Деструктивная активность некоторых асоциальных членов общества не дает нам возможность спокойно спать. Во выдал))).

Как вылечить вирусы на сайтеСделать сайт окажется самым простым. Намного сложнее будет сделать его популярным и посещаемым. Еще немного проблем нам добавят атаки на сайт и его взломы. К подобным вещам надо быть готовым заранее.
Атакам подвергаются практически все сайты. Взламывают тоже любые CMS без исключения. Методы заражения и взлома, по сути, не отличаются для разных CMS.
Чаще всего это заражения сайтов вирусами-троянцами, установка бекдоров (backdoor).
Итак, безопасность сайта на Joomla, стоит разделить на части:

  • Настройка файла .htaccess
  • Оптимальная настройка сервера Apache
  • Права файловой системы
  • Обновление CMS Joomla
  • Удаление неиспользуемых расширений Joomla.
  • Обновление расширений Joomlа.
  • Не используйте варезные расширения.
  • Установка расширений безопасности.
  • Сложные пароли к учетной записи администраторов.

Это основной список необходимых мер. Многие веб-мастера не задаются вопросом как организована безопасность на самом хостинге, где размещен сайт. И это заблуждение очень распространенное. Это надо делать в первую очередь. Ведь хостинги предоставляют услугу, как есть и только на некоторых из них сделана тонкая настройка.

Файл .htaccess
По умолчанию в файле не прописаны возможные команды ограничивающие доступ и позволяющие защитить файлы и директории сайта. Настроив файл .htaccess, можно защитить такие важные директории, например как administrator. Можно блокировать доступ на сайт с определенных IP-адресов запретив все и разрешив только свой.
В стандартной поставке Joomla
Сам дистрибутив уже идет в комплекте с настроенным файлом .htaccess, нужно только переименовать его из htaccess.txt в .htaccess. Перед внесением изменений в файл .htaccess, не забываем сделать копию. Важно также, чтобы хостинг поддерживал файл .htaccess если после переименования файла, сайт покажет 500 страницу, значит хостинг не поддерживает .htaccess. Обратитесь в администрацию или меняйте хостинг.

Запрет исполнения файлов в корне сайта, в том числе выполнение php-скриптов.


<Filesmatch ".(php)$">
order deny,allow
deny from all
</Filesmatch>
<Filesmatch "^index.php">
order allow,deny
allow from all
</Filesmatch>
<Filesmatch "^index2.php">
order deny,allow
allow from all
</Filesmatch>

 

Запрет доступа к xml-файлам расширений


<Files ~ "\.xml$">
Order allow,deny
Deny from all
Satisfy all
</Files>

Блокирование прямого доступа к ядру
Данное решение закроет доступ к бекдорам, тем самым, увеличивая безопасность сайта на Joomla. По личному опыту, часто сайт заражается бекдором под названием FileMan. При удаленном вызове вы получаете полный доступ к файловой системе, вы можете изменять любые файлы, при этом оставляя дату последнего изменения, а не текущих.
Создать новый файл .htaccess. Добавить инструкцию, которая указана ниже. Она запрещает выполнение скриптов. Добавить его во все папки корня сайта.


<Files ~ ".(php)$">
Deny from all
</Files>

Настройка Apache сервера

Теперь перейдем к настройке безопасности веб-сервера Apache, он обрабатывает PHP-код и возвращает браузеру HTML-код. Его тоже надо настроить. Тут может возникнуть ряд трудностей, так как не на всех серверах есть доступ к файлу php.ini (в нем хранится конфигурация Apache). Можно попробовать сконфигурировать через .htaccess.

Установите модуль mod_security
ModSecurity – модуль Apache, добавляющий возможности обнаружения и предотвращения вторжения на Web-сервер.
К сожалению вы сами не сможете этого сделать, советуем обратиться к администрации хостинга или к администратору выделенного или вирутального сервера. Они должны установить и сконфигурировать этот модуль.

Используйте PHP последних версий - 5.0 и выше.
Используйте локальный php.ini
Некоторые хостинги позволяют использовать собственный файл конфигурации Apache, который находится в корне сайта. Если такая возможность есть, не упустите ее.

Настройка php.ini
Настройка простая. Вот рекомендуемые настройки безопасности Apache.


disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open
open_basedir = /home/users/you/public_html:/tmp
magic_quotes_gpc = 0
safe_mode = 0
register_globals = 0
allow_url_fopen = 1
allow_url_include = 0

Если нет возможности настроить php.ini, то можно попробовать прописать в .htaccess.


php_flag register_globals Off
php_flag file_uploads On
php_flag allow_url_fopen off
php_flag magic_quotes_gpc On
php_flag magic_quotes_runtime Off

Права в файловой системе

Правильная насройка такая:
Корневая директория 750 (например public_html)
Файлы 644
Директории 755 (711 если вы параноик, но не для директорий, которые должны быть перечислены, например images)

Обновление CMS Joomla
Самый важный шаг. Надо регулярно обновлять систему. Разработчики работают над безопасностью периодически закрывая дырки в ядре.
Перед обновлением обязательно делайте резервную копию всего сайта с базой данных. Используйте инструменты, которые предоставляет хостинг или воспользуйтесь компонентом Akeeba Backup.

Удаление неиспользуемых расширений Joomla
Многие мастера ставят подряд все расширения, которые находят. Даже если есть понимание что расширение для сайта бесполезно предпочитают оставить его. На всякий случай. По большей в них имеется куча дыр, через которые злоумышленник может получить полный доступ к сайту или заразить сайт на Joomla вирусом. Лучше удалить неиспользуемые расширения.

Обновление расширений Joomlа
Обязательно следить за релизами. Одно из часто взламываемых расширений — это устаревший визуальный редактор JCE. Есть более современный, удобный и бесплатный редактор JoomlaCK для всех версий Joomla.

Не используйте варезные расширения
Часто заражения сайта на Joomla происходит через расширения, скачанные с варезных сайтов. В 100% случаев вы уже там найдете вирус. Расширения не всегда стоят дорого. 10-15$ вас не разорят, зато это сделает ваш сайт более безопасным, заодно получите самую последнюю версию. Не полагайтесь на то что вы увидели и устранили возможный вирус в компоненте. Возможно он там ни один.

Установка расширений безопасности
Есть ряд полезных расширений для Joomla, который значительно повысят безопасность сайта. Приведу их список.

Admin Tools — шикарный инструмент реальной безопасности. При этом рекомендую купить профессиональную версию. Она стоит относительно недорого, зато вы получите почти максимальную безопасность.
jHackGuard — интересный плагин от SiteGround, позволяющий существенно повысить безопасность сайта. HackGuard обеспечивает защиту от таких видов взлома, как: SQL-инъекции, удаленные включения URL/файлов, удаленное выполнение кода, а также защиту от XSS-атак.
AI-Bolit — скрипт для поиска вирусов и вредоносных скриптов на сайте. Инструкция по его использованию — в коробке.
Shell and Backdoor Script Finder — вирусный сканер сайта, у него более продвинутые базы, чем у AI-Bolit.

Сложные пароли к учетной записи администраторов
Поменяйте ваш логин сразу как установите Joomla. Ни в коем случае не используйте банальный логин admin. Этим самым вы очень просто вдвое увеличиваете вероятность подбора пары логин пароль. Если вы испытываете трудности с генерацией сложных паролей, то воспользуйтесь онлайн сервисами.

Вот, в пока и все! Рекомендую выполнить эти несложные настройки.

__________________________________________________________________________________________________________________

скачать joomla | обновление joomla | модуль joomla | администрирование | seo продвижение | joomla магазиншаблоны сайтов

обратная связь 

При копировании материала ссылка на сайт joomla4.ru обязательна.