Комплексная защита сайта от взлома - Безопасность сайтов на Joomla

Здравствуйте.
Вот выложил сайт в инет и задумался о защите от взлома.
Что я сделал:
1. ну во-первых версия Джумлы 1.0.10 - это уже хорошо ;
2. не ставил кучу компонентов, так как ни к чему...только новый компонент опроса;
3. права доступа на файл configuration.php поставил только на "чтение";
4. в папку administrator поместил файл .htaccess следующего содержания:
order deny,allow
deny from all
allow from мой IP

Что ещё для успокоения души можете посоветовать?

регистр глобалс выключить

Не знаю, можно ли мне самому отключить.

это в конфигураторе php, сам не можешь, если хостинг знакомый можно попросить

ps. добавить в htaccess запрос пароля с шифрованием, что бы формочка выскакивала

почитать joomlaforum и убрать или обновить все компоненты которые уже известно что с дырами

дополнительно, только что обнаружил на сайте фила тейлора, бывшего разработчика мамбы а сейчас он клепает свои компоненты для джумла, платные но качественные

итак Фил, если не можешь добраться до хостера как я написал выше, советует проделать следующее:

--
Another way (May work depending on the configuration of the server)
create, or edit any existing .htaccess file in the root of your webspace (in the same folder as Joomla’s configuration.php)
Add the following line to the .htaccess and save, the change is instant:

php_flag register_globals off

- Securing Joomla Further
Edit the file /globals.php and change

define( ‘RG_EMULATION’, 1 );

to

define( ‘RG_EMULATION’, 0 );

These steps will secure you a bit more and are HIGHLY recommended!
--

Так вроде бы register_globals никак не влияет на безопастность в Джумле 1.0.10. Или нет?

статьи по безопастности на портале почитай....

Влияет мне говоили ты напиши хостерам письмо они тееб вфкл её

Так вроде бы register_globals никак не влияет на безопастность в Джумле 1.0.10. Или нет?

Так вроде бы register_globals никак не влияет на безопастность в Джумле 1.0.10. Или нет?

для самой Joomla это не критично, а вот как показало время, для многих ее расширений это больной мозоль

наткнулся на ещё одну статью которая рассказывает как обезопасить джумлу с помощью .htaccess

-----------------------------------------------------------------
# Use Options
Options +FollowSymLinks
 
#  mod_rewrite in use
RewriteEngine On
 
#  Base location
RewriteBase /
 
#  Begin Rules for rewrite
RewriteCond %{REQUEST_URI} ^(/component/option,com) [NC,OR]   ##optional - see notes##
RewriteCond %{REQUEST_FILENAME} !\.(jpg|jpeg|gif|png|css|js|pl|txt)$
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^(.*) index.php
# End Rules for rewrite
 
# Add .htc files
AddType text/x-component .htc
 
########## Begin - Rewrite rules to block out some common exploits
#                             
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
# Block out any script that includes a <script> tag in URL
RewriteCond %{QUERY_STRING} (\< |%3C).*script.*(\>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## End - Rewrite rules to block out some common exploits
 
# Begin - Deny zon-h and cyber-warrior
deny from  .zone-h.org
deny from  .zone-h.com
deny from  213.219.122
deny from  .cyber-warrior.org
deny from  .cyber-security.org
deny from   80.237.211.8
# End - Deny zon-h and cyber-warrior
</script>
-----------------------------------------------------------------

тег </script> в конце - не ошибка ли?

Что означает - AddType text/x-component .htc?
Что это за .htc files?

HTC is a three letter abbreviation for the following: *HTML Component — a technology supported by Microsoft's Internet Explorer that allows the creation and use of components as DHTML behaviors. Internet Explorer supports HTC from version 5.0 onwards.
http://msdn.microsoft.com/workshop/components/htc/reference/htcref.asp

кароче, полная лажа с дыркой.

Что означает - AddType text/x-component .htc?

воспринимать .htc файлы сугубо как текстовые и никогда не выполнять.

теперь понятнее ...

А мне хостер сказаал, что можно выключить register globals? если положить php.inin в корень сайта.
Не знаю даже. Положил, написал внутри register_globals = Off
Не помогает. Может есть иной путь?

Положил, написал внутри register_globals = Off
Не помогает.

конечно не поможет, бо неправильный синтаксис... почитай этот топик сначала, в нем был пример, как правильно отключить register_globals