Форум русской поддержки Joomla!® CMS
06.12.2016, 07:05:32 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1] 2  Все   Вниз
  Добавить закладку  |  Печать  
Автор

Рекомендации - Что нужно делать для максимальной безопасности сайта на Joomla!

 (Прочитано 14583 раз)
0 Пользователей и 1 Гость смотрят эту тему.
broker_alexandr
Осваиваюсь на форуме
***

Репутация: +11/-0
Offline Offline

Сообщений: 89


« : 19.12.2011, 00:08:25 »

После взлома своего сайта, я решил собрать в одном месте рекомендации по настройке безопасности сайта на Joomla. Возможно будет полезно. К примеру мне бы было полезно найти такой пост и сделать всё по пунктам. Я не имею большого опыта управления сайтом и надеюсь вы поможете дополнить и исправить всё написанное. Просто когда случается нериятность бежишь за помощью на форум, потому как больше и посоветоваться не с кем...

Спасибо, что есть такой форум и отзывчивые люди!

1.   Joomla всегда должна быть обновлена до последней версии.

2.   Сделать сложные пароли к сайту и к FTP.

3.   Не хранить пароли в браузере и в файловых менеджерах.

4.   Включить SEF-ссылки (ЧПУ).

5.   htaccess.txt заменить на .htaccess.

6.   Скрыть какой CMS пользуетесь ( от серьёзных знатоков скрыть не получится, а от случайных любителей делать гадости по инструкции возможно и получится):

а) удалить строку -  $strHtml .= $tab.'<meta name="generator" content="'.$document->getGenerator().'" />'.$lnEnd;  
    Она находится в файле «head.php»
    Путь к этому файлу-  /libraries/joomla/document/html/renderer/ head.php

б) Запретить просмотр позиций модулей на сайте, для этого нужно добавить в .htaccess строки

Показать текстовый блок

в) Закрыть прямой доступ к админке, можно с помощью компонентов типа Admin Tools (Удобный компонент), но можно сделать это с помощью .htaccess.

Показать текстовый блок

г) Удалить файл INSTALL.php,  configuration.php-dist, INSTALL.php, LICENSE.php,  LICENSES.php, CHANGELOG , CREDITS , COPYRIGHT в корне сайта. (в Joomla 1.7 их нет, есть только LICENSE.txt README.txt)

д) Изменить стандартную страницу ошибки 404 на свою.

Показать текстовый блок

е) Заменить стандартную  иконку сайта favicon.ico на свою.

Показать текстовый блок

7.   Сменить префикс  к таблицам в базе данных (это тоже можно сделать с помощью Admin Tools).

8.   Не использовать сомнительные компоненты, модули, плагины, всегда обновлять все компоненты до последней версии и не качать их с стрёмных сайтов. А всё скачанное проверять.

9.   Удалять с сайта всё лишнее: компоненты, плагины, модули и чистить базу данных после них.

10.   Правильно выставить права на файлы и папки сайта. Это не так просто, тут придётся разбираться, для каждого сервера нужны свои настройки.
      После успешной установки и настройки Joomla и ее расширений, нет никакой необходимости оставлять права на запись в директории сайта . После завершения настройки сайта, закройте для записи все папки, кроме cache и images .

11.   Убрать права на запись с  файла configuration.php Регулярно поверять наличие на сайте вирусов и кодов.

12.   Проверять наличие левых ссылок (к примеру с помощью программы Xenu).

13.   Регулярно делать копию вашего сайта и базы данных.

14.   Запретить исполнение php в папке images (картики на сайте), именно в эту папку мне залили шелл.

Показать текстовый блок


15.   Проверить, чтоб не было возможности просмотра списков файлов в любой директории вашего сайта, т.е. листинг директорий. Если на сервере эта возможность отключена то это хорошо, а если нет, то отключите сами.
        
Показать текстовый блок

16.   Читал, что злоумышленники получают пароль администратора через функцию восстановление пароля. Даже если авторизация и регистрация отключена. Как сказал SmokerMan - Это было в старых версиях, теперь этой проблемы нет, поэтому нужно обновлять Joomla вовремя! =)

Показать текстовый блок


17. Установить защиту от SQL-инъекций -  jFireWall Lite (на полную версию пока денег нет). Правда, она только для Joomla 1.5. http://www.jfirewall.com/downloads/

18. Есть совет не использовать Windows, хотя думаю нужно следить за состоянием своей системы, проверять на вирусы, использовать антивирус и всё будет окей!

19. Также не забываем смотреть "официальный" список уязвимостей расширений Joomla на http://docs.joomla.org/Vulnerable_Extensions_List.

20. Плагин защиты сайта от ботов Marco's SQL Injection. (от инъекции SQL и LFI)

Показать текстовый блок
« Последнее редактирование: 29.12.2011, 11:57:41 от broker_alexandr » Записан
SmokerMan
Профи
********

Репутация: +694/-25
Offline Offline

Пол: Мужской
Сообщений: 5225



« Ответ #1 : 20.12.2011, 14:40:45 »

почитайте прикрепленные темы в разделе, там это все уже написано.
Цитировать
4.   Включить SEF-ссылки (ЧПУ).

5.   htaccess.txt заменить на .htaccess.
на безопасность никак не влияет.
Цитировать
6.   Скрыть какой CMS пользуетесь :
хрень полная. Никак вы не скроете чем пользуетесь!
Единственно что это может помочь от ботов и то сомнительно.
Цитировать
14.   Запретить исполнение php в папке images (картики на сайте), именно в эту папку мне залили шелл.
если дыра есть, то шел можно залить в любую директорию.
Цитировать
16.   Читал, что злоумышленники получают пароль администратора через функцию восстановление пароля. Даже если авторизация и регистрация отключена.
Была уязвимость в какой-то старой версии 1.5, уже давно пофиксили.
Записан
Pazys
Практически профи
*******

Репутация: +241/-4
Offline Offline

Пол: Мужской
Сообщений: 1937


<a>А где я ошибся-то?</b>


« Ответ #2 : 20.12.2011, 15:22:10 »

Cкрывать CMS бесполезно. Взгляните на robots.txt - сразу понятно что Joomla. И это далеко не единственный метод узнать CMS.

Вот самый косяк с расширениями. Вот была какая-то хрень с Datso галлери. Мы, допустим, знаем способ, как взломать сайт с помощью этой Датсы ... и вводим в Google такую строчку: index.php?option=com_datsogallery .... и ломаем переломаем - там немеренно сайтов.

Или вы считаете что злоумышленники будут тратить время на то, чтобы найти уязвимость именно в вашем сайте? - Нет. Они берут "готовеньких". Пишут скрипты, нажимают кнопку "Пуск" и всё. Потратив день на полную автоматизацию взлома сайтов через известную дыру, они могут заразить тыщи сайтов за час. И не надо брать отдельный сайт, узнавать CMS, искать дыры, ломать и т.д. Это слишком много времени занимает.

Например самый простейший способ поломать множество сайтов - залить красивые варезные шаблоны для Joomla на сайт, предварительно  залив туда шелл, подождать немного и вскоре можно будет стать хозяином всех этих сайтов. Вон посмотрите на шаблоны с joomfans скачанные - там везде ссылка на них стоит, display:none ... и вы считаете что это всё? Я думаю что вряд-ли. Скорее всего там по углам много еще чего распихано, что в нужный момент заработает, как надо хозяину.
Записан
Efanych
Группа развития
*****

Репутация: +602/-0
Offline Offline

Пол: Мужской
Сообщений: 4319



« Ответ #3 : 20.12.2011, 15:52:26 »

- Доктор, как 100% уберечься от венерических болезней?
- Ну, нужно надеть презерватив, смазать силиконом, надеть второй, смазать подсолнечным маслом, надеть третий, обматать всё это элластичным бинтом и главное - НИКАКОГО СЕКСА! Azn
По теме - говорилось 100 раз: вовремя обновляйте всё что можна, не используйте вареза и не храните пароли в ftp-менеджерах.
Записан
broker_alexandr
Осваиваюсь на форуме
***

Репутация: +11/-0
Offline Offline

Сообщений: 89


« Ответ #4 : 20.12.2011, 22:36:21 »

т.е. ваше мнение, что ничего делать не нужно и всё выше написанное не имеет никакого смысла? Ну думаю тогда можно удалить эту тему, чтоб никого не раздражать...

 Скрыть какой CMS пользуетесь от людей знающих не получится согласен, а вот от всяких любителей, которые делают всё по инструкции, возможно всё же получится. Ведь есть такая категория людей, которые пытаются делать гадости от нечего делать не имея самых элементарных знаний.

Включение SEF-ссылки (ЧПУ) скрывает реальные адреса, разве нет? Ну и вообще полезная фишка!

robots.txt - это да, с ним наверное ничего не поделаешь!

Я писал больше для себя, а потом решил поделиться, я понимаю, нельзя защититься на 100% и многое написанное уже всем известно, просто хотел собрать всё в одном месте.

За критику спасибо, она справедливая, вот только советов от вас практических не было, а жаль! Т.е. от людей с опытом хотелось услышать рекомендации которые не вошли в список вверху.

То, что никак не влияет на безопасность, можно удалить из списка, а то, что реально необходимо сделать добавить!

« Последнее редактирование: 20.12.2011, 22:46:39 от broker_alexandr » Записан
Pazys
Практически профи
*******

Репутация: +241/-4
Offline Offline

Пол: Мужской
Сообщений: 1937


<a>А где я ошибся-то?</b>


« Ответ #5 : 20.12.2011, 23:37:29 »

Рекомендации простые:
- Обновляться (и CMS и компоненты-модули-плагины)
- Не использовать варез
- Использовать нормальные пароли - хранить в голове
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3487


skype aqaus.com


« Ответ #6 : 20.12.2011, 23:54:17 »

Чтобы сайт не взломали - не заводите сайт.

От ботов все же поможет Marco's SQL Injection

Цитировать
Protect also from unKnown 3rd Party extensions vulnerability.
« Последнее редактирование: 20.12.2011, 23:57:44 от wishlight » Записан
broker_alexandr
Осваиваюсь на форуме
***

Репутация: +11/-0
Offline Offline

Сообщений: 89


« Ответ #7 : 20.12.2011, 23:56:35 »

Чтобы сайт не взломали - не заводите сайт.

Ну это вообще писать не за чем...
Записан
voland
Профи
********

Репутация: +487/-86
Offline Offline

Пол: Мужской
Сообщений: 8711


любит наш народ всякое гавно...


« Ответ #8 : 20.12.2011, 23:58:07 »

18. Не использовать винду, даже лицензионную
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3487


skype aqaus.com


« Ответ #9 : 20.12.2011, 23:58:48 »

Ага... зачем... Вообще не зачем что-то делать
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3487


skype aqaus.com


« Ответ #10 : 20.12.2011, 23:59:10 »

18. Не использовать винду, даже лицензионную

 3rd Party extensions vulnerability

часто и винда ни причем

Есть тут в сообществе один разработчик. Меня из-за него 3 раза ломали. Фридом... Кто же оставляет в форуме по умолчанию загрузку PHP файлов к которым можно получить прямой доступ после загрузки. За всеми надо смотреть.
Записан
марлен
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Пол: Мужской
Сообщений: 32



« Ответ #11 : 25.12.2011, 04:24:18 »

Хороший список! пусть он только пополняется! я любитель! и таких как я - большинство! вносите и дополняйте его - аминь!
по делу критикуйте! а зачем да почему - это на форуме "БОЛОБОЛОВ"
« Последнее редактирование: 26.12.2011, 03:06:10 от марлен » Записан
beliyadm
Профи
********

Репутация: +1566/-61
Offline Offline

Пол: Мужской
Сообщений: 8110


Севастополь == Россия


« Ответ #12 : 25.12.2011, 04:30:35 »

CHANGELOG , CREDITS , COPYRIGHT а их почему невписали? тоже в корзину!
в 1.7 их нет, есть только LICENSE.txt README.txt
Записан
broker_alexandr
Осваиваюсь на форуме
***

Репутация: +11/-0
Offline Offline

Сообщений: 89


« Ответ #13 : 25.12.2011, 23:41:00 »

CHANGELOG , CREDITS , COPYRIGHT а их почему невписали? тоже в корзину!

Подправил!
Записан
broker_alexandr
Осваиваюсь на форуме
***

Репутация: +11/-0
Offline Offline

Сообщений: 89


« Ответ #14 : 25.12.2011, 23:42:02 »

в 1.7 их нет, есть только LICENSE.txt README.txt

В основном писал опираясь на 1.5, учел и подправил.
Записан
dim66
Осваиваюсь на форуме
***

Репутация: +4/-0
Offline Offline

Сообщений: 50


« Ответ #15 : 26.12.2011, 11:51:18 »

Молодец и спасибо! Поправил у себя на сайте 404 страницу)))
Записан
Pazys
Практически профи
*******

Репутация: +241/-4
Offline Offline

Пол: Мужской
Сообщений: 1937


<a>А где я ошибся-то?</b>


« Ответ #16 : 26.12.2011, 23:33:25 »

Молодец и спасибо! Поправил у себя на сайте 404 страницу)))
Это обязательно с точки зрения юзабилити сайта. Если оставлять стандартную страницу, то обычный пользователь может подумать, что сайт нерабочий. А если вы сделаете ее в стиле вашего сайта и напишите понятно - что это не ошибка сайта, а пользователь что- то неправильно ввел, то это удержит его на вашем сайте. Вообще 404 должна быть только в 1 единственном случае- если пользователь вручную вбил неверный адрес.
Записан
Holodov
Новичок
*

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 5


« Ответ #17 : 30.12.2011, 20:29:18 »

А почему нельзя хранить пароли в браузере и в файловых менеджерах?
Записан
beliyadm
Профи
********

Репутация: +1566/-61
Offline Offline

Пол: Мужской
Сообщений: 8110


Севастополь == Россия


« Ответ #18 : 30.12.2011, 21:29:09 »

А почему нельзя хранить пароли в браузере и в файловых менеджерах?
Потому что 99% взломов сайтов - из за трояна в системе, что читает эту сохраненную информацию
Записан
Pazys
Практически профи
*******

Репутация: +241/-4
Offline Offline

Пол: Мужской
Сообщений: 1937


<a>А где я ошибся-то?</b>


« Ответ #19 : 30.12.2011, 23:26:28 »

Придумайте сложный-простой пароль и храните в голове. Пример:
Мой Сайт - Я Родился 15 Января 1990
Ms-YaR15j90

Для подбора сложный, для запоминания легкий.
Записан
N2uM
Завсегдатай
*****

Репутация: +20/-0
Offline Offline

Пол: Мужской
Сообщений: 483



« Ответ #20 : 24.01.2012, 23:28:03 »

Цитировать
Например самый простейший способ поломать множество сайтов - залить красивые варезные шаблоны для Joomla на сайт, предварительно  залив туда шелл, подождать немного и вскоре можно будет стать хозяином всех этих сайтов. Вон посмотрите на шаблоны с joomfans скачанные - там везде ссылка на них стоит, display:none ... и вы считаете что это всё? Я думаю что вряд-ли. Скорее всего там по углам много еще чего распихано, что в нужный момент заработает, как надо хозяину.

Шаблон варезный, но не с того сайта... нашёл это свойство в шаблоне, в самом конце


#usebottom1 .je-box-ct a {
   color: #FFFFCC;
   margin: 0;
   padding: 0;
}

div.rokminievents-desc p {display:none;}

/* мойсайт.ру */
ul.rokminievents {margin: 0;}
ul.rokminievents li.rokminievents-item {margin: 0;}

Можно проверить?, а то как то поднапрягло это. Скачал варезный теперь жалею, может кто шаблон проверить на наличее косяков? Может производителю шаблона заранее заплатить или в коде где ему написать, что если что заплачу за шаблон 
Записан
Pazys
Практически профи
*******

Репутация: +241/-4
Offline Offline

Пол: Мужской
Сообщений: 1937


<a>А где я ошибся-то?</b>


« Ответ #21 : 24.01.2012, 23:43:08 »

Там скорее всего используется для какого-нибудь слайдера или подобной штуки, где что-то исчезает, а что-то проверяется.

Вы ищите ссылки в исходном коде.
Записан
N2uM
Завсегдатай
*****

Репутация: +20/-0
Offline Offline

Пол: Мужской
Сообщений: 483



« Ответ #22 : 24.01.2012, 23:46:23 »

Цитировать
Вы ищите ссылки в исходном коде.

Чувствую идиотский вопрос, а что за исходный код?
Записан
N2uM
Завсегдатай
*****

Репутация: +20/-0
Offline Offline

Пол: Мужской
Сообщений: 483



« Ответ #23 : 24.01.2012, 23:57:57 »

Я конечно сначало спрашивал больше про то что

Цитировать
Скорее всего там по углам много еще чего распихано, что в нужный момент заработает, как надо хозяину.
Записан
Pazys
Практически профи
*******

Репутация: +241/-4
Offline Offline

Пол: Мужской
Сообщений: 1937


<a>А где я ошибся-то?</b>


« Ответ #24 : 25.01.2012, 00:40:37 »

Чувствую идиотский вопрос, а что за исходный код?
CTRL + U вроде на винде ...

Я конечно сначало спрашивал больше про то что

Ну тут не факт ... шансы есть но не очень большие
Записан
darkghost
Практически профи
*******

Репутация: +75/-0
Offline Offline

Сообщений: 1809



« Ответ #25 : 17.09.2013, 13:15:09 »

почитал рекомендации, решил попробовать
--- б) Запретить просмотр позиций модулей на сайте, для этого нужно добавить в .htaccess строки
скопировал строки в файл - по запросу все равно открывает. Пробовал комментировать строки в файле --- /libraries/joomla/application/module/helper.php - так ругается админка - ошибка в строке и тд
--- в) Закрыть прямой доступ к админке, можно с помощью компонентов типа Admin Tools (Удобный компонент), но можно сделать это с помощью .htaccess.
сделал с помощью htaccess. Сгенерировал код и пароль. Поместил эти строки в файлы. Оба файла положил в паку - administrator - как и говорится. Проверяю - а в ответ, введите пароль и все! Смотрю в ЛОГ-файл, а там строка -
Показать текстовый блок
что я сделал не так?
 
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2652


step by step


« Ответ #26 : 17.09.2013, 14:18:04 »

Цитировать
No such file or directory: Could not open password file: .../administrator/.htpasswd
Пропиши путь от корня серверва/хостинга
Записан
darkghost
Практически профи
*******

Репутация: +75/-0
Offline Offline

Сообщений: 1809



« Ответ #27 : 17.09.2013, 14:48:55 »

Пропиши путь от корня серверва/хостинга
--- пробовал home/....../administrator/.htpasswd а так же изменял права (755-htpasswd) - результат тот же и та же строка

--- б) Запретить просмотр позиций модулей на сайте ---- может кто выложит рабочий файл .htaccess, или ткнет - куда?
где-то и встречал, но не могу найти
« Последнее редактирование: 17.09.2013, 15:30:48 от darkghost » Записан
Pazys
Практически профи
*******

Репутация: +241/-4
Offline Offline

Пол: Мужской
Сообщений: 1937


<a>А где я ошибся-то?</b>


« Ответ #28 : 17.09.2013, 17:25:14 »

В Joomla выше 1.5 это есть в настройках - Менеджер шаблонов -> Настройка
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2652


step by step


« Ответ #29 : 17.09.2013, 19:15:32 »

--- пробовал home/....../administrator/.htpasswd а так же изменял права (755-htpasswd) - результат тот же и та же строка
auth_basic_user_file DocumentRoot/administrator/.htpasswd
Где DocumentRoot/ бери из конфига твоего хостинга
Записан
Страниц: [1] 2  Все   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet