Какое расширение выбрать для защиты сайта на Joomla? - Безопасность сайтов на Joomla

Расширений много, и выбрать хороший очень сложно. Подскажите, кто чем пользуется, и что лучше?
Кандидаты на установку Akeeba Admin Tools Pro и RSFirewall! но возможно кто-то что-то лучше подскажет.

Надёжный пароль WAvKg_cZAD9-oXY
Или слишком просто?

Надёжный пароль WAvKg_cZAD9-oXY
Или слишком просто?

Спасибо, но я не про способы защиты спрашивал, а про компоненты. Пароль у меня не то что произнести невозможно, я и написать-то его с трудом могу. Я больше волнуюсь за SQL атаки - узнал как просто это сделать, весь софт в нете лежит для этого, и вовсе не обязательно обладать какими-то особыми знаниями.
Но спасибо за совет, это тоже важный момент конечно.

Незнаю, может я везунчик, но за 3,5 года ниодного взлома. Вычистил два сайта у друзей, у одного пароль смешной был, другой за обновлениями не следил. Вот когда сломают меня, возможно решу, что хорошего пароля и своевременных обновлений мало. Вас что к доп. мерам сподвигло?

Вас что к доп. мерам сподвигло?

То что я начитавшись плохих форумов украл базу логинов, email'ов и паролей с нескольких сайтов (честно говоря не знаю, Joomla или нет). Мои знания о программировании ограничиваются HTML со справочником. То есть я ни разу не хакер. Вот думаю, если я смог, то что говорить о проффи? Сразу оговорюсь, что делал все из любопытства и корыстных целей не преследовал. Ничего не никому не поломал и т.д. Наверное зря полез, вот паранойя проявляется ))

Вам удалось хакнуть последнюю версию Joomla с надёжным паролём и вы скромничаете? Наоборот, расскажите, что за уязвимость такая в ней имеется, что любой кто пожелает - сломает на раз. Думаю всем тут интересно.

Вам удалось хакнуть последнюю версию Joomla с надёжным паролём и вы скромничаете? Наоборот, расскажите, что за уязвимость такая в ней имеется, что любой кто пожелает - сломает на раз. Думаю всем тут интересно.

Я вообще не думаю, что на тех сайтах Joomla стоит. Скорее всего нет. В Joomla, насколько помню, пароли кодируются при записи в бд. И раскодировать их очень сложно, если вообще возможно. Я же как-то достал пароли, значит не Joomla. Просто сама ситуация задуматься заставила.
А способ.. Что говорить-то, весь софт в открытом доступе в нете. По запросу SQL инъекция можно найти чуть-ли не FAQ для чайников. На ютубе ролики есть.
Но как-то мы от темы отошли )

wfedin, по вашему защита, кроме пароля, не нужна, верно?

Я не могу с уверенносью такое сказать, но мой скромный опыт в 3.5 года показал, что серьёзного пароля + своевременное обновление и использование только необходимого минимума проверенных, сторонних расширений решает проблему с безопасностью. Ну и хостинг надёжный, и права соответственно надлежащие на нём. Никаких там 777.
Про бэкапы ещё забыл, делаем их и храним хотя-бы пол года. Бережёного Бог...

Установите плагин jHackGuard, он помогает от многих инъекций...

Ну минимум VPS как хостинг.

на мой взгляд:
Akeeba Admin Tools Pro (компонент) - лучший по удобству использования (хотя нет предела совершенству), особенно в связке с Akeeba Backup Pro который может хранить бекапы в облаке

OSE Anti-Hacker (компонент) - очень параноидальная и несговорчивая штука. У меня не получилось ее гибко настроить под свои нужды, особенно "вторую линию обороны". Возможно знаний не хватило.

jHackGuard (плагин) - действительно помогает от инъекций, но в бесплатной версии нет белого списка IP и обычно он причина, если какой-то из сторонних компонентов отказывается нормально работать, нормально это настроить в бесплатной версии не получается. У меня блокировал запрос от платежного шлюза для подтверждения платежа пока я не вспомнил об этой его особенности. В принципе с ним жить можно, если знать об этом.
Пишет лог блокированных атак в /logs/

Securitycheck (компонент) - тоже вроде неплохой вариант со своим собственным журналом в админке

RSFirewal (компонент) - несколько раз не реагировал никак на явные попытки взлома (по логам смотрел).
Ради интереса поставил по приоритету после него Securitycheck,  а следом jHackGuard - в результате Securitycheck пресек несколько XSS-атак, jHackGuard среагировал только на какую-то инъекцию раз за 3 месяца (не доходило до него, наверное), а RSFirewall  за это время ни разу не забеспокоился. Может оно и хорошо, но как-то сомнительно

имхо ручки и мозг вот лучшие ваши компоненты для защиты сайта от взлома :-)
По сути что делают компоненты современные, XSS фильтрует, так в Joomla встроена защита от этого дела.
Админку закрывают так вы это можете руками сделать быстрее чем поставить компонент и настраивать его.
ЧСВ поднять разве что только :-)

Ага. Можно к примеру сделать так:
после
RewriteEngine On
в .htaccess добавить  вот эти строки и уже станет чуть легче  :

В Joomla, насколько помню, пароли кодируются при записи в бд. И раскодировать их очень сложно, если вообще возможно.

Если удается вытащит хеш пароля из БД, то вскрыть его достаточно просто, т.к. у Joomla это хеш:соль. Алгоритм md5($pass.$salt). В нете огромное количество программ и онлайн сервисов для этого. А вытаскивают пароли из БД обычно через SQL инъекции сторонних расширений, т.к. в основном они по большей части бывают уязвимы, нежели сам движок Joomla. Хотя и движок бывает уязвим, если версии сырые.
Чтобы такого не происходило обязательно нужно ставить защиту от SQL инъекций и перебора пароля методом Brute Force. Я уже давно юзаю плагины jHackGuard и Brute Force Stop, даже перевел их на родной язык. Кому надо могут скачать тут.

В нете огромное количество программ и онлайн сервисов для этого.

Это да, но даже мало-мальски серьёзный пароль им не по зубам. Буду признателен за пруф на сервис который может расшифровать серьёзный пароль...

Чтобы такого не происходило обязательно нужно ставить защиту от SQL инъекций и перебора пароля методом Brute Force.

Вовсе нет. Прекрасно живу без них.

В принципе можно каптчу поставить, она и админку спрячет и... EasyCalcCheck PLUS

Это да, но даже мало-мальски серьёзный пароль им не по зубам. Буду признателен за пруф на сервис который может расшифровать серьёзный пароль...Вовсе нет. Прекрасно живу без них.

В принципе можно каптчу поставить, она и админку спрячет и... EasyCalcCheck PLUS

CAPTCHA тоже хорошо, спасает от ботов брутфорсеров, но есть и другие боты, которые долбят по другим уязвимостям, типа SQL инъекции, XSS и т.д., тут CAPTCHA уже не поможет. Также существуют программы которые обходят каптчу путем распознавания символов.
EasyCalcCheck PLUS хорош тем, что у него помимо CAPTCHA есть еще и это: Also included: SQL Injection and Local file Inclusion protection, а также скрытие админки. Такой универсальный плагин.

Нифига эти сервисы не могут мой пароль осилить, а значит бесполезны. Так, на лоха расщитаны с паролём 777777. EasyCalcCheck PLUS защищает и от SQL инъекции, правда не скажу насколько хорошо.

у меня лицухи Akeeba Admin Tools Pro и jomdefender

Akeeba Admin Tools Pro создает сам по себе нагрузку на хостинг?

В целях безопасности лучше не ставить расширения в Joomla!, т.к в основном дырявыми оказываются они

неправда, не слушайте эти советы - jhackguard + Akeeba Admin Tools Pro

В целях безопасности лучше не ставить расширения в Joomla!, т.к в основном дырявыми оказываются они

имелись в виду расширения направленные на улучшение безопасности? например есть (лицензионные я имею в виду)?

Безусловно - расширения по безопасности сайта это не панацея и компонент между ушами надо тоже задействовать, но некоторые из этих расширений облегчают эту задачу.

Всё это холивар! Факты где? Как часто вас ломали до установки специализированных расширений и какие уязвимости использовали? Следовали ли вы рекомендациям? Пользовались ли варезом? Остальное - трёп не имеющий под собой никаких оснований.

Всё это холивар! Факты где? Как часто вас ломали до установки специализированных расширений и какие уязвимости использовали? Следовали ли вы рекомендациям? Пользовались ли варезом? Остальное - трёп не имеющий под собой никаких оснований.

Навеяло:
Незапланированная беременность или зараза? Все это холивар!
Как часто это у вас случалось после секса без противозачаточных средств?
Вы следовали при этом рекомендациям по выбору позы и технике прерванного акта? >>
Был ли у вас такой же секс с проституткой? >>
Остальное - трёп не имеющий под собой никаких оснований.
:-)

an0ther, попутал член с поручнем трамвая?

an0ther, попутал член с поручнем трамвая?

Вы, видимо недопоняли или невнимательно прочли предыдущие сообщения... ну да Бог с Вами и трамваем :-)
И, кстати, рекомендаций которые бы со 100% уверенностью помогли бы отразить любую атаку на joomla-сайт на этом форуме нет, не было и не будет. ;-) Хоть со специализированными расширениями, хоть без них.

ну да Бог с Вами и трамваем :-)

Спасибо, вас тоже пусть он не покидает никогда и извини. Правда грубо у меня получилось.

И, кстати, рекомендаций которые бы со 100% уверенностью помогли бы отразить любую атаку на joomla-сайт на этом форуме нет, не было и не будет. ;-) Хоть со специализированными расширениями, хоть без них.

А много ли вещей на свете со 100% гарантией? Мы лишь можем предполать ту или иную вероятность исходя из совершённых действий и своего или чужого опыта - не более. В философию скатились... Станет ли масло более масленным если намазать его маслом - это тот ещё вопрос...

Спасибо, вас тоже пусть он не покидает никогда и извини. Правда грубо у меня получилось.

Бывает... Это ж интернет :-)

А много ли вещей на свете со 100% гарантией? ... В философию скатились...

А с этим всегда так. Как с религией - кто-то предпочитает надеяться на чужие разработки, кто-то только на свои знания, а большинство и то и другое в равной (или не очень) мере.  Тем более, что путей или способов решения к.л. проблемы/задачи обычно больше чем один. Каждому свое, но многие настаивают на своей правде.

подскажите, а от чего защищают или что делают эти записи в .htaccess ?

после
RewriteEngine On
в .htaccess добавить  вот эти строки и уже станет чуть легче  :

Спойлер

[свернуть]

подскажите, а от чего защищают или что делают эти записи в .htaccess ?

Первая часть запрещает соединение некоторым известным надоедливым ботам, программам по скачиванию сайтов и инструментам по изучению сайтов (список можно расширить как угодно. Определение происходит по HTTP_USER_AGENT)
Вторая часть запрещает соединение при попытке выполнить некоторые известные эксплоиты (выполнить или залить код на сайт)
Третья часть запрещает соединение при попытке сделать некоторые инъекции

Т.е. обрабатываются наиболее известные сценарии атаки на сайт. Не 100% безопасность конечно, но уже проще.

@Raven
вы сказочник, не пытались для дошколят писать, Вас просили сервис или ПО, а вы собрали все с поиска Google и пере опубликовали

ни кто не сможет отбрутить или раскодировать ХОРОШИЙ пас, давайте мы Вам хешей накидаем, и сколько вы их будете раскодировать? десять двадцать лет? хоть со всей мощностью Google вам понадобится не один год, не говоря про простой ПК.

Вот вы все не верите и пишите что нет рекомендаций, мы их не между строк пишем наверное, просто все умные и считают что не надо на катаное использовать, проще убить время найти готовое какое то "какашку расширение" (ака смарт слова литературного лексикона меняет на ***) поставить и типа радоваться, убитое время не стоит того которое потратится на ручки и знания, потратьте на обучение не покупайте г...о и не ставьте нагружая свои сайты лишним мусором

Вы ставите прокладку между apache или nginx и думаете что она не нагрузит сервер при обращении, она управляется так
- модуль apache включает php
- прокладка дает команду на php для apache
- прокладка еще пробегает по скриптам выполняя ту или иную команду
- скрипты в свою очередь тоже выполняют что либо, запуск/проверку
- и еще бывают "торможения" то что несет нагрузку

Когда все пишется в .htaccess и он напрямую командует, что требуется (так понятно описываю, не между строк)

Вам пишут даже тут
@wfedin
@oshpz
@draff
@zikkuratvk

а Вы между строк видимо читать умеете, или они так написали, мой пост наверное тоже будет незаметен.