У меня вопрос по защите, безопасности сайта - Joomla 2.5: Общие вопросы

Доброго времени суток.

Подскажите как можно обезопасить сайт сделанный на Joomla 2.5

Защита админ панели и тп

Подскажите не хочу чтобы были проблемы с уязвимостью сайта.

Заранее благодарен

Посовещавшись с саппортом ECC+, пришел к выводу, что вполне подойдет и вышеназванное. К тому же будет весьма полезна, если Вы планируете использовать, например, форму обратной связи на своем сайте.
Ссылка: ECC+ by Viktor Vogel ака Kubik-Rubik

jhack установил, а для скрытия админ панели что подскажите?

В обязательном порядке устонавливать на все файлы и папки Joomla права доступа 444 (кроме images и tmp)

В обязательном порядке устонавливать на все файлы и папки Joomla права доступа 444 (кроме images и tmp)

И забыть, а через недельку вынести мозг форуму почему не устанавливаются расширения и не сохраняются настройки 

и все таки для защиты входа в админ панель, подскажите что нибудь, компонентов много а какой лучше установить не знаю

И забыть, а через недельку вынести мозг форуму почему не устанавливаются расширения и не сохраняются настройки 

хах...проблема каждого наверно

и все таки для защиты входа в админ панель, подскажите что нибудь, компонентов много а какой лучше установить не знаю

Добавь в папку ./administrator   .htaccess  следующего содержания
Естественно  101.102.103.104  заменить на свой IP

а если планирую заходить с разных динамических IP, есть другие варианты?

Могу порекомендовать jSecure Authentication

Данное расширение блокирует доступ к админ панели сайта, если пользователь не знает соответствующий ключ доступа. Имеет понятный интерфейс. Есть под все версии Joomla. Использую, как часть комплекса безопасности.

Фичи:
    Возможность уведомления админа сайта по электронной почте каждый раз, когда кто-то пытался получить доступ к админ панели сайта.
    Блокировка потенциально опасных IP-адресов, с которых могут пытаться зайти в админку сайта.
    Мастер-пароль для доступа к настройкам компонента jSecure в административной части сайта.
    Управление белыми и черными списками IP-адресов.
    Журнал всех событий, которые происходят в админ панели.
   
Доку читать обязательно, только цифровые пароли не использовать.

 в папку administrator положить .htaccess с содержанием:
<Limit GET>
Order Deny, Allow
Deny from all
</Limit>

Мое ИМХО - Joomla и так достаточна защищена, правильные права на ключевые файлы, настроенный .htaccess, своевременные обновления движка и сторонних расширений + минимум левых расширений и отсутствие вареза - вот лучшая защита. (ну и не забываем про прямые руки и кривые извилины )

Согласен Marques у всех этих плясок с бубном кучи минусов которые в результате выливаются на этот же форум. То потом самому в админку не зайти, то сайт валится. Хороший длинный пароль в админку + все что написал Marques. Кстати хорошие пароли получаются из телефонных номеров + ник. И длинные и помнятся.

Короче, народ, Joomla 2.5 позволяет перенести свои библиотеки туда куда вам вздумается без потери своей работоспособности.
Это так задумано разработчиками. Хех, задумано....

Значит так, каталоги типа
/administrator
/libraries
/plugins
/templates
/cache
в принципе могут быть перенесены в любое другое место в пределах корня сайта.
Но в любой "бочке меда есть своя ложка дегтя", так и здесь.

При переносе каталога templates в шаблонах сайта нужно изменить templates на новый путь. Толку от переноса нет для защиты сайта. Работоспособность шаблонов зависит от качества их написания. Всякие фреймворковые в связи с изначальной своей эба.. (т.е. из-за угла пыльным мешком двинутые) могут конкретно выеживаться.
Перенос каталога plugins вроде не дал отрицательных эффектов на фронте сайта, в админке тоже вроде, кроме разве что не грузились редакторы, хех.
Переносить libraries не пробовал.

Самое интересное это перенос administrator. Фронт сайта корректно работает при переносе или переименовании этого каталога.
А вот админка начинает мозги мутить.
Точнее в основном это проблема с определением относительных путей для файлов стилей и скриптов. И здесь отличилась JUri::root(true). Я не стал вникать особо, но смысл в том, что данный механизм не совсем качественно функционирует.
Т.е. если переименовать каталог administrator в figvam, то мутулз и др библы, а так же часть стилей упорно начинают грузиться из /figvam/media/.... А все мы знаем, что данного каталога в админке нет. Если добавить каталог media со всем содержимым в каталог figvam То админка работает, авторизуется и прочее.

Поправка, админка написана частично криво. В принципе она должна корректно работать, что она и делает, пока не соберетесь создать материал или еще что-нить. Короче, в коде где-то идет привязка к каталогу administrator.

Эхх, простыми телодвижениями изменить жизнь к лучшему не удалось.

Да, не надо писать мне, что я забыл упомянуть волшебный файлик с именем defines.php
Я его и менял, в том числе и его расположение, что позволяет джумла. И в принципе на основе этого файла возможна мультисайтовость. Но движок все же сырой.

Я где-то видел плагин который корректно переносит папку administrator в любую удобную, но вот зачем ? Все равно это вычисляется за пол минуты. Перенос же других папок тоже по сути бесполезен, ибо все равно - если ломанут, то все папки и так вычислят.

Народ не всегда даже вывод ошибок на сайте отключает... так что все эти усилия - пшик при отсутствии знаний, а если знания есть, то и перенос папок не нужен.

Ну, если двиг позволяет, то почему бы не затруднить хакерам дело.
Да, если есть ссылки ведущие в админ часть, то это бред, а в остальном..
И за полминуты вычислить.. я как-то сомневаюсь.

По моему что касается Joomla (за другие движки не отвечаю но думаю там ситуация аналогичная). Никто в здравом уме не будет так напрямую ломать сайты. Особенно если это не сайт ДАМ или ВВП. Все случаи взлома или порчи сайта с которыми я сталкивался (благо не на своих сайтах) являлись следствием исключительно установленных неизвестно откуда компонентов, плагинов и тд. Это более продуктивный способ сломать сайт особенно на популярных движках где релизы безопасности выходят очень быстро. Единственное что можно добиться такими переносами это невозможность нормально обновить движок в результате чего эта самая безопасность упадет ниже плинтуса. Уж лучше потратить время на настраивание прав пользователей.

эммм, не понял, а причем тут невозможность обновления?
Если человек сам меняет расположение каталогов, отнюдь не отдельных файлов, то ему совсем не сложно самостоятельно залить обновления.

А если у человека не один такой сайт а несколько? А если обновления будут выходить часто? А если эти самые каталоги или файлы будут кардинально изменяться?
Для начала нужно выяснить нужен ли твой сайт хакерам или нет. Уверен в 90% случаев ответ будет очевиден.

Спорить можно до бесконечности. Но 100% могу сказать, что даже не нужный сайт рано или поздно подвергается проверкам на дыры хакерами.

И если говорить о кардинальном изменении каталогов, то это уже будет следующая ветка Joomla. И абсолютно не 2.5.
Про расположение файлов я не говорю.

Просто, если судить по ядру движка, то его функционал позволяет размещать свой функционал в разных каталогах и в принципе вынести часть каталогов вне корня сайта. Но к сожалению, при гибкости ядра, внешняя оболочка оказалась жесткой.

Мляяяя
.htaccess с ограничением по IP в папку /administrator
+
.ftaccess с ограничением по IP в корень сайта
+
скрипт отслеживающий  изменения (запрятанный глубоко в каталогах)

Вот и все! Даже имея пароли на руках вы ничего сделать не сможете

Единственное остается заливка шела через уязвимость (если такая найдется), но здесь на помощь придет скрипт
Они затрут вам логи вернут дату изменения файлов, но скрипт пишет свои логи а искать его некто не будет  


P.S .htaccess с ограничением по IP можно закинуть практически вовсе каталоги, тогда и уязвимость не остается где искать

Согласен с теми, кто против множества security-расширений. ECC+, предложенное мной во втором посте, например, занимается в основном решением, на мой взгляд, более реальной проблемы - проблемы спама и защиты любых форм связи на сайте вообще. Причем способов защиты много и разных. Ну и опция защиты от SQL-инъекций как приятное дополнение, идентичное использованию такого плагина как Marco's SQL Injection.
А так грамотная настройка самого движка, как я убедился, позволяет помимо лучшего понимания вопроса добиться существенного повышения защищенности без потери быстродействия и стабильности.

Просто наставить расширений, выставив в них пару галочек, или рыть носом факи и ридми суть вещи немного разные.

Но 100% могу сказать, что даже не нужный сайт рано или поздно подвергается проверкам на дыры хакерами.

Надеюсь не 100% хакерами?