Rate this item
(1 Vote)

Методы защиты сайта на Джумле 

 Приветствую друзья и читатели портала Кругом Обман! Сегодня мы затронем такую тему как защиту сайтов от взлома или ддос атак. Очень часто причиной взлома оказывается не какая-то критичная уязвимость(хотя и такое бывает), а невыполнение администраторами этих сайтов простейших правил безопасности.  Правда даже соблюдение этих правил вряд ли сможет защитить от ДДос атаках, о методах защиты от ДДос атак мы повогорим в другой раз. А вот о соблюдении правил безопасности давайте поговорим сейчас:

Правило №1 Запрет на изменение файла конфигурации

Друзья, если у Вас файл конфигурации доступен по записи, то это очень не хорошо. Напомню, файл конфигурации это configuration.php. Вредоносная информация помещается прямо в файл configuration.php, а этот файл  загружается всегда по директиае include перед любыми данными. В результате вместо сайта стартует та информация, которая помещается в этот файл. Что нужно сделать чтобы предотвратить такие проблемы:  снимите права на запись с этого файла. Ну и проверьте чтобы там не было ничего лишнего.

Правило №2 Запрет на запись в директории

 Тут почти тоже самое что и в правиле №1 только для директорий. Если Вы по какой то причине сняли запрет на запись в папку /administrator, то недоброжелатели могут записать туда файл .htaccess. Кстати, с помощью файла .htaccess так же можно и нужно обезопасить свой сайт от вторжения недоброжелателей, подробнее как это сделать можно прочитать в этой статье. Вернемся к записи модифицированного файла .htaccess в папку /administrator, в нем переопределяется старовая страница (напомню это index.php) Вместо него указывается другой файл, который тоже записывается в эту же папку. В результате, при запуске админки по пути (без явного указания имени файла), запускается «левый» файл. Избежать всего этого можно так же как и в первом случае: следить за правами доступа или поместить в защищаемые папки файл .htaccess нулевой длины, перемещенный туда через FTP

Правило №3  Сложный пароль и сложный логин

Возможно это стоило бы вывести как первое правило. Если у Вас логин Admin а пароль qwerty то у меня для Вас плохие новости :) Я думаю  тут не нужно ничего объяснять, придумайте нестандартный логин для администратора и сложный пароль, который будет очень сложно подобрать. Чем больше символов тем лучше. С помощью файла .htaccess можно закрыть доступ в администраторскую панель всем кроме Вас.

Правило №4 Регулярное резервное копирование.

Друзья, если так случилось, что Ваш сайт хакнули, и злоумышленник пробился в админку сайта. То все что он там накрутит, запишется в БД сайта. И если у Вас нет резервной копии сайта и базы данных Вашего портала, то восстановить все обратно будет очень сложно. Кстати я говорил что учетные данные для входа на ФТП где лежит Ваш Сайт, должны отличаться от учетных данных в админку сайта?

Правило №5 Пользуйтесь антивирусом на своем ПК.

При попадании  на Ваш компьютер, вирус сканирует его на наличие FTP менеджера или Total Commandera. В этих программах хранятся Ваши пароли и адреса ftp серверов, которые скрипт отправит хакеру. Этого будет достаточно, чтобы потерять сайт. Точнее ВСЕ Ваши сайты.

Правило №6  Не используете плагин - удаляйте его

Если у Вас какие то плагины на сайте не используются, лучше удалите их, вдруг там есть уязвимость, а Вы плагином не пользуетесь и не обновляете этот плагин. Через него злоумышленники могут  получить доступ к сайту.Ну и в файлах плагинов лучше по удалять номера версий плагинов. Пусть поломают голову.

Правило №7 Обратите внимание на файл reset.php

Если на своем сайте не используете модуль регистрации пользователей, то лучше удалить файлы, которые отвечают за восстановление пароля и его сброс. Также можно удалить или всю папку com_user (которая находится по пути ваш сайт/components) или отдельный файл, отвечающий за сброс - reset.php. Этот файл находится по пути - ваш сайт/components/com_user/models.

Правило №8 борьба с SQL инъекциями

  • Отключите сайт в общих настройках joomla,  он всё равно выйдет из строя на некоторое время
  • Обязательно сделайте резервную копию данных
  • Заходите в административную панель своего сайта, перейдите в общие настройки/сервер. В правой части экрана ищите "Префикс базы данных", там будет написано jos_. Заменяете его на любую надпись, например, на soj_ и сохраняете
  • Вам необходимо сделать экспорт своей базы данных на компьютер и сохранить её - зайдите в PhpMyAdmin, выберете базу данных и в правой части экрана вверху ищите "Экспорт". Выделяете все части базы, внизу ставьте SQL и ещё чуть ниже "Сохранить как файл". Справа внизу нажимаете на кнопочку "Ok". Сделайте ещё одну копию на всякий случай и сохраните её куда-нибудь в другое место;
  • Далее можно приступить к удалению базы из PhpMyAdmin. Выберете базу данных, промотайте мышью в низ экрана и найдите там "Отметить все". Отмечаете и чуть правее ищите "С отмеченными" и выбирайте удалить;
  • Далее необходимо открыть сохранённый файл с базой данных текстовым редактором, к примеру, блокнотом. Нажмите Ctrl+H и увидите такое окно, с помощью которого можно изменить все префиксы в Вашей таблице, нажав на "Заменить все":
  • Далее заходите в PhpMyAdmin и нажимайте справа вверху "Импорт" и выбирайте Ваш файл с новыми данными. Кодировку поставьте UTF-8.

И главное правильно выбрать хостинг, для Вашего сайта на Joomla

Подводя итоги я хотел бы отметить что полностью защитить свой сайт Вы можете только одним сопособом. Держать его на локальном сервере в бункере без доступа в сеть интернет. Во всех остальных случаях,  определный шанс взлома существует. но стремиться защитит свой сайт должен каждый уважающий себя владелец сайта. 

----------------------Читайте так же----------------------

Заработок на сайте

Ставим Joomla 3.0 на Денвер

Как сделать свою страницу популярной? 

Руководство по установке Denwer на компьютер

Защита сайта с помощью .htaccess

Заработок на социальных сетях 

Полезные рубрики

Leave a comment

Make sure you enter all the required information, indicated by an asterisk (*). HTML code is not allowed.