Контрольный список мер безопасности – установка Joomla

Настройка Joomla

Установка официальных версий Joomla

Настройка Joomla

Чтобы случайно не нарушить работу сайта, поищите на форумах сообщения о несовместимых расширениях до того, как обновить Joomla до последней версии.

  1. Не стоит затягивать с обновлением Joomla до новой стабильно работающей версии.
  2. Скачивайте установочный пакет движка только с официальных сайтов вроде downloads.joomla.org.
  3. Используйте диагностические инструменты для веб-страниц — Firefox Firebug, IE Web Developer Toolbar, Opera Dragonfly – чтобы убедиться в правильной установке всех файлов.

Измените имя администратора, установленное по умолчанию

Измените имя пользователя, установленное по умолчанию для пользователя с правами администратора. Такой простой шаг эффективно повышает защиту этого важного аккаунта на 50%, так как изменяется одно из двух значений, которые должен знать хакер для успешной атаки.

Пароль – второе значение. Меняйте его как можно раньше и чаще.

Защитите директории и файлы (для специалистов)

Убедитесь, что все конфигурируемые пути к перезаписываемым или загружаемым директориям (хранилище документов, галереи изображений, кэш) находятся за пределами public_html.

Проверьте установленные расширения на предмет редактируемых путей к перезаписываемым директориям.

Для Joomla 1.5, Joomla 2.5, Joomla 3.x в общих настройках Back-End необходимо изменить путь к папке с логами. Некоторые расширения используют встроенный класс JLog. По умолчанию логи будут писаться в http://yousite/logs.

Измените расположение на то, которое нельзя случайно найти в браузере (и не выбирайте /tmp/), либо защитите его с помощью http-аутентификации. Так как вся система имеет бесплатный и открытый исходный код, любой хакер может без проблем найти дыру в сторонних расширениях и подобрать имена файлов с логами.

Для Joomla 1.5, Joomla 2.5, Joomla 3.x в общих настройках нужно изменить путь к временным папкам.

Если пути к временным папкам и файлам с логами изменены и установлена конфигурационная директива PHP open_basedir, убедитесь, что новые настройки подпадают под действие open_basedir — данная директива php.ini разрешает или запрещает открывать определенные файлы вашего каталога.

Например, можно ограничить доступ к каталогу администратора:

open_basedir = /home/users/you/public_html/admin/

Сегодня нет простого способа переместить директории Joomla /image и /media, так как тысячи сторонних расширений ожидают найти эти важные директории в местоположении по умолчанию.

Лучшим решением будет убедиться, что open_basedir правильно установлена для всех пользовательских учетных записей на вашем сервере. Согласуйте настройки параметров с вашим хостингом, если такой уверенности нет.

Скорректируйте разрешения для файлов и директорий

Эта опция доступна только для старых версий Joomla. Как только ваш сайт сконфигурирован и установлен, защитите от записи важные директории и файлы, изменив разрешение для директорий на 755, а файлов – на 644.

В меню Site —> Global Configuration —> Server можно сразу установить разрешения для всех файлов и папок. Затем проверьте все сторонние расширения и внимательно просмотрите код каждого расширения, с которым возникли проблемы после такой настройки.

Замечание: В зависимости от разрешений вашего сервера может понадобиться временная перезагрузка с более открытыми разрешениями при установке новых расширений с инсталлятором Joomla. Эта опция больше не доступна в Joomla, но упомянута здесь для общего представления о системе.

Удалите ненужные файлы в joomla

Удалите все не используемые шаблоны, которые вам не нужны. Никогда не размещайте логические модули защиты там же, где находятся файлы шаблонов.

Процесс установки потребует удалить директорию установки и всё её содержимое. Выполните это требование, не ограничиваясь простым переименованием директории. Если вы загружаете файлы на свой сайт в виде сжатых архивов (например, в формате zip), не забудьте затем удалить архивы.

Проверьте директорию /tmp/, там очень часто остаются разные файлы, например после неудачной установки системы или расширения.

Чистка tmp joomla

Как правило, установка расширений происходит из архива через временную папку /tmp/. Именно в нее распаковывается архив, а затем устанавливается все содержимое для работы расширения.

Проще говоря, из этой папки все файлы «идут по своим местам».

Одним из эффективных инструментов по контролю за временными папками, логами и прочими каталогами, а так же и безопасности joomla-сайта в целом, является компонент Admin Tools.

Одним словом, удаляйте все ненужные файлы, архивы на общих серверах. Каждый неиспользуемый файл (возможно, давно забытый) – это потенциальная дыра в защите.

Установка расширений Joomla

Создайте резервную копию перед инсталляцией

Прежде чем устанавливать расширения, всегда делайте резервные копии файлов и баз данных своего сайта. Это очень простой базовый принцип.

У вас должна быть возможность в любом случае вернуться к предыдущей рабочей версии. Поэтому нужна гибкая настройка простого и быстрого скрипта для резервного копирования, чтобы автоматизировать эту задачу.

Если вы не настроите заранее процесс, появится сильное искушение сделать быстрое обновление без предварительного резервного копирования. Такое желание можно понять, но это одна из главных причин преждевременного облысения на нервной почве, внезапной смены карьеры или даже смерти.

Проверьте расширения на уязвимость

Большинство слабых мест в защите сайта возникают из-за сторонних расширений. Прежде чем установить расширение, проверьте его надежность по официальному списку уязвимых расширений.

Есть целый форум, который посвящен уязвимостям расширений сторонних разработчиков (https://developer.joomla.org/security-centre.html).

Подпишитесь на его новости.

Загружайте ПО только с надежных сайтов

Исчерпывающее определение «надежного сайта» означает сайт, которому доверяете лично вы.

Осторожно, пользователь! Проверяйте качество кода

Расширения от сторонних разработчиков существуют на любой вкус и цвет. Хотя есть стандарты программирования для Joomla, сторонние разработчики не обязаны им следовать. Расширения, перечисленные на официальном сайте Joomla, не проверяются на соответствие этим стандартам, хотя при обнаружении уязвимостей такие продукты удаляют из списка, пока проблемы не будут решены.

Тестируйте, тестируйте, тестируйте…

Новые расширения подлежат тесту на демонстрационном сайте установленном например, на локальном сервере, прежде чем применять их на в действующем проекте. Затем протестируйте на работающем сайте. Не забывайте проверять логи на наличие записей о предупреждениях и ошибках выполнения.

Удаляйте остаточные файлы

Удаляйте все неиспользуемые расширения. Дважды проверьте, что связанные с ними файлы и папки были действительно удалены деинсталляторами.

Учтите, что во время деинсталляции многие сторонние расширения оставляют на сайте связанные с ними файлы и таблицы баз данных вместе с данными. Это или свойство или баг расширений, в зависимости от вашей точки зрения.

Избегайте шифрования кода

Joomla всегда была и остаётся проектом, распространяемым по лицензии GNU GPL. Это означает, что все расширения для системы должны быть также бесплатными и открытыми (то есть с читаемым кодом). Зашифрованный код может быть безопасным, но вы не сможете самостоятельно его проверить, так что придется довериться разработчикам.

Использование чужого зашифрованного кода отправляет вас в мир закрытого ПО, где приходится ждать исправление уязвимостей от разработчиков в надежде на то, что хакеры не найдут ваш сайт раньше, чем на него будут установлены нужные обновления.

Зачастую вы не можете исправлять, улучшать или распространять закрытое ПО. Эти ограничения уменьшают ценность закрытого ПО для сообщества в целом и снижают общую жизнеспособность проекта Joomla, которая основана на открытом распространении кода среди всех участников.

Конечно, программный код, которым вы не планируете делиться с другими, не подпадает под правила распространения GNU GPL. Поэтому вы можете шифровать код для вашего собственного Joomla-сервера, если собираетесь пользоваться им единолично.

Дополнительные советы и рекомендации по усилению защиты Joomla

По возможности избегайте публичных серверов

Для максимальной безопасности избегайте публичных серверов, где вы не знаете остальных пользователей, не можете доверять им или качеству их кода.

Используйте SSL-серверы

Пункт больше относится к защите платежей и администрированию, а не ядру системы Joomla или защите серверов. Но в справочных целях упомянуть о SSL-серверах необходимо.

В настоящее время это единственный способ надежной обработки конфиденциальных транзакций и защиты аутентификации пользователей. SSL-серверы работают по принципу шифрования всех соединений между веб-сервером и веб-клиентом используемых протокол http. В случае перехвата данных, их нельзя будет прочитать.

Joomla 1.0.x не позволяет назначить SSL-сервер для отдельных поддиректорий. Но можно поискать решение на форумах, чтобы узнать об одном из способов обойти это ограничение. В Joomla 1.5 поддержка SSL-сервером намного лучше.

Используйте .htaccess Apache

Для обеспечения дополнительных уровней защиты паролем можно использовать .htaccess, чтобы защитить паролем важные директории. Обычно этого достаточно для блокирования атак хакеров-дилетантов, но нужно знать, что защита только с помощью паролей .htaccess – не самый надежный метод. SSL-сервер придется защищать от более сложных атак, вроде анализа пакетов.

Переходите на Joomla 3.x

Joomla 3.х – самое значительное обновление в истории системы, которое включает мощную защиту и улучшенную производительность. Более подробные ответы на вопросы по новой версии можно найти в документах:

  • — «Почему мигрируют на Joomla?» https://docs.joomla.org/Why_Migrate
  • — Загрузка Joomla https://downloads.joomla.org/cms

Следите за уведомлениями безопасности Joomla

Конечно на первый взгляд кажется все эти меры невозможными из-за большого количества информации, но все нужно делать поэтапно или как говориться, «работать предметно». Сегодня одно, завтра другое и так по шагам.

Желательно иметь разные проверенные источники получения новостей по безопасности и вообще в целом по работе движка. Новая информация лишней не бывает, но уж хуже от этого точно не будет.

Удачи!

Защита joomla

Читайте также:

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: