7 советов по оптимизации безопасности Joomla!

[Sulpher]

Joomla! очень популярная во всем мире CMS. По этой причине, хакеры часто пытаются найти способы взлома сайта на Joomla!. Ниже приведены семь советов по оптимизации безопасности вашего сайта на Joomla!

Но для начала общие моменты. Всегда помните, что нужно делать регулярное резервное копирование веб-сайта и базы данных. Если сайт таки хакнули, то вы всегда сможете поднять сайт из последнего бэкапа. Обязательно выясните какое расширение послужило дырой для атаки и постарайтесь его заменить на более надежное.

Измените установленный по умолчанию префикс (jos_) к таблицам в базе данных
Большинство SQL инъекций, которые написаны для взлома сайтов на Joomla! пытаются получить данные из таблицы jos_users. Таким образом, они могут получить имя пользователя и пароль для супер администратора сайта. Изменение стандартного префикса оградит вас от (большинства / всех) SQL инъекций.

Вы можете задать префикс базы данных при установке Joomla! Если вы уже установили и хотите изменить свой префикс, выполните следующие действия:

• Войдите в панель управления Joomla!
• Зайдите в «Общие настройки»->«Сервер» и найдите панель «Установки базы данных».
• Там измените ваш префикс на любой произвольный (например: fdasqw_) и нажмите кнопку Сохранить.
  *Когда вы это сделаете, сайт на время выйдет и строя, но следующее действие исправит это.
• Зайдите в PhpMyAdmin для доступа к базе данных.
• Перейдите на вкладку экспорт, оставить все значения по умолчанию и нажмите кнопку «Пуск/Пошел». Экспорт данных может занять некоторое время.
• Когда все будет сделано, выделите весь код и скопируйте его в блокнот (или любой другой текстовый редактор), на всякий случай сохраните файл.
• В PhpMyAdmin выберите все таблицы, и удалите их. Обязательно убедитесь, что вы сохранили экспортированный до этого код, иначе потеряете данные сайта!
• В редакторе, выполните поиск и замену (как правило, Ctrl + H). Сделайте поиск по jos_ и измените его на ваш новый префикс (например: fdasqw_). Нажмите «Заменить все».
• Выберите все в редакторе и скопируйте. В PhpMyAdmin, перейдите на SQL, вставьте запросы (то, что вы скопировали в редакторе) и нажмите кнопку Пуск.

Удалите номера версий / название расширений
Большинство уязвимостей проявляются только в конкретном выпуске конкретных расширений. Показывать номер версии расширения это действительно плохо. Вы можете сократить такие сообщения только до названия расширения, выполнив следующие действия:

• Скачайте нужные файлы расширений с вашего сервера.
• Откройте редактор кода.
• Откройте любой из файлов расширений, которые вы только что загрузили на ваш компьютере.
• И начните поиск необходимого вам словосочетания, где указана версия расширения. Если вы не знаете в каком конкретно файле искать, то можно воспользоваться поиском по всему каталогу расширений.
• Установите параметры поиска по словосочетанию «Версия мое расширения 2.14»(Это для примера) и нажмите "ОК".
• Когда найден искомый запрос, удалите номер версии.
• Загрузка измененный файл на сервер и убедиться, что были внесены изменения.

Используйте SEF компоненты
Большинство хакеров используют «Google inurl: команду» для поиска уязвимостей для эксплойтов. Используйте Artio, SH404SEF или другой компонент SEF для того, чтобы переписать ссылки и помешать хакерам найти возможность эксплойта. Кроме того, вы получите более высокий ранг в Google при использовании дружественных URL для поисковика. (я бы рекомендовал для этих целей использовать стандартный SEF Joomla с mod_rewrite - прим.Sulpher)
Используйте самые свежие версии Joomla! и расширений

Это очевидно. Всегда проверяйте наличие обновлений для Joomla! и расширений, которые вы используете. Многие уязвимости в большинстве случаев устраняются в более поздних версиях.
Используйте правильный CHMOD для каждой папки и файла

Установка CHMOD 777 или 707 для файлов или папок необходима только тогда, когда скрипт должен записать что-либо в этот файл или каталог. Все остальные файлы должны иметь следующую конфигурацию:
    * PHP-файлы: 644
    * Файлы конфигурации: 666
    * Другие папки: 755

Удаляйте остатки файлов
Когда вы установили расширение, которое вам не понравилось, не оставляйте расширение просто неопубликованным. Если вы так сделаете, уязвимые файлы будут по-прежнему на вашем сайте. Поэтому просто воспользуйтесь деинсталлятором для полного удаления расширения.
Измените ваш .htaccess файл

Добавьте следующие строки в .htaccess файл, чтобы заблокировать некоторые основные эксплойты.

Код:

########## Начинаем запись правил чтобы заблокировать основные эксплойты
#
# Блокируем любой скрипт пытающийся получить значение mosConfig через URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [OR]
# Блокируем любой скрипт пытающийся отправить любое дерьмо чере base64_encode по URL
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR]
# Блокируем любой скрипт который содержит тег < script> в URL
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
# Блокируем любой скрипт, который пытается установить глобальную переменную PHP через URL
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
# Блокируем любой скрипт пытающийся изменить _REQUEST переменную через URL
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2}) [OR]
# Блокируем любой скрипт, который пытается установить CONFIG_EXT (баг в com_extcal2)
RewriteCond %{QUERY_STRING} CONFIG_EXT([|%20|%5B).*= [NC,OR]
# Блокируем любой скрипт, который пытается установить sbp or sb_authorname чере URL (баг simpleboard)
RewriteCond %{QUERY_STRING} sbp(=|%20|%3D) [OR]
RewriteCond %{QUERY_STRING} sb_authorname(=|%20|%3D)
# Отправляем все заблокированный запросы на главную с ошибкой 403 Forbidden!
RewriteRule ^(.*)$ index.php [F,L]
#
########## Заканчиваем запись правил чтобы заблокировать основные эксплойты

Для получения дополнительной информации по безопасности Joomla! посетите следующие ресурсы:

• Category:Security Checklist
• Форум безопасности Joomla! 1.5

Также следите за сайтами уязвимостей Joomla!:

• Securitylab
• Secunia
• FrSIRT
• Milw0rm

Источник статьи

[strannik-yura]

При замене префикса jos_ получил проблему:

когда вставляю запрос и жму ОК, появляется следующее сообщение:

Fatal error: Allowed memory size of 25165824 bytes exhausted (tried to allocate 5201654 bytes) in C:\AppServ\www\phpMyAdmin\libraries\common.lib.php on line 282

для выполнение операции не хватает выделенной памяти

[strannik-yura]

Плагин Memory Limit Plugin

[flat4er]

для выполнение операции не хватает выделенной памяти

Ага. Про память спасибо.
А вот с плагином неувязочка. У меня теперь сайт не запускается. Я ж префикс поменял и базы убил. Как я плагин-то поставлю?

[strannik-yura]

ну так с бекапа старые базы восстановите
потом поставь плаги
и попробуй поменять префикс

[gattaka]

вопрос такой:
jos_ сменил давно на другйо префикс.
однако при входе любого юзера с фронтэнда  скрипт пытается искать таблицу users c jos  префиксом. где это подправить? при этом все раюотает все остальноисправно тащится их таблиц с новым префиксом.
в админку захожу. при вышеописанной попытке виже +1 юзера как бы вршедшего на сайт. если сессии в базе почистить или кукис браузера - то сайт опять открывается.
ошибка такая  500 - No valid database connection:Table 'dv_vael.jos_users' doesn't exist SQL=select gid, usertype from jos_users where id = 81

последние действия - установил в подпапку Drupal. Вышеописанный тоже стои н в корне. Тестирую их... Может бфьб я включил отключил какие-то плагины в PHP? Drupal просил. Но я игрался с плагинами и не решил все же
помогите пожалуйста. d configuration.php  ест-но прописан верный префикс.

[gattaka]

Joomla 1.5
есть такой    плагин  NOIX   - распределение прав редактирования и доступа. в нем автор - при.....ок жестко прописал "JOS_"  в helper.php. именно к нему обращается система когда заводит пользователя на сайт.
ест-но если у вас другой префикс к базам - вы получаете 500 ошибку - нет такиой jos_user таблицы.
я просто заменил там порядка пяти позиций с jos    на свой префикс.
плагин 2009 аж года. И ни закроет, ни поддержки нет... это по крайней мере не исправлено.

не уверен, что единственное и правильное решение. т.к на другом сайте "jos_"   в этом же файле, префиксы НЕ jos  и все равно все работает... загадка....

[Aleks_El_Dia]

Некоторые разработчики жестко прописывают префикс jos_ (вместо #__), что не есть правильно, ибо префикс может быть любой

[Feione]

выбивает ошибку, при запросе SQL:

SQL-запрос:

-- phpMyAdmin SQL Dump
-- version 2.6.2
-- http://www.phpmyadmin.net
--
-- Хост: (я тут убрал_
-- Время создания: Окт 12 2011 г., 10:04
-- Версия сервера: 5.1.51
-- Версия PHP: 5.2.10
--
-- БД: `information_schema`
--
CREATE DATABASE  `information_schema` DEFAULT CHARACTER SET utf8 COLLATE utf8_general_ci

из за чего это??

[Feione]

это исправил, новая беда, запрос выполнен, а результата нет...
как так может быть??
правде пришлось обрезать низ... там Events как то плохо себя чувствовали...
что я не так делаю?

[flidog]

А можно сделать проще:
Пользуюсь Бекапером Akeeba, делаю резервную копию сайта, захожу в Phpmyadmin удаляю базу данных,при инсталяции сайта из резервной копии во вкладке advanced options на 2 шаге, меняю префикс таблиц joc_ на любую свою кракозябру и все. База данных с вашим префиксом

[Feione]

так это намного проще!
попробую, спасибо)

[rmen]

Вот насчёт прав 666 на файлы конфигурации я что-то вообще не понял.
То есть для configuration.php вы предлагаете дать ВСЕМ права на запись в этот файл чего угодно?
Или я чего-то не понимаю?

товарисчи, проконсультируйте пожалуйста, если нетрудно. обновился с 1.5.15 до 1.5.22. все прошло нормально. папки с архива обновления кидал по FTP. теперь в админке Joomla стоит версия 1.5.22. НО если б не ложка дегтя... не заменились некоторые конфигурационные файлы в шаблоне ja_purity который используется на сайте. с другой стороны может и неплохо что они не заменились?  Permission denied... зашел по FTP на сайт. права на php файлы в папке с шаблоном 755. но при попытке изменить права на 777 или 707 ничего не получается. на самой папке шаблона - поставил 777 (чтоб иметь возможность записывать). как изменить права и перезаписать файлы php?  в чем проблема? спасибо

[strannik-yura]

права на папки может менять только владелец файла,
если вы шаблон ставили через админку, то владелец файлов апаче, вот через него и нужно менять
а проще, просто через админку переустановить шаблон.
другой вариант, есть специальный компонент explorer (или как-то так) специальный  проводник для Joomla, с его помощью можно изменять файлы через апачи.
я уже не однократно об этом писал

[Trok]

Ребят, почитал тему, интересные варианты, хочу знать, кто-то пробовал эти приемы для Joomla 1.0? Весь ли код и все ли скрипты (о которых тут идет речь) так же работают в 1.0 как в 1.5 и выше?

[beliyadm]

Ребят, почитал тему, интересные варианты, хочу знать, кто-то пробовал эти приемы для Joomla 1.0? Весь ли код и все ли скрипты (о которых тут идет речь) так же работают в 1.0 как в 1.5 и выше?

Кроме работы с префиксом таблиц из админки - будет работать, ибо общие вопросы

[Trok]

Кроме работы с префиксом таблиц из админки - будет работать, ибо общие вопросы

А чего вдруг такое примитивное действие не будет "понято" первой Joomla? Изза "jos_" в компонентах вместо "#_"?
В особенности имел ввиду возможность корректной работы предложенного кода для .хтаксесс:

Order Deny,Allow
Deny from all
Allow from 000.000.00.0 где нули IP админа

и

########## Начинаем запись правил чтобы заблокировать основные эксплойты
#
# Блокируем любой скрипт пытающийся получить значение mosConfig через URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [OR]
# Блокируем любой скрипт пытающийся отправить любое дерьмо чере base64_encode по URL
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR]
# Блокируем любой скрипт который содержит тег < script> в URL
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
# Блокируем любой скрипт, который пытается установить глобальную переменную PHP через URL
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
# Блокируем любой скрипт пытающийся изменить _REQUEST переменную через URL
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2}) [OR]
# Блокируем любой скрипт, который пытается установить CONFIG_EXT (баг в com_extcal2)
RewriteCond %{QUERY_STRING} CONFIG_EXT([|%20|%5B).*= [NC,OR]
# Блокируем любой скрипт, который пытается установить sbp or sb_authorname чере URL (баг simpleboard)
RewriteCond %{QUERY_STRING} sbp(=|%20|%3D) [OR]
RewriteCond %{QUERY_STRING} sb_authorname(=|%20|%3D)
# Отправляем все заблокированный запросы на главную с ошибкой 403 Forbidden!
RewriteRule ^(.*)$ index.php [F,L]
#
########## Заканчиваем запись правил чтобы заблокировать основные эксплойты

[beliyadm]

А чего вдруг такое примитивное действие не будет "понято" первой Joomla?

Может я уже и не помню, но раньше вроде в админке не было опции смены префикса, потому и обратил внимание

[Trok]

Cоветую всем, у кого на хостинге есть возможность запускать cron задания, сделать ежедневное (или ежечасное, ежеминутное ) задание с такой командой:

Код:

find -iname "*.php" -mtime -1

эта команда выполняет поиск всех измененных файлов php не старше суток. Там еще впишете email куда отсылать результат выполнения команды. Итого теперь я получаю каждые сутки в 00:00 часов письмо примерно с таким содержимым:

Код:

./public_html/cache/mod_virtuemart_latestprod/025d6f4947577a8f5276770c476d1d5b.php
./public_html/cache/mod_virtuemart_latestprod/3c870a11d496a950bebe7ac79a883ae8.php
./public_html/cache/mod_virtuemart_latestprod/3ddd23200d69eda344ce50cb745ef866.php
./public_html/cache/_system/d8d1628b87eb4bf2b9abfa76b459c8be.php
./public_html/cache/com_xmap_1/421481315423d67853e9e6c74e22b401.php
./public_html/cache/com_xmap_1/b3a669824fdbc5e5944beb01b57d08f4.php
./public_html/cache/mod_mainmenu/0f63249c215072c5f92d18d4c2026ddb.php
./public_html/cache/mod_mainmenu/47b45fec88fdddc0161e96b25a2d5abd.php
./public_html/cache/mod_mainmenu/edcbf9c64c28224bc57cad4e84c3b70d.php
./public_html/cache/plg_janalyticsvirtuemart/e1f6a55616368b7c057159fc29fa5b7d.php
./public_html/cache/com_content/dc7406e2cd3d44b9b2b78654bcd16585.php
./public_html/cache/com_content/307dadb6773bf7226a647d4422c71b94.php
./public_html/cache/com_content/ab431292b24bc3d08c4c137c7b1ca5c7.php
./public_html/cache/com_content/1c9f1fdec97decebf12241f62178bac4.php
./public_html/cache/com_content/c98afe5a69eb165138156350d4ca16f2.php
./public_html/cache/com_content/1d92b728ceb5b9f8532ade7057f91afb.php
./public_html/cache/com_content/079b6cc93073679a41aa8975d33074b2.php
./public_html/cache/com_content/1e673569b68464d8609f418822e9eb05.php
./public_html/cache/com_content/ff4f08b69d855c6735ec4cbce6bbdb44.php

в нем все видно, какие файлы менялись в последние 24 часа. По папке cache видно что все ок , в ней всегда чтото записывается. А если бы, к примеру, был какой либо путь другой, скажем содержащий components или administrator, то тут сразу ясно, что был совершен набег хацкеров . Команду можно настроить по своему усмотрению, следить за вообще всеми файлами, не только php. Use linux shell, Luke . Таким образом вы облегчаете жизнь сайту, не ставя отдельные компоненты для мониторинга файлов, отжирающие ресурс.

Пропробовал влепить этот код в крон на хостинге - ничего не происходит, хотя частота обновления 1 час (для проверки ставил). Кто знает, как корректно его инициировать?

[renault]

Хотел бы уточнить один вопросик - Поскольку 7 советов от 10.01.2010 (уже 2 года), то они еще актуальны для Joomla 1.5 или же есть апдейт по рекомендациям? Заранее благодарен!

[stepan39]

Пропробовал влепить этот код в крон на хостинге - ничего не происходит, хотя частота обновления 1 час (для проверки ставил). Кто знает, как корректно его инициировать?

Был на виртуальном хостинге (на разных) - через ISP на одном самостоятельно подключил, на другом - мозг сломал - ничего не получалось. Суппорт все сделал. Счас сижу на VDS - только через поддержку вопрос решил. Т.ч. мой совет - в саппорт!

[bobbiz]

Куда этот красивый код нужно вставить? 

ну например файл smena_prefixa.php в корне сайта, прописать свои логины пасы для мускуля, запустить раз http://yoursite.com/smena_prefixa.php, и можно удалить

[oriol]

поставь admintools

[ishi0]

Код:

RewriteCond %{QUERY_STRING} CONFIG_EXT([|%20|%5B).*= [NC,OR]

из-за этой строчки выдает 500ую ошибку при попытке зайти на любую страницу
ЗЫ. Не заметил, что в этом файле уже были по умолчанию такие строчки:

Показать текстовый блок

## Begin - Rewrite rules to block out some common exploits.
# If you experience problems on your site block out the operations listed below
# This attempts to block the most common type of exploit `attempts` to Joomla!
#
# Block out any script trying to base64_encode data within the URL.
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
# Block out any script that includes a <script> tag in URL.
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL.
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL.
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Return 403 Forbidden header and show the content of the root homepage
RewriteRule .* index.php [F]
#
## End - Rewrite rules to block out some common exploits.

объясните, в чем разница?

[io77]

На mysql5 префиксы менять бесполезно. Взломщик может узнать названия таблиц из INFORMATION_SCHEMA.

[oriol]

На mysql5 префиксы менять бесполезно. Взломщик может узнать названия таблиц из INFORMATION_SCHEMA.

Я не пробил не одним запросом 

Показать текстовый блок

1
2

Может подскажите?

[wishlight]

Что за тема? Эта? Она закреплена, а не заблокирована. Чтобы ее лучше видно было.

[rabamaster]

Ребята, помогите, данный код похож на приятную панацею

find -iname "*.php" -mtime -1

Его нужно дополнить. У кого-нибудь есть идеи, как написать скрипт:
1. ищет все файлы созданные за последние сутки
2. Перенаправляет результат поиска в конец файла (како-то лог)
3. Стоит ограничение на размер файла (на там 1 Mb)
4. Отправляет файл на мыло.

Нужно просо немного знать Linux, владеть командой find, уметь перенаправлять вывод.
Помогите создать сей скрипт. А его уже будет хронометр запускать по расписанию.

[oriol]

Держи
Немного отредактируешь и поставишь запуск на cron и получится чудо описанное тобою
А вообще тебе надо сам движок настроить что бы он не отвечал на запросы типа
site/index.php?file=[xixi]
site/index.htm?page= ../../../../../../etc/passwd
 

[rabamaster]

Как настроить движок?

и еще, если в .htaccess присутствует строка:
# Блокируем любой скрипт, который пытается установить CONFIG_EXT (баг в com_extcal2)
RewriteCond %{QUERY_STRING} CONFIG_EXT([|%20|%5B).*= [NC,OR]

Joomla и форум на phpBB3.10 - перестает работать, ошибка 500.

[yogikr]

Подскажите, есть ли различия в этих двойных строчках?:

# Блокируем любой скрипт пытающийся отправить любое дерьмо чере base64_encode по URL
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR]
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]

# Блокируем любой скрипт который содержит тег < script> в URL
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]

# Блокируем любой скрипт, который пытается установить глобальную переменную PHP через URL
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]

# Блокируем любой скрипт пытающийся изменить _REQUEST переменную через URL
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})

# Блокируем любой скрипт, который пытается установить sbp or sb_authorname чере URL (баг simpleboard)
RewriteCond %{QUERY_STRING} sbp(=|%20|%3D) [OR]
RewriteCond %{QUERY_STRING} sb_authorname(=|%20|%3D)

# Отправляем все заблокированный запросы на главную с ошибкой 403 Forbidden!
RewriteRule ^(.*)$ index.php [F,L]
RewriteRule .* index.php [F]