0 Пользователей и 1 Гость просматривают эту тему.
  • 13 Ответов
  • 3842 Просмотров
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
У многих сайты работают на старой версии 1.5 кому то нет смысла переносить на свежие версии, кого то все устраивает в старой версии, много вопросов последнее время на счет именно миграции с 1.5 > 2.5 и 3.* , нужно ли? стоит ли? (совета не дам и прошу в топике не писать про миграцию, только по защите 1.5)
Ответ прост каждый думает по своему и делает так как считает нужным.

Краткое руководство по защите 1.5.

Криворуких и не далеких просьба не читать и не писать тут ни чего.
Почему? Потому что надо понимать что бы обезопасить 1.5 она должна быть либо чистой, либо хорошо почищена от заразы и находится на хосте с разделением прав.

Что делается для защиты:

- обновите сайт до 1.5.26

Цитировать
какая бы версия не была обновить её до 1.5.26 требуется обязательно

- обновите медиа менеджер последней заглушкой

прикрепил к топику обновление с 1.5.25 > 1.5.26 с заплаткой в медиаменеджере обновлять просто залить файлы поверх !Внимание только на версию 1.5.25

- если сайт без регистрации поставьте права на закачку файлов только администратору

в общих настройках обычно установлено по умолчанию на -автор- надо выбрать в селекте и установить на -супер администратора-

- закройте папки htaccess на запрет выполнения скриптов

вот две ссылки где более менее расписали код (для папки /images), мы хотим продвинуть эту защиту в дистрибутивы новых 2.5 и 3.* версий, но пока что как всегда все тянется

http://joomlaforum.ru/index.php/topic,295550.0.html

https://groups.google.com/forum/#!topic/joomla-dev-cms/mxbz-gRrvnQ

сам код для закрытия папки /images в основном .htaccess который распологается в корне

Код
# Custom security: no pages in /images/
RewriteCond %{REQUEST_URI} ^/images/.*(\.php|\.php3|\.php4|\.php5|\.phtml|\.htm|\.shtml)$ [NC]
RewriteCond %{REQUEST_FILENAME} -f [OR]
RewriteCond %{DOCUMENT_ROOT}%{REQUEST_FILENAME} -f
RewriteRule .* index.php [F]

по аналогии можно его писать для нужных папок которые требуется закрывать

- закройте панель управления бейсик авторизацией

сейчас многие хостеры дают возможность ограничивать доступ к папкам сайта прямо с панелей управления, устанавливая бейсик авторизацию на требуемую папку


какие расширения стоят не могу угадать у каждого они разные, но их требуется просмотреть и если требуется обновить

основные массово взламываемый были JCE и nnframework ниже сайты на них смотрите версии сравнивайте и обновляйте на последнии и актуальные для Joomla 1.5.26

JCE - www.joomlacontenteditor.net
nnframework - www.nonumber.nl (фраймворк от расширений nonumber он используется с любым из расширений от nonumber)

этого на данный момент хватает для не совсем стандартного набора, остальное по расширениям смотреть вам самим (формы, каталоги и тд. их версии и что стоит у вас на сайте сравнивать и обновлять)
« Последнее редактирование: 29.07.2014, 14:45:46 от flyingspook »
*

ilgizon87

  • Захожу иногда
  • 134
  • 11 / 0
настроить атрибуты через команды chattr/chflags, подойдет не всем (свой сервер), но если все правильно сделать спасет в 100% случаях от загрузки бяки и изменений файлов CMS
*

voland

  • Легенда
  • 10919
  • 581 / 111
  • Эта строка съедает место на вашем мониторе
Раз на тему сослались, добавлю что обновить надо не просто до 1.5.26, а еще пару заплаток поставить.
Другими словами - до неофициальной 1.5.999
*

Elimelech

  • Захожу иногда
  • 257
  • 2 / 0
так этот код для Joomla 1.5 подходит, кто-то тестил?
Код
# Custom security: no pages in /images/
RewriteCond %{REQUEST_URI} ^/images/.*(\.php|\.php3|\.php4|\.php5|\.phtml|\.htm|\.shtml)$ [NC]
RewriteCond %{REQUEST_FILENAME} -f [OR]
RewriteCond %{DOCUMENT_ROOT}%{REQUEST_FILENAME} -f
RewriteRule .* index.php [F]

его пишут в основной файл в корне сата?
*

draff

  • Живу я здесь
  • 4948
  • 346 / 7
*

Elimelech

  • Захожу иногда
  • 257
  • 2 / 0
его пишут в основной файл .htaccess в корне сайта или в папку /images?

А у меня в папке вот такой файл .htaccess:
Код
AddType "text/html" .php .pl .py .jsp .asp .htm .shtml .sh .cgi
#Защищаем .htaccess файл
<files .htaccess>
order allow,deny
deny from all
</files>

Что лучше: то что вы предложили или оставить то, что есть?
*

Elimelech

  • Захожу иногда
  • 257
  • 2 / 0
- если сайт без регистрации поставьте права на закачку файлов только администратору

в общих настройках обычно установлено по умолчанию на -автор- надо выбрать в селекте и установить на -супер администратора-
а у меня что-то там в нет супер-администратор, только : зарегистированный, автор, редактор, управляющий
*

draff

  • Живу я здесь
  • 4948
  • 346 / 7
Запрет запуска PHP в папках сайта с помощью .htaccess
То что я протестировал
Код
php_flag engine off
<Files ~ "\.phtml|\.php|\.php3|\.php4|\.php5|\.php6|\.phps|\.cgi|\.exe|\.pl|\.asp|\.aspx|\.shtml|\.shtm|\.fcgi|\.fpl|\.jsp|\.htm|\.html|\.wml">
Order allow,deny
Deny from all
</Files>
Этот код в файле .htaccess ложим в папки /cache, /images, /logs, /tmp
*

Elimelech

  • Захожу иногда
  • 257
  • 2 / 0
у меня сайт стал белый экран после добавления этих правил. Что делать?
*

draff

  • Живу я здесь
  • 4948
  • 346 / 7
у меня сайт стал белый экран после добавления этих правил. Что делать?
Файл куда внесли правки не в корне сайта ?
*

Elimelech

  • Захожу иногда
  • 257
  • 2 / 0
нет положил как вы написали в папки  /cache, /images, /logs, /tmp
но заметил, что у меня папка /includes на сайте самопроизвольно удалилась.

Может быть из-за того, что у меня плагин кеширования сохраняет в папку кеша файлы типа 02b24474ac8dadf03d5a569fd84804c1.php?
« Последнее редактирование: 26.12.2019, 15:22:03 от Elimelech »
*

draff

  • Живу я здесь
  • 4948
  • 346 / 7
тогда  в папку  /cache не нужно.
п.с.
Хотя можно попробовать в папку /cache
Код
php_flag engine off
« Последнее редактирование: 26.12.2019, 17:55:04 от draff »
*

Elimelech

  • Захожу иногда
  • 257
  • 2 / 0
я так понял если положить этот файл .htaccess со всеми правилами в папку /tmp то по идеи с панели управления сайта я не смогу установить новые расширения?
*

winstrool

  • Давно я тут
  • 813
  • 51 / 2
  • Свободен для работы
я так понял если положить этот файл .htaccess со всеми правилами в папку /tmp то по идеи с панели управления сайта я не смогу установить новые расширения?
Сможешь, там установка идет на уровне ядра а не с веба...., я бы вообще рекомендовал подобную конструкцию htaccess, о чем писал в других темах на форуме, пример:
Цитировать
Order Allow,Deny
Deny from all
<Files ~ "\.(bmp|woff|ttf|svg|eot|css|csv|doc|gif|htm|html|jpg|cur|jpeg|js|pdf|png|ppt|psd|swf|tiff|txt|xls|BMP|CSS|CSV|DOC|GIF|HTM|HTML|CUR|JPG|JPEG|JS|PDF|PNG|PPT|PSD|SWF|TIFF|TXT|XLS|mp4)$">
Allow from all
</Files>
в некоторых папках требуется разрешения определенных php файлов, как пример я их разрешаю таким методом:

Цитировать
<Files TinyMCE.php>
allow from all
</Files>
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Взломали сайт. Как в некоторых случаях делаю я

Автор cntrl

Ответов: 0
Просмотров: 100
Последний ответ 29.08.2020, 00:25:24
от cntrl
Безопасный вход на сайт Joomla и админка

Автор jm

Ответов: 9
Просмотров: 275
Последний ответ 19.07.2020, 23:57:17
от wishlight
RSFireWall - как сделать файл Hashes для новой версии Joomla

Автор Lopes-popes

Ответов: 11
Просмотров: 880
Последний ответ 18.12.2019, 15:41:26
от Театрал
Реклама (взломали сайт)

Автор Emusarce

Ответов: 15
Просмотров: 832
Последний ответ 18.01.2019, 10:41:27
от ProtectYourSite
Можно ли защитить сайт от инъекций в файлы без обновления Joomla и расширений?

Автор borro

Ответов: 6
Просмотров: 989
Последний ответ 09.11.2018, 18:36:44
от winstrool