Разное

Простое руководство по безопасности, Часть 1

Joomla
Добавление в избранное
Сохранить

Простое руководство по безопасности Joomla - часть 1

Одна из самых неприятных вещей в мире Интернет – это когда обнаруживаешь, что твой сайт взломали. Неопределенность и недоверие может вывести из себя администратора сайта и даже клиентов. Данное руководство как раз на такой случай. Цель – создать простые правила для защиты сайтов Joomla!

Это - первое руководство в цикле статей Настройка защиты и безопасности Joomla, и мне понадобилось много сил для его написания. Перевод данного руководства был осуществлен с иврита (на английский - прим.пер.) для того, чтобы помочь  новичкам и продвинутым пользователям обеспечить своим Joomla сайтам защиту от взлома. Мы создали цикл статей после того, как проанализировали взломанные сайты и способы их взлома в Израиле. В статьях по безопасности будем начинать с простых вещей и усложнять задачи впоследствии. Иногда бывает трудно внедрить сложные правила, но они стоят того.

 

Подсказка: прежде чем взяться за разработку сайта, лучше изучить это руководством во избежание получения  незащищенного сайта в итоге работы.

Резервные копии сайта на Joomla

Предположим, что любой сайт можно взломать. По этой причине нужно регулярно делать бэкапы (от англ.backup - резервные копии), чтобы, в случае надобности, восстановить сайт без потерь. Я рекомендую расширение для создания резервных копий Akeeba Backup, с помощью которого можно сохраниться в одно нажатие кнопки. Желательно делать бэкап по мере обновления контента на сайте. То есть, если ежедневно публиковать новые материалы на сайте, то и бэкап нужно делать ежедневно (к счастью, с помощью Akeeba backup этот процесс можно автоматизировать путем настройки автоматического создания резерных копий сайта в указанный период).

Последняя версия Joomla

Не важно, являетесь ли вы опытным разработчиком или используете сайт Joomla! в качестве хобби, первое, что нужно сделать - это обновить Joomla до последней версии. Начиная с версии Joomla 1.6, в панели администратора теперь есть иконка, позволяющая узнать текущую версию. Большинство промежуточных версий – это релизы безопасности Joomla, и очень важно незамедлительно обновиться до последней актуальной версии. Не медлите с обновлением. Начиная с версии 1.6 теперь это перестало быть проблемой.

Панель администратора Joomla

Ниже приведен перечень рекомендаций по соблюдению правил безопасности со стороны панели администратора.

Пользователь admin

Самый простой способ взлома – получить доступ к панели администратора. Чтобы не допустить этого, нужно руководствоваться несколькими правилами. Первое – не используйте стандартное имя администратора (admin, administrator или root).

Не используйте по умолчанию пользователя admin

Супер администратор сайта по умолчанию имеет логин admin и хорошо известный ID (42 у версии 1.6+ и 62 у 1.5). Хакеры обычно пытаются сломать стандартного пользователя Joomla. При установке Joomla создайте нового пользователя, назначьте ему права Супер администратора (с другим именем) и удалите старого пользователя.

Альтернативное решение: можно назначить пользователю новый логин, а ID сменить через панель phpmyadmin, но суть будет одна и та же.

Примечание: начиная с версии Joomla 2.5.5, ID первого пользователя генерируется в случайном порядке при установке. Так что, если вы пользуетесь свежими файлами, об этом не придётся беспокоится (кстати, эта возможность стала доступна благодаря автору данной статьи (Оферу Коэну - прим.пер.).

 

Заблокируйте панель администратора

Любой пользователь Joomla знает, как войти в панель администратора. Хакеры сделают это, пройдя примерно по такой ссылке: yoursite.com /administrator. Чтобы этого избежать, используйте расширение, блокирующее доступ к панели администратора.

Примечание: Автор статьи сделал некоммерческое расширение GPL, которое справляется с задачей. JLSecure My Site.

Настройка безопасности Joomla 

Расширения Joomla

Ценность Joomla! в расширениях, и это дает ей преимущество перед другими CMS. Расширений существует очень много, только в JED (официальном каталоге расширений) их более 9000, и на каждый случай есть выбор, по крайней мере, из трёх вариантов.

Но есть оговорка: некоторые расширения уязвимы. Существует список уязвимых расширений и их эксплоитов, а также спиок способов решения проблем. Советую ознакомиться с этим списком, прежде чем устанавливать неизвестное вам расширение.

Ненужные расширения

Joomla! является очень продвинутой CMS. При установке дистрибутива, вы получаете ряд стандартных расширений. Некоторые полезны, а некоторые никогда не будут использоваться. Например: такие компоненты, как баннеры, контакты и новостные ленты нужны не всегда. Даже если на вашем сайте нет ссылок на эти компоненты, существуют такие ссылки, как эта: index.php?option=com_search.

Можно отключить ненужные расширения. Это возможно сделать в панели администратора: Панель администратора-> Меню Расширения -> Менеджер расширений > Управление. Советуем не удалять расширения на тот случай, если захотите использовать их в будущем (Если только вам не требуется свободное место на сервере).

Заключение

В данной статье мы рассмотрели базовые вопросы настройки безопасности Joomla. В следующей статье я продолжу рассказ о дополнительных мерах по обеспечению защиты сайтов, и новая публикация будет рассчитана на более искушенного пользователя уровня «средний/продвинутый».

Оригинальная статья: Ofer Cohen
Katerina Vorobyova
Переводчик, IT любитель, фотомодель.

Подпишитесь на рассылку новостей CMScafe