0 Пользователей и 1 Гость просматривают эту тему.
  • 32 Ответов
  • 16354 Просмотров
*

broker_alexandr

  • Осваиваюсь на форуме
  • 91
  • 12
После взлома своего сайта, я решил собрать в одном месте рекомендации по настройке безопасности сайта на Joomla. Возможно будет полезно. К примеру мне бы было полезно найти такой пост и сделать всё по пунктам. Я не имею большого опыта управления сайтом и надеюсь вы поможете дополнить и исправить всё написанное. Просто когда случается нериятность бежишь за помощью на форум, потому как больше и посоветоваться не с кем...

Спасибо, что есть такой форум и отзывчивые люди!

1.   Joomla всегда должна быть обновлена до последней версии.

2.   Сделать сложные пароли к сайту и к FTP.

3.   Не хранить пароли в браузере и в файловых менеджерах.

4.   Включить SEF-ссылки (ЧПУ).

5.   htaccess.txt заменить на .htaccess.

6.   Скрыть какой CMS пользуетесь ( от серьёзных знатоков скрыть не получится, а от случайных любителей делать гадости по инструкции возможно и получится):

а) удалить строку -  $strHtml .= $tab.'<meta name="generator" content="'.$document->getGenerator().'" />'.$lnEnd;  
    Она находится в файле «head.php»
    Путь к этому файлу-  /libraries/joomla/document/html/renderer/ head.php

б) Запретить просмотр позиций модулей на сайте, для этого нужно добавить в .htaccess строки

Спойлер
[свернуть]

в) Закрыть прямой доступ к админке, можно с помощью компонентов типа Admin Tools (Удобный компонент), но можно сделать это с помощью .htaccess.

Спойлер
[свернуть]

г) Удалить файл INSTALL.php,  configuration.php-dist, INSTALL.php, LICENSE.php,  LICENSES.php, CHANGELOG , CREDITS , COPYRIGHT в корне сайта. (в Joomla 1.7 их нет, есть только LICENSE.txt README.txt)

д) Изменить стандартную страницу ошибки 404 на свою.

Спойлер
[свернуть]

е) Заменить стандартную  иконку сайта favicon.ico на свою.

Спойлер
[свернуть]

7.   Сменить префикс  к таблицам в базе данных (это тоже можно сделать с помощью Admin Tools).

8.   Не использовать сомнительные компоненты, модули, плагины, всегда обновлять все компоненты до последней версии и не качать их с стрёмных сайтов. А всё скачанное проверять.

9.   Удалять с сайта всё лишнее: компоненты, плагины, модули и чистить базу данных после них.

10.   Правильно выставить права на файлы и папки сайта. Это не так просто, тут придётся разбираться, для каждого сервера нужны свои настройки.
      После успешной установки и настройки Joomla и ее расширений, нет никакой необходимости оставлять права на запись в директории сайта . После завершения настройки сайта, закройте для записи все папки, кроме cache и images .

11.   Убрать права на запись с  файла configuration.php Регулярно поверять наличие на сайте вирусов и кодов.

12.   Проверять наличие левых ссылок (к примеру с помощью программы Xenu).

13.   Регулярно делать копию вашего сайта и базы данных.

14.   Запретить исполнение php в папке images (картики на сайте), именно в эту папку мне залили шелл.

Спойлер
[свернуть]


15.   Проверить, чтоб не было возможности просмотра списков файлов в любой директории вашего сайта, т.е. листинг директорий. Если на сервере эта возможность отключена то это хорошо, а если нет, то отключите сами.
        
Спойлер
[свернуть]

16.   Читал, что злоумышленники получают пароль администратора через функцию восстановление пароля. Даже если авторизация и регистрация отключена. Как сказал SmokerMan - Это было в старых версиях, теперь этой проблемы нет, поэтому нужно обновлять Joomla вовремя! =)

Спойлер
[свернуть]


17. Установить защиту от SQL-инъекций -  jFireWall Lite (на полную версию пока денег нет). Правда, она только для Joomla 1.5. http://www.jfirewall.com/downloads/

18. Есть совет не использовать Windows, хотя думаю нужно следить за состоянием своей системы, проверять на вирусы, использовать антивирус и всё будет окей!

19. Также не забываем смотреть "официальный" список уязвимостей расширений Joomla на http://docs.joomla.org/Vulnerable_Extensions_List.

20. Плагин защиты сайта от ботов Marco's SQL Injection. (от инъекции SQL и LFI)

Спойлер
[свернуть]
« Последнее редактирование: 29.12.2011, 11:57:41 от broker_alexandr »
*

SmokerMan

  • Профи
  • 5333
  • 689
почитайте прикрепленные темы в разделе, там это все уже написано.
Цитировать
4.   Включить SEF-ссылки (ЧПУ).

5.   htaccess.txt заменить на .htaccess.
на безопасность никак не влияет.
Цитировать
6.   Скрыть какой CMS пользуетесь :
хрень полная. Никак вы не скроете чем пользуетесь!
Единственно что это может помочь от ботов и то сомнительно.
Цитировать
14.   Запретить исполнение php в папке images (картики на сайте), именно в эту папку мне залили шелл.
если дыра есть, то шел можно залить в любую директорию.
Цитировать
16.   Читал, что злоумышленники получают пароль администратора через функцию восстановление пароля. Даже если авторизация и регистрация отключена.
Была уязвимость в какой-то старой версии 1.5, уже давно пофиксили.
*

Pazys

  • Практически профи
  • 1846
  • 237
  • <a>А где я ошибся-то?</b>
Cкрывать CMS бесполезно. Взгляните на robots.txt - сразу понятно что Joomla. И это далеко не единственный метод узнать CMS.

Вот самый косяк с расширениями. Вот была какая-то хрень с Datso галлери. Мы, допустим, знаем способ, как взломать сайт с помощью этой Датсы ... и вводим в Google такую строчку: index.php?option=com_datsogallery .... и ломаем переломаем - там немеренно сайтов.

Или вы считаете что злоумышленники будут тратить время на то, чтобы найти уязвимость именно в вашем сайте? - Нет. Они берут "готовеньких". Пишут скрипты, нажимают кнопку "Пуск" и всё. Потратив день на полную автоматизацию взлома сайтов через известную дыру, они могут заразить тыщи сайтов за час. И не надо брать отдельный сайт, узнавать CMS, искать дыры, ломать и т.д. Это слишком много времени занимает.

Например самый простейший способ поломать множество сайтов - залить красивые варезные шаблоны для Joomla на сайт, предварительно  залив туда шелл, подождать немного и вскоре можно будет стать хозяином всех этих сайтов. Вон посмотрите на шаблоны с joomfans скачанные - там везде ссылка на них стоит, display:none ... и вы считаете что это всё? Я думаю что вряд-ли. Скорее всего там по углам много еще чего распихано, что в нужный момент заработает, как надо хозяину.
Ишак меня нюхал ...
Если помог - плюсуйте в карму.
*

Efanych

  • Группа развития
  • 4317
  • 605
- Доктор, как 100% уберечься от венерических болезней?
- Ну, нужно надеть презерватив, смазать силиконом, надеть второй, смазать подсолнечным маслом, надеть третий, обматать всё это элластичным бинтом и главное - НИКАКОГО СЕКСА! :)
По теме - говорилось 100 раз: вовремя обновляйте всё что можна, не используйте вареза и не храните пароли в ftp-менеджерах.
Создание сайтов, шаблонов, помощь в решении проблем.
*

broker_alexandr

  • Осваиваюсь на форуме
  • 91
  • 12
т.е. ваше мнение, что ничего делать не нужно и всё выше написанное не имеет никакого смысла? Ну думаю тогда можно удалить эту тему, чтоб никого не раздражать...

 Скрыть какой CMS пользуетесь от людей знающих не получится согласен, а вот от всяких любителей, которые делают всё по инструкции, возможно всё же получится. Ведь есть такая категория людей, которые пытаются делать гадости от нечего делать не имея самых элементарных знаний.

Включение SEF-ссылки (ЧПУ) скрывает реальные адреса, разве нет? Ну и вообще полезная фишка!

robots.txt - это да, с ним наверное ничего не поделаешь!

Я писал больше для себя, а потом решил поделиться, я понимаю, нельзя защититься на 100% и многое написанное уже всем известно, просто хотел собрать всё в одном месте.

За критику спасибо, она справедливая, вот только советов от вас практических не было, а жаль! Т.е. от людей с опытом хотелось услышать рекомендации которые не вошли в список вверху.

То, что никак не влияет на безопасность, можно удалить из списка, а то, что реально необходимо сделать добавить!

« Последнее редактирование: 20.12.2011, 22:46:39 от broker_alexandr »
*

Pazys

  • Практически профи
  • 1846
  • 237
  • <a>А где я ошибся-то?</b>
Рекомендации простые:
- Обновляться (и CMS и компоненты-модули-плагины)
- Не использовать варез
- Использовать нормальные пароли - хранить в голове
Ишак меня нюхал ...
Если помог - плюсуйте в карму.
*

wishlight

  • Профи
  • 3632
  • 222
  • skype aqaus.com
Чтобы сайт не взломали - не заводите сайт.

От ботов все же поможет Marco's SQL Injection

Цитировать
Protect also from unKnown 3rd Party extensions vulnerability.
*

broker_alexandr

  • Осваиваюсь на форуме
  • 91
  • 12
Чтобы сайт не взломали - не заводите сайт.

Ну это вообще писать не за чем...
*

voland

  • Профи
  • 9496
  • 422
  • Эта строка съедает место на вашем мониторе
18. Не использовать винду, даже лицензионную
*

wishlight

  • Профи
  • 3632
  • 222
  • skype aqaus.com
18. Не использовать винду, даже лицензионную

 3rd Party extensions vulnerability

часто и винда ни причем

Есть тут в сообществе один разработчик. Меня из-за него 3 раза ломали. Фридом... Кто же оставляет в форуме по умолчанию загрузку PHP файлов к которым можно получить прямой доступ после загрузки. За всеми надо смотреть.
*

марлен

  • Осваиваюсь на форуме
  • 32
  • 1
Хороший список! пусть он только пополняется! я любитель! и таких как я - большинство! вносите и дополняйте его - аминь!
по делу критикуйте! а зачем да почему - это на форуме "БОЛОБОЛОВ"
« Последнее редактирование: 26.12.2011, 03:06:10 от марлен »
*

beliyadm

  • Профи
  • 8368
  • 1527
  • Севастополь == Россия
CHANGELOG , CREDITS , COPYRIGHT а их почему невписали? тоже в корзину!
в 1.7 их нет, есть только LICENSE.txt README.txt
Все истины, которые я хочу вам изложить, — бесстыдная ложь.
Записки нетрезвого кодера || -=Joomla FAQ=- || -=все плохо=- || skype: beliyadm_pb
*

broker_alexandr

  • Осваиваюсь на форуме
  • 91
  • 12
CHANGELOG , CREDITS , COPYRIGHT а их почему невписали? тоже в корзину!

Подправил!
*

broker_alexandr

  • Осваиваюсь на форуме
  • 91
  • 12
в 1.7 их нет, есть только LICENSE.txt README.txt

В основном писал опираясь на 1.5, учел и подправил.
*

dim66

  • Осваиваюсь на форуме
  • 49
  • 4
Молодец и спасибо! Поправил у себя на сайте 404 страницу)))
*

Pazys

  • Практически профи
  • 1846
  • 237
  • <a>А где я ошибся-то?</b>
Молодец и спасибо! Поправил у себя на сайте 404 страницу)))
Это обязательно с точки зрения юзабилити сайта. Если оставлять стандартную страницу, то обычный пользователь может подумать, что сайт нерабочий. А если вы сделаете ее в стиле вашего сайта и напишите понятно - что это не ошибка сайта, а пользователь что- то неправильно ввел, то это удержит его на вашем сайте. Вообще 404 должна быть только в 1 единственном случае- если пользователь вручную вбил неверный адрес.
Ишак меня нюхал ...
Если помог - плюсуйте в карму.
*

Holodov

  • Новичок
  • 5
  • 0
А почему нельзя хранить пароли в браузере и в файловых менеджерах?
*

beliyadm

  • Профи
  • 8368
  • 1527
  • Севастополь == Россия
А почему нельзя хранить пароли в браузере и в файловых менеджерах?
Потому что 99% взломов сайтов - из за трояна в системе, что читает эту сохраненную информацию
Все истины, которые я хочу вам изложить, — бесстыдная ложь.
Записки нетрезвого кодера || -=Joomla FAQ=- || -=все плохо=- || skype: beliyadm_pb
*

Pazys

  • Практически профи
  • 1846
  • 237
  • <a>А где я ошибся-то?</b>
Придумайте сложный-простой пароль и храните в голове. Пример:
Мой Сайт - Я Родился 15 Января 1990
Ms-YaR15j90

Для подбора сложный, для запоминания легкий.
Ишак меня нюхал ...
Если помог - плюсуйте в карму.
*

N2uM

  • Завсегдатай
  • 470
  • 20
Цитировать
Например самый простейший способ поломать множество сайтов - залить красивые варезные шаблоны для Joomla на сайт, предварительно  залив туда шелл, подождать немного и вскоре можно будет стать хозяином всех этих сайтов. Вон посмотрите на шаблоны с joomfans скачанные - там везде ссылка на них стоит, display:none ... и вы считаете что это всё? Я думаю что вряд-ли. Скорее всего там по углам много еще чего распихано, что в нужный момент заработает, как надо хозяину.

Шаблон варезный, но не с того сайта... нашёл это свойство в шаблоне, в самом конце


#usebottom1 .je-box-ct a {
   color: #FFFFCC;
   margin: 0;
   padding: 0;
}

div.rokminievents-desc p {display:none;}

/* мойсайт.ру */
ul.rokminievents {margin: 0;}
ul.rokminievents li.rokminievents-item {margin: 0;}

Можно проверить?, а то как то поднапрягло это. Скачал варезный теперь жалею, может кто шаблон проверить на наличее косяков? Может производителю шаблона заранее заплатить или в коде где ему написать, что если что заплачу за шаблон 
Лучшее спасибо это "+" в карму
*

Pazys

  • Практически профи
  • 1846
  • 237
  • <a>А где я ошибся-то?</b>
Там скорее всего используется для какого-нибудь слайдера или подобной штуки, где что-то исчезает, а что-то проверяется.

Вы ищите ссылки в исходном коде.
Ишак меня нюхал ...
Если помог - плюсуйте в карму.
*

N2uM

  • Завсегдатай
  • 470
  • 20
Цитировать
Вы ищите ссылки в исходном коде.

Чувствую идиотский вопрос, а что за исходный код?
Лучшее спасибо это "+" в карму
*

N2uM

  • Завсегдатай
  • 470
  • 20
Я конечно сначало спрашивал больше про то что

Цитировать
Скорее всего там по углам много еще чего распихано, что в нужный момент заработает, как надо хозяину.
Лучшее спасибо это "+" в карму
*

Pazys

  • Практически профи
  • 1846
  • 237
  • <a>А где я ошибся-то?</b>
Чувствую идиотский вопрос, а что за исходный код?
CTRL + U вроде на винде ...

Я конечно сначало спрашивал больше про то что

Ну тут не факт ... шансы есть но не очень большие
Ишак меня нюхал ...
Если помог - плюсуйте в карму.
*

darkghost

  • Практически профи
  • 2100
  • 95
почитал рекомендации, решил попробовать
--- б) Запретить просмотр позиций модулей на сайте, для этого нужно добавить в .htaccess строки
скопировал строки в файл - по запросу все равно открывает. Пробовал комментировать строки в файле --- /libraries/joomla/application/module/helper.php - так ругается админка - ошибка в строке и тд
--- в) Закрыть прямой доступ к админке, можно с помощью компонентов типа Admin Tools (Удобный компонент), но можно сделать это с помощью .htaccess.
сделал с помощью htaccess. Сгенерировал код и пароль. Поместил эти строки в файлы. Оба файла положил в паку - administrator - как и говорится. Проверяю - а в ответ, введите пароль и все! Смотрю в ЛОГ-файл, а там строка -
Спойлер
[свернуть]
что я сделал не так?
 
*

draff

  • Практически профи
  • 2770
  • 171
  • step by step
Цитировать
No such file or directory: Could not open password file: .../administrator/.htpasswd
Пропиши путь от корня серверва/хостинга
*

darkghost

  • Практически профи
  • 2100
  • 95
Пропиши путь от корня серверва/хостинга
--- пробовал home/....../administrator/.htpasswd а так же изменял права (755-htpasswd) - результат тот же и та же строка

--- б) Запретить просмотр позиций модулей на сайте ---- может кто выложит рабочий файл .htaccess, или ткнет - куда?
где-то и встречал, но не могу найти
« Последнее редактирование: 17.09.2013, 15:30:48 от darkghost »
*

Pazys

  • Практически профи
  • 1846
  • 237
  • <a>А где я ошибся-то?</b>
В Joomla выше 1.5 это есть в настройках - Менеджер шаблонов -> Настройка
Ишак меня нюхал ...
Если помог - плюсуйте в карму.
*

draff

  • Практически профи
  • 2770
  • 171
  • step by step
--- пробовал home/....../administrator/.htpasswd а так же изменял права (755-htpasswd) - результат тот же и та же строка
auth_basic_user_file DocumentRoot/administrator/.htpasswd
Где DocumentRoot/ бери из конфига твоего хостинга
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Как исправить уязвимость в Joomla 1.5.26 - libraries/phpmailer/phpmailer.php - RCE : CVE-2016-10045,?

Автор Elimelech

Ответов: 4
Просмотров: 488
Последний ответ 03.09.2017, 16:24:17
от Sorbon
Время жизни сессии Маркера безопасности Form_Token

Автор AlexeyGal

Ответов: 2
Просмотров: 101
Последний ответ 21.08.2017, 01:28:49
от AlexeyGal
Компоненты и скрипты для защиты сайта. Логи атак на сайты

Автор wishlight

Ответов: 589
Просмотров: 191950
Последний ответ 06.08.2017, 12:41:32
от winstrool
В корне сайта появляется файл с именем ".bt" (без ковычек)

Автор maestra

Ответов: 24
Просмотров: 2208
Последний ответ 26.07.2017, 12:09:01
от winstrool
Вынос configuration.php за пределы корня сайта

Автор Sulpher

Ответов: 10
Просмотров: 11127
Последний ответ 18.06.2017, 22:24:19
от winstrool