открыв файл head.php  находим код (район 83 строки)
$strHtml .= $tab.'<meta name="generator" content="'.$document->getGenerator().'" />'.$lnEnd;
и удаляем.
Если Вы сделали, так как я вам сказал, то вы защитили свой сайт на 90% от глаза хакера и взлома.

Основные методы взлома сайта.

Если Ваш сайт обнаружили  хакеры, они будут бить по уязвимым местам,  которые больше всего известны им.

Получение административного доступа (Метод сброса пароля)

SQL инъекция

Ввод методом POST через CURL кода на определённую страницу(по заранее известному коду).

Совет №2
Самый распространенный метод взлома сайтов созданных на Joomla это получение доступа к учётной записи администратора, методом восстановление пароля.
В Joomla  есть функция восстановления пароля. Восстановление пароля может быть опубликовано на сайте и может быть не опубликовано на сайте но работать по ссылке /index.php?option=com_user&view=reset

Вот этой функцией  хакеры и могут удалённой доступом POST ввести напрямую свой код взлома, они водят новый пароль администратора сайта. За эту операцию отвечает файл reset.php. Вот путь к файлу  /components/com_user/models/ reset.php  

Чтобы сократить шанс взлома сайта хакером, удалите файл reset.php(если нет регистрации на сайте).

Совет №3
Следующий вариант взлома Joomla это SQL инъекция. Для тех кто слабо разбирается в php и sql есть одно спасение это компонент jFireWall Lite (http://www.jfirewall.com/). Этот компонент может сам бороться с SQL инъекциями и блокировать нападающего. 

Установите это компонент jFireWall Lite.

Защита файлов и доступа.
Совет №4
Чтобы уберечь сайт сделанного на Joomla, вам нужно установить правильно права доступа к папкам и файлам на хостинге (сервере), где лежит ваш сайт.

Все папки и файлы выставляем права доступа 755 и 644.
На отдельные папки выставьте следующие права
templates 555 (рекурсивно)
на файлы в корневой директории 444
на папку tmp 705
на папку logs 705

Совет №5
После защиты прав доступа сделаем доступ к папки administrator только по паролю, который будет осуществляться самим веб сервером.
Для этого вам надо создать в папки administrator два текстовых файла.
1 .htaccess -  в нём будут прописаны директивы доступа к папки administrator и указывать место положение файла с паролями на папку.
2. Файл с паролем (обычно называется .htpasswd)

Пропишите в файле .htaccess следующее

AuthType basic /*тип аунтификации, он у нас один*/
AuthName "123456" /*сообщение при обращении*/
AuthUserFile /абсолютный путь до папки администратор/administrator/.htpasswd /*указание на файл с паролями*/
Require valid-user 

AuthUserFile указывает путь к файлу с паролями.
Require определяет условие, по которым определяется, кто из пользователей имеет доступ к данному файлу или каталогу сайта. 'valid-user' - доступ может получить любой пользователь после ввода пароля;
можно сделать по другому,  вместо valid-user через пробел перечислите имена пользователей, которым вы хотите дать доступ.

Закрепим материал. Что защитить сайт, созданый на Joomla (Джумле).

1.Удалить reset.php (для уменьшение риска взлома и угона учётки админа)

2.Удалить <meta name="generator" content="Joomla! 1.5 - Open Source Content Management" /> чтобы исключить попадания вашего сайта на список жертв хакера

3.Установить и настроить jFireWall Lite 

4.Выставить нужные права на файлы и папки

5.Установить пароль на директорию в файле .htaccess

По теме:

1. Как создать ".htaccess" файл

2. Настройка .htaccess

 


Понравилась статья? - добавь ее себе!


 

 



сайт-визитка / шаблон сайта / обработка фотографий / дизайн афиши, обложки книг, журнал, флаеры и т.д.
 
 
Подробней





nocrisise.ru © 2009-2012