Как правильно защитить системные папки? - Безопасность сайтов на Joomla

Всем доброго дня!
После пары последних взломов решил обратиться к уважаемому разработчику популярного скрипта AI-Bolit с вопросом, как можно обезопасить себя от злоумышленников. На что получил следующий ответ:

Во все каталоги загрузки (images/tmp/upload/backup) разместить .htaccess, который запрещает выполнение php скриптов. Установить защиту по IP на админку. Сделать все системные скрипты и директории "только для чтения".

Большая просьба к сведущим людям, пожалуйста, разъясните:
1. Что должно быть прописано в файле .htaccess.
2. Как установить защиту по IP на админку?
3. Какие именно папки являются системными, чтобы выставить на них права "только чтение".

Буду весьма признателен всем, кто подскажет ответы.

12

Права на папки 755 вполне хватает, на папку administrator установить http авторизацию (возможность закрытия папок сейчас практически на всех хостах)

2

Код

Order deny,allow
Deny from all
allow from 101.102.103.104  #заменить на свой ip

Это надо прописать в .htaccеss в корне сайта (то есть в .htaccеss, находящийся в папке /public_html/site.ru)? или куда-то еще?

И остается вопрос - какие скрипты и директории следует считать системными, чтобы присвоить им "только чтение"?

В настоящее время изменил только следующие права доступа:
444 - на site.ru/index.php
444 - на site.ru/configuration.php
444 - на site.ru/templates/шаблон/index.php
555 - на site.ru/templates/шаблон

Много про безопасность написано вот здесь, но, к сожалению, не имея соответствующей подготовки, я не могу разобраться, как воспользоваться приведенными рекомендациями. Если кто-нибудь посмотрит и подскажет, полезные ли там приводятся советы, был бы благодарен за разъяснения, как эти советы использовать? Просто добавить приведенные ниже строчки кода в файл .htaccess?:

Я правильно понимаю?
Или все это нужно скопировать в какой-то другой файл?

Буду весьма признателен всем, кто подскажет ответы.

1. Быть уверенным, что нет вирусов на ПК.
2. Обновить всю систему и ее компоненты.
3. Делать бэкапы (час X бывает неожиданно)!
4. Не слушать ерунду.
После выполнения шагов 1-4, ничего не делать и довериться разработчикам Joomla.

PS. права на папки 755, на файлы 644.

1. Быть уверенным, что нет вирусов на ПК.
2. Обновить всю систему и ее компоненты.
3. Делать бэкапы (час X бывает неожиданно)!
4. Не слушать ерунду.
После выполнения шагов 1-4, ничего не делать и довериться разработчикам Joomla.

Все обновляется своевременно, бэкапы делает хостинг-провайдер, периодически скачиваю их на компьютер. На компьютере лицензионный антивирус. Пароли в браузере и FTP-клиенте не хранятся. Но вот результат - два вскрытия за одну неделю.

Но вот результат - два вскрытия за одну неделю.

Лог доступа к сайту есть?

бэкапы делает хостинг-провайдер

самому бэкапы делать надо. и поднимать их на ПК, чтобы иметь возможность сравнить файлы на случай заражения. Базу данных редко заражают. Но и в этом случае можно сравнить скрипты БД.

Лог доступа к сайту есть?

К сожалению, я в этом не силен, но думаю, что должен быть.

хостера спроси - дай лог доступа и лог ошибок за последние 2 недели.

вообще, дело это сложное - увидеть взлом на длительном периоде. но легко восстановить рабочий бэкап и поставить скрипт, отслеживающий изменения файлов. тогда легче лог смотреть.

хостера спроси - дай лог доступа и лог ошибок за последние 2 недели.

вообще, дело это сложное - увидеть взлом на длительном периоде. но легко восстановить рабочий бэкап и поставить скрипт, отслеживающий изменения файлов. тогда легче лог смотреть.

Хорошо, сейчас попробую.

вообще, дело это сложное - увидеть взлом на длительном периоде. но легко восстановить рабочий бэкап и поставить скрипт, отслеживающий изменения файлов. тогда легче лог смотреть.

А что за скрипт?
На днях с удивлением узнал, что Яндекс рекомендует свой скрипт проверки сайтов Manul. Как думаете, стоит таким проверяться?

Как думаете, стоит таким проверяться?

я думаю, скриптам от яндекса стоит доверяться. попробуйте. только взлом вашего сайта не означает, что это был вирус. антивирус же не ругался на ПК при попытке открыть сайт после взлома. в чем заключался "взлом" с вашей точки зрения?

я думаю, скриптам от яндекса стоит доверяться. попробуйте. только взлом вашего сайта не означает, что это был вирус. антивирус же не ругался на ПК при попытке открыть сайт после взлома. в чем заключался "взлом" с вашей точки зрения?

Я видел лишь результат проникновения - размещение подозрительных файлов в корневой директории, осуществлявших перенаправление посетителей с мобильных устройств на сторонний ресурс.

И хотелось бы снова вернуться к первому вопросу - какие папки являются системными? На какие директории следует установить рекомендуемые права "только чтение"?

Сейчас попробовал скопировать строчки кода из приведенных выше под спойлером примеров, на сайте сразу пропали все картинки. Оказывается из-за вот этих строчек:
#### @RS
# Deny access to php, XML and ini files
# within components and plugins directories
RewriteCond %{REQUEST_FILENAME} -f
RewriteCond %{REQUEST_URI} \.php|\.ini|\.xml [NC]
RewriteCond %{REQUEST_URI} \/components\/ [OR]
RewriteCond %{REQUEST_URI} ^\/includes\/|^\/administrator\/includes\/ [OR]
RewriteCond %{REQUEST_URI} \/language\/ [OR]
RewriteCond %{REQUEST_URI} \/libraries\/ [OR]
RewriteCond %{REQUEST_URI} \/modules\/ [OR]
RewriteCond %{REQUEST_URI} \/plugins\/ [OR]
RewriteCond %{REQUEST_URI} \/templates\/ [OR]
RewriteCond %{REQUEST_URI} \/xmlrpc\/
RewriteRule ^(.*)$ index.php [R=404,L]
#### @RS
Когда их убрал, картинки снова появились. Можете подсказать, что с этим кодом не так?

Ты сам же спрашивал- 1.в папку /images and /tmp and /cache и можно еще в папки с картинками шаблона, любых скриптов
по п.2- в папку /administrator
Я рекомендую давать на все папки/каталоги 555 , файлы 444 , за исключением /cache
п.с.
У winstrool есть свой хак, поищи по разделу

Во все папки кроме administrator ложим .htaccess со следующим содержимым:

Order Allow,Deny
Deny from all
<Files ~ "\.(bmp|css|csv|doc|gif|html|jpg|jpeg|js|pdf|png|ppt|psd|swf|tiff|txt|xls|BMP|CSS|CSV|DOC|GIF|HTML|JPG|JPEG|JS|PDF|PNG|PPT|PSD|SWF|TIFF|TXT|XLS|mp4)$">
Allow from all
</Files>

По необходимости убрать или добавить расширения.

В саму папку administrator/ ложим бейсик авторизацию....

Если у кого-то Cloudflare - делаем для папки /administrator отдельное правило и режим защиты i'm under attack. Прекрасно спасает от перебора пароля в админку.

подключился к cloudflare и теперь при попытке перейти на страницу авторизации в админку редиректит на главную. Может кто сталкивался?

подключился к cloudflare и теперь при попытке перейти на страницу авторизации в админку редиректит на главную. Может кто сталкивался?

Сталкивался. И свалил с cloudflare. 
Причем серьезно - у них слишком много глюков.

я тоже. динамические сайты это не про cloudflare к сожалению