Рекомендую!

Видеокурс: "Шаблон Joomla 2.5 от А до Я"

diskboxsmall

Научитесь создавать свои собственные уникальные и профессиональные шаблоны для Joomla 2.5!

Добро пожаловать в школу Джумла!

Вы находитесь в центре обучения работы с Джумлой, одной из наиболее мощных, простых и бесплатных систем управления содержимым сайта на планете. Не важно, новичок Вы в использовании этой CMS или профессионал, Школа Джумлы откроет Вам много новых, интересных уроков и советов в видео и текстовом формате по работе с этой системой управления сайтом.  Подробнее...

ЗАГРУЗИТЬ СТАБИЛЬНУЮ ВЕРСИЮ ДЖУМЛА

Меры безопасности при настройке Joomla 1.5

Основные шаги при настройке Joomla 1.5, необходимые с точки зрения безопасности

Меры безопасности, связанные с настройкой Joomla!

Устанавливайте официальные версии Joomla!

  • Прежде, чем обновляться к новой версии Joomla,  ищите на форумах отчеты о несовместимости установленных Вами дополнительных расширений, чтобы избежать некорректной работы Вашего сайт.
  • Обновляйтесь к последней стабильной версии Joomla! как можно скорее.
  • Загружайте Joomla! с официальных сайтов, таких как JoomlaCode.org

Измените имя пользователя супер администратора

  • Такой простой шаг вдвое увеличит безопасность этой критической учетной записи, поскольку взломщику придется подбирать не только пароль но и логин администратора.

Защитите каталоги и файлы

  • Увеличьте безопасность критического файла configuration.php , перемещая его за пределы public_html каталога. Подробнее здесь
  • Убедитесь, что все пути к каталогам, которые доступные на запись (файловые архивы, галереи изображений, кэши) не содержат public_html. Проверьте сторонние расширения, такие как DOCMan и Gallery2 на доступность для редактирования путей к перезаписываемым каталогам.
  • В Глобальной Конфигурации измените путь к папке логов. По умолчанию, система будет писать файлы регистрации в http://yousite/logs. Измените это место на другое, которое нельзя случайно  найти (и не выбирайте/tmp/), или блокируйте папку при помощи http идентификации. Поскольку мы имеем дело с открытым исходным кодом, атакующие могут прочитать код сторонних расширений и смогут угадать имя папки с файлами логов.
  • В Глобальной Конфигурации измените путь к папке временных файлов (temp)
  • Если пути к папкам logs и temp изменены, и директива конфигурации PHP  open_basedir установлена, убедитесь, что новые пути находятся в пределах действия open_basedir.
  • В настоящее время нет простого способа переместить папки /image и /media. Это связано с тем, что тысячи сторонних расширений настроены на текущее размещение этих важных каталогов. Лучшее, что можно сделать, это удостовериться, что open_basedir должным образом установлена для всех учетных записей пользователя на Вашем сервере. Сверьтесь со своим хостером, если Вы неуверенны в этом.

Настройка доступа на файлы и папки.

  • Как только Ваш сайт настроен и стабилен, защитите от записи критические каталоги и файлы, изменяя их права доступа на 755, а файлов на 644.  Внимательно изучите сторонние расширения на предмет безопасности, если они требуют более широкие права доступа.

Примечание: В зависимости от разрешений Вашего сервера Вам, возможно, придется временно установить более открытый доступ на папки, устанавливая другие расширений с помощью инсталлятора Joomla!

Удалите ненужные файлы

  • Удалите все ненужные шаблоны оформления.
  • Удалите сервер XML-RPC, если он Вам не нужен.
  • В процессе установки система потребует, чтобы Вы удалили инсталляционный каталог и все его информационное наполнение. Сделайте это! Не переименовывайте его! Если Вы загружаете файлы на свой сайт в виде архивов (xxxx.zip например), не забывайте удалять их. Проверьте каталог/temp/, поскольку временные файлы могут остаться там после неудачной попытки установки системы.
  • Вообще, не оставляйте ненужные файлы (сжатые или другие) на сервере. Каждый ненужный (и возможно давно забытый) файл является потенциальной дырой в защите.

Выключите эмуляцию глобальных переменных (Register Globals Emulation)

  • Joomla 1.5 не использует опцию эмуляции глобальных переменных,  а также имеет «умный» код, чтобы победить эту установку, даже если она включена на уровне PHP.

Примечание: хотя Joomla и борется с включенной опцией Register Globals  и тем самым делает себя более безопаснее, любой сервер с включенной опцией  эмуляцию глобальных переменных потенциально уязвим. Любой провайдер, который настаивает на включении данной опции – некомпетентен. Лучше держаться подальше от такого хостинга!

 

Меры безопасности, связанные с установкой расширений  Joomla!

Делайте резервирование перед установкой расширений

  • Прежде, чем установить расширения, всегда резервируйте файлы своего сайта и базу данных. Это очень важный принцип, которого Вы должны придерживаться в работе. Вы всегда должны иметь возможность  возвратить Ваш сайт в предыдущее рабочее состояние. Разумно будет автоматизировать процесс резервирования сайта. Если Вы не сделаете это, рано или поздно у вас возникнет желание улучшить свой сайт, обновив что-то без резервного копирования. Вас можно понять, однако это одна из главных причин преждевременной седины и потери волос Улыбка

Проверьте уязвимость расширений

  • Большинство уязвимостей находятся в сторонних расширениях Joomla. Прежде, чем установить расширения, проверьте не находится ли оно в списке уязвимых. Есть форум, специализированные новостные ленты. Подпишитесь на них.

Загружайте расширения с надёжных сайтов

  • Загружайте расширения только с тех сайтов, которым Вы доверяете

Будьте осторожны! Проверяйте качество кода

  • Хотя и существуют стандарты написания кода для расширений, разработчики не всегда следуют им. Расширения, перечислены на официальном сайте Joomla, не всегда проверяются на соответствие стандартам безопасности. Однако, если о таких проблемах будет известно,  то расширения будут удалены из списка до устранения дыр в безопасности.

Тестируйте, тестируйте, тестируйте...

  • Проверяйте все расширения на тестовом сайте прежде, чем установить их на рабочий сайт.  После этого тестируйте на готовом сайте. Не забывайте проверять лог файлы, когда в процессе тестирования система показывает информацию про ошибки или предупреждения.

Удалите ненужные расширения

  • Удалите все неиспользуемые расширения и дважды проверьте, удалены ли физически папки и файлы, которые были связаны с этими расширениями.

Примечание: во время деинсталляции некоторые сторонние расширения могут оставить на Вашем сайте свои файлы, и связанные таблицы базы данных с самими данными. Это - или заранее предусмотренная опция в расширении или ошибка данного расширения. Любые файлы, оставленные на Вашем сервере, остаются доступными с Интернета через прямые URL, такие как http://yousite.com/modules/bad(плохой)_module

Избегайте зашифрованного кода

  • Joomla – это открытая система управления контентом. Это означает, что все расширения Joomla  также должны быть бесплатными и открытыми. Зашифрованный код может быть безопасным, но Вы не можете определить это самостоятельно, и таким образом должны доверять разработчикам. Использование зашифрованного кода отбрасывает Вас в среду коммерческого программирования, где Вы должны ждать исправлений безопасности от разработчика, надеясь, что взломщики не найдут Ваш сайт прежде, чем дыра в безопасности  будет исправлена. Вы не сможете свободно изменить, улучшить, или совместно использовать зашифрованный код. Эти ограничения делает зашифрованный код менее ценным для сообщества в целом, и уменьшает общую жизнеспособность проекта Joomla, который зависит от открытого совместного использования среди всех участников.

 

Дополнительные советы и приемы

Используйте сервер SSL

  • Серверы SSL в настоящее время - единственный путь надежно обработать конфиденциальные транзакции и обеспечить безопасную аутентификации пользователей. SSL шифрует обмен данными по HTTP протоколу между клиентами Сети и Web-сервером. Таким образом, даже если передача данных перехвачена, она не может быть прочитана.

Используйте файл .htaccess сервера Apache

  • Для дополнительной безопасности Вы можете использовать .htaccess для защиты паролем критических каталогов. Этого, как правило, достаточно для того, чтобы блокировать типичные атаки. Но нужно знать, что одна только .htaccess защита паролем не есть достаточно безопасным методом. Данный метод ДОЛЖЕН быть объединено с сервером SSL для максимальной защиты. Сервер SSL требуется для того, чтобы защитить Ваш сайт от более сложных атак.

Добавьте новостной  rss-канал  Группы Безопасности  Joomla! в админ панель Вашего сайта

Добавьте  данную rss-ленту в админку, чтобы быть в курсе всех новостей о безопасности Joomla и вовремя среагировать с целью устранения возможных проблем.

Добавить комментарий


Защитный код
Обновить

Рекомендую!

Новые комментарии

  • Maintain the helpful job and generating the crowd! hyperlink: http://www.kuruthayat.net/forum/index.php?topic=494.0 ... Подробнее...  
  • Singing wⲟrehip songs is ggood but that?s not the one waʏ to worship.? Daddy said, maybe to mɑke Larry ... Подробнее...  
  • Lee and Larrʏ liked their sixth birthday party. Regarⅾlesѕ that they were twins, Mommy and Daddy ... Подробнее...  
  • You've gotten the best websites. Recommended Resource site: http://speroda.org/index.php/component/k2/itemlist/user/2253 ... Подробнее...  
  • Hey, tidy web-site you have got there. find out this here: http://www.cedarburgbocce.com/board/msg/53086.html ... Подробнее...