Попытка удалённого включения файла, RS Firewall - страница 2 - Общие вопросы по расширениям Joomla

Еще ReReplacer за вывод и на скорость влияет.

Абсолютно все влияет на скорость, поэтому чем меньше тем лучше.

А еще много чего, что кривыми руками по отзывам используется
Тот же jch optimize

Я понял, спасибо! Конечно нужно быть профи, чтоб разбираться в этих деталях.

А что разбираться
Обновления вовремя и чуть настройки серверов

Ну я имел введу тонкости работы расширений.


У меня RSFirewall, ReReplacer, jch optimize и еще парочку расширений стоит.


По этому за скорость работы сайта мне переживать не стоит  

Валите их нах

Ок, спасибо! https://www.emmanuel.in.ua/

У меня RSFirewall, ReReplacer, jch optimize и еще парочку расширений стоит.

И именно расширения часто являются большой проблемой.

Человек, не сведующий в том, как работает связка Apache-PHP-Joomla обычно считает, что чем больше он расширений поставит, тем оно круче. При этом многие из этих расширений платные, но мы ведь не любим платить, особенно когда можно скачать даром, правда? Тем более, если расширение известное. Тот же RSFirewall, вы его покупали? А ReReplacer? Или это все free-версии? А шаблон для своего сайта вы где взяли? Купили? Или скачали?

То есть, если смотреть в корень проблемы, окажется, что сайту и защита никакая не нужна, он уже ломан еще на этапе создания (очень надеюсь, что я не прав).

Еще один момент - буквально на прошлой неделе мой клиент написал, что его сайт не догоняет по скорости. Когда я сделал проверку, увидел, что там грузятся изображения весом по нескольку мегабайт. Далее он пишет, что обратился в студию, и те за 15 тысяч ему взялись оптимизировать сайт путем ...установки jch optimize. Я понимаю, что данную фразу оценят те, кто знаком с внутренним устройством этого компонента и знает принцип его работы. Но для других он - панацея от всех бед. Поставил, настроил, и забыл... Вместо того, что бы самостоятельно взять папку с картинками и прогнать через оптимизатор, лучше обвешаем Joomla расширениями... Я такую логику не разделяю.

Так же не разделяю высказывание @Septdir - именно боты обычно и долбятся на сайты, перебирая сплойты. Как раз прослойка между сервером и cms и решает частично эту проблему. К сожалению, я не знаю нормальных модулей под Апач, способных хотя бы частично взять на себя заботу о безопасности. Обычно это пародии - антивирусы, WAF и прочее. Поэтому я и начал работу над своей системой, которая эти задачи решает. Но и это не панацея - работать нужно на уровне модулей сервера и... это уже совсем другая область, далекая от шаред-хостинга. Поэтому для @kiev и других ребят, кто юзает именно шаред-хостинги, можно, наверное, посоветовать оставить RSFirewall - хоть что то, чем вообще ничего.

@Septdir - именно боты обычно и долбятся на сайты, перебирая сплойты.

И что  пусть ломятся мне от них ни тепло ни холодно.
Если запросы начнут походить на ddos то сработает  защита от ddos.
Если это просто проход по экспоитам то отсутствие RSFirewall катраз плюс.
Потому что их проход не создаёт нагрузки больше чем от юзера.
Получил бот 404 или 401 и пошёл дальше.
А с RSFirewall и иже сним каждый посетитель включая бота создает нагрузку.
Что в сумме превысит любые потуги ботов.

Так что ни какого подозрительного софта, актуальные версии и бекап - залог спокойствия.
Ну ещё админку можно закрыть любым из способов, ну кроме плагинов конечно.

Кстати харед защищен лучше не настроиного vds.

А вы админку закрываете, через плагин?

А вы админку закрываете, через плагин?

Средств апача хватает для этих целей

Средств апача хватает для этих целей

Не знаете для nginx рабочее решение?

Если это просто проход по экспоитам то отсутствие RSFirewall катраз плюс.

А... Просто моя разработка чем то похожа на RSFirewall, но в ней есть WAF, которые все эти эксплойты детектит. Поэтому и работает как презерватив на сайте.

А вы админку закрываете, через плагин?

Зачем вам плагин? Человек и даже многие боты прекрасно знают, по какому адресу лежит папка administrator. Думаете, они ее будут брутить? Для этого достаточно более-менее нормального пароля и логин не admin. Для надежности можно поставить пароль на папку. Больше никакие плагины не нужны. Так, если я вижу в исходном коде в метатеге generator надпись Joomla, а при обращении к administrator меня кидает на 404, значит стоит adminexile или что то в этом роде... И значит, что сайт напихан всякими ненужными расширениями и его легко сломать. Вы кого обмануть этим плагином хотите? Ботам все равно, они в большинстве случаев даже не заморачиваются, какой стоит движок - в логах я вижу нередко, что к сайтам на Joomla пытаются применять сплойты от wordpress. Он тупо перебирает все, что может взломать сайт, и идет дальше. И админка ваша ему вообще не нужна.

Для Nginx - ну вот например статья...

Спасибо за разьяснение!

А... Просто моя разработка чем то похожа на RSFirewall, но в ней есть WAF, которые все эти эксплойты детектит. Поэтому и работает как презерватив на сайте.

Я уже писал, самое важное, ни что а когда.
То бишь если это после инициализации ядра, то это уже поздно и создает нагрузку.

То бишь если это после инициализации ядра, то это уже поздно и создает нагрузку.

У меня он включается до через auto_prepend_file, а уже потом отдает управление ядру.