Joomla 1.5 и 2.5 на одном хостинге - Безопасность сайтов на Joomla

Добрый день всем! Хотел бы выслушать рекомендации.
Основные сайты все на Joomla 3, однако имеются несколько "седых" сайтов, сделанные на Joomla 1.5 и 2.5, на них всё еще есть какой то трафик.
Заниматься ими некогда, переводить на новый движок слишком трудоёмко, но отправлять в мусорку тоже жалко.
Так вот ранее придерживался правила на хостинге держать на разных аккаунтах сайты разных версий, т.е. 1.5 отдельно от 2.5, чтобы уж если заразятся по причине бреши в движке и т.п., то не в таком количестве.
Сейчас же хочу оптимизировать расходы на хостинг и старенькие сайты Joomla 1.5 и 2.5 закинуть на один аккаунт хостинга.
И вот встаёт безопасности и желания в дальнейшем не получить проблем, какие рекомендации дадите, как обезопасить себя по полной программе?
Может права ограничить на всё что можно или еще что?

open_basedir
разные юзеры

слишком тезисно, хз что делать

Кидайте дырявые сайты на ютекс - там хорошая защита

Кидайте дырявые сайты на ютекс - там хорошая защита

Какая? От бывшего Ревизиума?

На хостинге Beget сайты разделены, как раз из соображений безопасности. Скрипты одного сайта не могут получить доступ к файлам другого сайта.
Если специально не принять меры, чтобы такой доступ открыть.
Думаю, это именно то, что нужно ТС в данном случае.

На хостинге Beget сайты разделены, как раз из соображений безопасности. Скрипты одного сайта не могут получить доступ к файлам другого сайта.
Если специально не принять меры, чтобы такой доступ открыть.
Думаю, это именно то, что нужно ТС в данном случае.

Где можно об этом прочитать из официальных источников? Я специально общался с их техниками по этому вопросу, мне сказали, что там все стандартно, ибо хостинг базируется на продуктах ISP, как все остальные. И из защиты там штатный ImunifyAV. Единственное нормальное разделение дает коммерческая CloudLinux с ее технологией "клеток" и основанные на ней системы. Может я отстал от прогресса, покажите пальцем, где почитать.

На isp разделение делается, но под каждый сайт нужен отдельный пользователь.
В пределах одного пользователя будет та же куча

На isp разделение делается, но под каждый сайт нужен отдельный пользователь.
В пределах одного пользователя будет та же куча

Совершенно верно. У хостеров своя оболочка, работающая с ISP через API, но суть та же. Один аккаунт - один сайт. А каждый аккаунт = стоимость в месяц.

Совершенно верно. У хостеров своя оболочка, работающая с ISP через API, но суть та же. Один аккаунт - один сайт. А каждый аккаунт = стоимость в месяц.

Именно так
Или vds

Где можно об этом прочитать из официальных источников?

Не знаю. Я написал с практической точки зрения.
Как думаете, это что и для чего?





По умолчанию все папки сайтов у них - изолированные.
А, кстати, вот: https://beget.com/ru/insulation 

Ну очень странно

Как думаете, это что и для чего?

Возможно вы правы. Я не тестил Бегет с этим нововведением. Нужно купить аккаунт и попробовать поломать. Но что то темнят ребята в описании. ACL - это усовершенствованные права, в Ubuntu поддержка ACL уже включена и поддерживается ядром. Что они в этим ядре написали такого, что резко изменило уровни прав? То есть они хотят сказать, что взяли какой то Linux, переписали под себя, и теперь никаким образом не обновляют его? 

В любом случае, если их наработки действительно позволяют корректно разграничивать права доступа, тогда для ТС это будет вполне себе пригодным вариантом.

Возможно вы правы. Я не тестил Бегет с этим нововведением. Нужно купить аккаунт и попробовать поломать. Но что то темнят ребята в описании. ACL - это усовершенствованные права, в Ubuntu поддержка ACL уже включена и поддерживается ядром. Что они в этим ядре написали такого, что резко изменило уровни прав? То есть они хотят сказать, что взяли какой то Linux, переписали под себя, и теперь никаким образом не обновляют его? 

В любом случае, если их наработки действительно позволяют корректно разграничивать права доступа, тогда для ТС это будет вполне себе пригодным вариантом.

ну вот реально глубоко сомнительно в пределах аккаунта.
Аккаунт он же юзер, имеет равные права на подпапки.
И на выполнение действий
Так что походу бегет трындит

Какая? От бывшего Ревизиума?

Своя.
Проактивная.
То есть они ловят ещё на уровне подозрительных запросов и блочат их

На isp разделение делается, но под каждый сайт нужен отдельный пользователь.
В пределах одного пользователя будет та же куча

php.ini для пользователя open_basedir можно прописать.

php.ini для пользователя open_basedir можно прописать.

Да но толку мало если от пользователя запускаются все сервисы
Ну игде вы на шареде видели прямой доступ на php.ini

что то темнят ребята в описании

Почему сразу темнят? )
Просто не раскрывают своё ноу-хау.
Итак, их разработки "тащут". Вы видели, что их 2-панельный файловый менеджер Sprutio поставил себе хостинг Reg.ru?
(правда, не удосужились все полезные фичи нормально настроить)
И это после того, что между ними было ))

Где-то раньше мне попадалась то ли статья, то ли коммент на Хабре от одного из их разработчиков, о том, как они долго это (изолирование сайтов) придумывали, но всё же победили.

Вы видели, что их 2-панельный файловый менеджер Sprutio поставил себе хостинг Reg.ru? И это после того, что между ними было ))

Вы про тот инцидент, когда в июне 2018-го REG.RU присвоила себе около 80к клиентов Бегета? Я помню этот инцидент. И чему тут удивляться? Вопрос сейчас о Бегете, они купили лицензию как раз после того инцидента и стали самостоятельным регистратором. Но речь об их технологии. Замечу, что об этом они трубили еще задолго до инцидента с REG.RU. Нет времени гуглить, но вот статья от 2017-го года на стороннем ресурсе. Возможно именно этот костыль они и начали сейчас пиарить. Я повторюсь, что пока не проводил лично тесты и не видел, что бы это делали те, чьим словам я могу доверять. А пока таких результатов нет, то вся эта болтовня не имеет под собой никакой почвы. Возможно это просто рекламный ход. Простой пользователь поведется. Но тот, кто знает хоть что то о реализации прав в Unix-системах, не станет принимать это утверждение всерьез. К тому же, если не ошибаюсь, хостинг там базируется на Centos.

Вы про тот инцидент, когда в июне 2018-го REG.RU присвоила себе около 80к клиентов Бегета? Я помню этот инцидент. И чему тут удивляться? Вопрос сейчас о Бегете, они купили лицензию как раз после того инцидента и стали самостоятельным регистратором. Но речь об их технологии. Замечу, что об этом они трубили еще задолго до инцидента с REG.RU. Нет времени гуглить, но вот статья от 2017-го года на стороннем ресурсе. Возможно именно этот костыль они и начали сейчас пиарить. Я повторюсь, что пока не проводил лично тесты и не видел, что бы это делали те, чьим словам я могу доверять. А пока таких результатов нет, то вся эта болтовня не имеет под собой никакой почвы. Возможно это просто рекламный ход. Простой пользователь поведется. Но тот, кто знает хоть что то о реализации прав в Unix-системах, не станет принимать это утверждение всерьез. К тому же, если не ошибаюсь, хостинг там базируется на Centos.

Ну центы 7 сейчас пока самые стабильные.
А вот проверочку закинуть стоит.
Есть архивчик с шелом
Надо попробовать их изоляцию

пока таких результатов нет, то вся эта болтовня не имеет под собой никакой почвы

Согласен )
Когда у Вас будут результаты, можем вернуться к этой теме.
А я ещё раз утверждаю, исходя из практики, скрипт не может получить доступ к файлам другого сайта (из другой папки сайта).
Сам не администратор ОС, пишу php-скрипты.

Согласен )
Когда у Вас будут результаты, можем вернуться к этой теме.
А я ещё раз утверждаю, исходя из практики, скрипт не может получить доступ к файлам другого сайта (из другой папки сайта).
Сам не администратор ОС, пишу php-скрипты.

Да ладно.
Примерно неделю назад зацепил вирусную на сайт.
Так он расползся по всем папкам на хостинге( папки других сайтов)
Не на бегете правда, а на таймвебе

Не на бегете правда, а на таймвебе

Тогда зачем вы это запостили здесь? Мы о Бегете говорим, а не о Таймвебе. Там этих наработок нет.

P.S. Да и вообще пора бы разделить эту тему, ТС о другом спрашивал, а мы в его теме флудим.

От себя скажу... не первый год в инфобез... и постоянно открываю для себя что-то новое, и когда открывается что-то новое, прихожу ко мнению, как я год назад ошибаться мог в своих доводах... с каждым днем развиваются технологии и умы, на сегодняшний день как минимум рекомендуется сайты хранить на VPS/VDS в отдельности и то вам никто не даст 100% гарантии того, что из под локальной сети вас не ломанет и не сольет вашу корп. инфу. или навредит вашему сайту, тут однозначно нужно привлекать дополнительные средства защиты, и уметь объяснять эти вещи заказчику, работодателю...

От себя скажу... не первый год в инфобез... и постоянно открываю для себя что-то новое, и когда открывается что-то новое, прихожу ко мнению, как я год назад ошибаться мог в своих доводах... с каждым днем развиваются технологии и умы, на сегодняшний день как минимум рекомендуется сайты хранить на VPS/VDS в отдельности и то вам никто не даст 100% гарантии того, что из под локальной сети вас не ломанет и не сольет вашу корп. инфу. или навредит вашему сайту, тут однозначно нужно привлекать дополнительные средства защиты, и уметь объяснять эти вещи заказчику, работодателю...

Вот именно! Если обобщить - то почти все хостинги под капотом имеют одно и то же программное обеспечение. Как правило это бесплатная unix-операционка и стандартный обвес из программ (LAMP, панель и т.д.), которые и реализуют весь функционал. И наивно полагать, что какой то сайт Васи Пупкина, даже если он на отдельном дедике, будет надежнее защищен, чем сайт какой нибудь крупной компании, где используется оборудование не в пример обычному шареду и коммерческое ПО, а так же бдят сразу несколько отделов со штатом специалистов. И уж если их ломают, то какой то там шаред тем более.

Ну или разверну дилему несколько в иной плоскости. Хорошо, допустим они что то действительно нагородили с правами. У клиента два сайта на одном аккаунте. Оба на Joomla. Я ломаю один, заливаю шелл. Вижу, что за пределами корня поднять права не получается. А что мешает мне таким же образом взломать второй сайт? Тем же, например, эксплойтом, который подошел к первому. Тогда какой вообще смысл в этом разделении прав? От нецелевого взлома может и оградит, но бот все равно по своим спискам идет, поэтому рано или поздно оба будут взломаны, и никакое разделение прав не поможет. Мысли вслух, имхо...

А что мешает мне таким же образом взломать второй сайт?

Второй сайт может быть уже на другой CMS. Или тоже на Joomla, но другой версии. И ли даже на той же версии, но с другими настройками (к примеру, выключена регистрация пользователй), или с другими расширениями. И так же взломать (тем же способом) может уже не получиться.
Это же очевидно. Удивлён такой постановке вопроса.

Сейчас же хочу оптимизировать расходы на хостинг и старенькие сайты Joomla 1.5 и 2.5 закинуть на один аккаунт хостинга.
И вот встаёт безопасности и желания в дальнейшем не получить проблем, какие рекомендации дадите, как обезопасить себя по полной программе?

Если шаред хостинг, вопрос к хостеру.
Если ВПС/ВДС, то владелец файлов root .

И так же взломать (тем же способом) может уже не получиться. Это же очевидно. Удивлён такой постановке вопроса.

По секрету скажу - получиться. Всегда - если взлом целевой, почти всегда - если нецелевой. Что бы нецелевой взлом оказался невозможен, нужно очень хорошо знать основы безопасности. А у нас с ними единицы знакомы.

По секрету скажу - получиться

Буду знать, к кому обращаться в случае чего