Интернет-безопасность – это стремительно набирающая обороты проблема и постоянно существующая угроза. Нет единственно верного способа защитить веб-сайты, а все методы защиты мгновенно устаревают, нуждаясь в дополнительных улучшениях и постоянных исправлениях. Все общедоступные сайты открыты для хакерских атак в любое время.
У вас есть время, которое нужно потратить на администрирование в режиме 24/7 динамичного, доступного для всего мира, построенного на основе базы данных, интерактивного сайта с аутентификацией пользователей?
У вас есть время и возможности реагировать на непрерывный поток новых проблем интернет-безопасности?
«10 самых дурацких привычек администраторов (https://docs.joomla.org/Top_10_Stupidest_Administrator_Tricks)» – это трагикомичный взгляд на ошибки при администрировании сайтов. Не нужно их проверять на своей шкуре!
В зависимости от вашего опыта, чтение «Привычек» заставит смеяться или плакать.
К счастью, есть определенные известные принципы, на основе которых можно планировать интернет-безопасность ресурса. Следующий перечень источников подскажет лучшие современные методы защиты сайтов на Joomla.
Какие нужно изучить документы?
1. Не все из методов подходят для пользователей с любым уровнем знаний. Применяйте методы, которые вы понимаете и изучайте те, которые никогда не применяли.
2. Не все методы подходят для любых серверов. Если вы используете сервер коллективного доступа, то попадаете в зависимость от настроек, которые установлены вашим хостинг-провайдером. Если вы используете виртуальный или выделенный сервер, можно более творчески подходить к выстраиванию стратегии безопасности.
3. Не все стратегии безопасности подходят для всех версий Joomla.
Самые важные рекомендации
Эти списки длинные и постоянно растут, потому что полный план объемный, комплексный и периодически дополняющийся. Но не отчаивайтесь!
Вот несколько основных рекомендаций для обеспечения безопасности любого сайта. Выполняя их, вы защитите свой ресурс от большинства катастроф.
Делайте резервные копии как можно раньше и чаще. Настройте (а также используйте и тестируйте) регулярное резервное копирование и процесс восстановления. Если сделать это качественно, вы гарантированно сможете оправиться от почти любой катастрофы, которая может случиться с ресурсом.
Обновляйте ПО как можно раньше и чаще. Не затягивайте обновление до последней стабильно работающей версии Joomla или любых сторонних расширений. Так вы гарантируете, что самые последние обнаруженные уязвимости будут исправлены, как только их обнаружат разработчики, а сайт будет защищен от самых новых методов атак, как только появится защита.
Используйте безопасные хостинги. Пользуйтесь надежными веб-хостингами. Не дайте себя одурачить предложениями вроде «неограниченная пропускная способность, неограниченное дисковое пространство, неограниченный размер баз данных» и тому подобное.
Пользуйтесь сообществами и форумами. Не забывайте прописную истину «Это слишком хорошо, чтобы быть правдой ». Кажется, в нашем мире ничто не безгранично, кроме легковерности дураков и жадности тех, кто на них охотится. Если у вас недостаточно опыта или знаний в какой-то области, обратитесь за помощью к профессионалам.
Одно из преимуществ ПО, которое распространяется по лицензии GNU, это бесплатная поддержка пользователей. Воспользуйтесь этим преимуществом, чтобы задавать полезные вопросы на форумах по Joomla. В поисках ответов используйте самые подходящие разделы – Установка (Installation), Перенос и Обновление (Migration and Updating), Администрирование (Administration).
Самые полезные сообщения на форуме по безопасности Joomla Security Forum превращаются в раздел «Вопросы-Ответы по безопасности и обслуживанию» (Security and Performance). Много пунктов из нашего списка расписаны в деталях в «Вопросах и Ответах».
Возможно, вам пригодится замечательное «Руководство для абсолютных новичков в Joomla», которое изобилует подсказками и хитростями в легком для понимания видео формате. Даже опытные администраторы применяют эти идеи для безопасности Joomla.
Собирайте по крупицам мудрость, которой изобилуют форумы Joomla, в особенности форумы по безопасности Joomla 3.x Security Forum и Joomla 2.x Security Forum.
Плохие новости
Идеальной защиты в интернете не существует. Как сказал бы экономист, «не бывает бесплатного обеда». Не обольщайтесь признанной простотой использования Joomla. Поддерживать безопасность веб-сервера в открытом интернете нелегко.
Поддержка нужного уровня защиты требует широкого и постоянно расширяющегося круга знаний и навыков, постоянной осторожности и надежного процесса резервного копирования и восстановления.
Не существует единственно верного пути. Из-за разнообразия и сложности современных веб-систем вопросы безопасности joomla нельзя решить простым, единым для всех способом. Вы (или тот, кому вы доверяете) должны знать достаточно много об инфраструктуре сервера, чтобы принимать действительно правильные решения по защите.
Сильная защита – это движущаяся мишень. Сегодняшний эксперт завтра может стать жертвой. Добро пожаловать в игру!
Опыт ничем не заменишь! Защищая свой веб-сервер, вы должны извлекать реальные уроки (часть из них будут горькими) или получать опытную помощь от других. Если вы не можете потратить достаточно времени на изучение того, как поддерживать безопасность веб-сервера, убедитесь, что вам есть с кем проконсультироваться по этому вопросу.
Хорошие новости
Даже новичок может стартовать, начав с исследования многочисленных пользовательских форумов, которые забиты постами «Помогите! Меня взломали» от людей, пренебрегших стандартными методами защиты.
Если вы изучили материалы, перечисленные выше, до атаки на ваш сайт, поздравляем – вы уже на шаг впереди толпы.
Если это один из ваших первых веб-сайтов, вопросы безопасности могут показаться непреодолимыми. Но не стремитесь решать все сразу. Начните с самых насущных проблем. Так как со временем вы лучше узнаете методы и инструменты GNU, включая GNU/Linux, Apache, MySQL, SQL, PHP, HTTP, CSS, XML, RSS, TCP/IP, FTP, Subversion, JavaScript и Joomla, и сможете улучшать свой арсенал методов защиты.
Вы можете получить помощь, если кажется, что сайт был атакован. Только не выкладывайте подробное описание проблемы на форумах по Joomla. Если вы столкнулись с новой уязвимостью или новым видом атаки, публикация этой информации может поставить под угрозу другие сайты.
Вместо этого сообщите о возможной уязвимости в защите рабочей группе Joomla Security Task Force.
Безопасность Joomla и не только
Как было сказано выше, все эти действия относятся к базовым и выполнить их в состоянии веб-мастер с любым уровнем подготовки. Все остальное уже можно наработать в процессе администрирования ресурса созданного не только на движке Joomla, но и на любом другом.
