Одна из самых неприятных вещей в мире Интернет – это когда обнаруживаешь, что твой сайт взломали. Неопределенность и недоверие может вывести из себя администратора сайта и даже клиентов. Данное руководство как раз на такой случай. Цель – создать простые правила для защиты сайтов Joomla!
Это - первое руководство в цикле статей настройка защиты и безопасности Joomla, и мне понадобилось много сил для его написания. Перевод данного руководства был осуществлен с иврита (на английский - прим.пер.) для того, чтобы помочь новичкам и продвинутым пользователям обеспечить своим Joomla сайтам защиту от взлома. Мы создали цикл статей после того, как проанализировали взломанные сайты и способы их взлома в Израиле. В статьях по безопасности будем начинать с простых вещей и усложнять задачи впоследствии. Иногда бывает трудно внедрить сложные правила, но они стоят того.
Резервные копии сайта на Joomla
Предположим, что любой сайт можно взломать. По этой причине нужно регулярно делать бэкапы (от англ.backup - резервные копии), чтобы, в случае надобности, восстановить сайт без потерь. Я рекомендую расширение для создания резервных копий Akeeba Backup, с помощью которого можно сохраниться в одно нажатие кнопки. Желательно делать бэкап по мере обновления контента на сайте. То есть, если ежедневно публиковать новые материалы на сайте, то и бэкап нужно делать ежедневно (к счастью, с помощью Akeeba backup этот процесс можно автоматизировать путем настройки автоматического создания резерных копий сайта в указанный период).
Последняя версия Joomla
Не важно, являетесь ли вы опытным разработчиком или используете сайт Joomla! в качестве хобби, первое, что нужно сделать - это обновить Joomla до последней версии. Начиная с версии Joomla 1.6, в панели администратора теперь есть иконка, позволяющая узнать текущую версию. Большинство промежуточных версий – это релизы безопасности Joomla, и очень важно незамедлительно обновиться до последней актуальной версии. Не медлите с обновлением. Начиная с версии 1.6 теперь это перестало быть проблемой.
Панель администратора Joomla
Ниже приведен перечень рекомендаций по соблюдению правил безопасности со стороны панели администратора.
Пользователь admin
Самый простой способ взлома – получить доступ к панели администратора. Чтобы не допустить этого, нужно руководствоваться несколькими правилами. Первое – не используйте стандартное имя администратора (admin, administrator или root).
Не используйте по умолчанию пользователя admin
Супер администратор сайта по умолчанию имеет логин admin и хорошо известный ID (42 у версии 1.6+ и 62 у 1.5). Хакеры обычно пытаются сломать стандартного пользователя Joomla. При установке Joomla создайте нового пользователя, назначьте ему права Супер администратора (с другим именем) и удалите старого пользователя.
Альтернативное решение: можно назначить пользователю новый логин, а ID сменить через панель phpmyadmin, но суть будет одна и та же.
Заблокируйте панель администратора
Любой пользователь Joomla знает, как войти в панель администратора. Хакеры сделают это, пройдя примерно по такой ссылке: yoursite.com /administrator. Чтобы этого избежать, используйте расширение, блокирующее доступ к панели администратора.
Расширения Joomla
Ценность Joomla! в расширениях, и это дает ей преимущество перед другими CMS. Расширений существует очень много, только в JED (официальном каталоге расширений) их более 9000, и на каждый случай есть выбор, по крайней мере, из трёх вариантов.
Но есть оговорка: некоторые расширения уязвимы. Существует список уязвимых расширений и их эксплоитов, а также спиок способов решения проблем. Советую ознакомиться с этим списком, прежде чем устанавливать неизвестное вам расширение.
Ненужные расширения
Joomla! является очень продвинутой CMS. При установке дистрибутива, вы получаете ряд стандартных расширений. Некоторые полезны, а некоторые никогда не будут использоваться. Например: такие компоненты, как баннеры, контакты и новостные ленты нужны не всегда. Даже если на вашем сайте нет ссылок на эти компоненты, существуют такие ссылки, как эта: index.php?option=com_search.
Можно отключить ненужные расширения. Это возможно сделать в панели администратора: Панель администратора-> Меню Расширения -> Менеджер расширений > Управление. Советуем не удалять расширения на тот случай, если захотите использовать их в будущем (Если только вам не требуется свободное место на сервере).
Заключение
В данной статье мы рассмотрели базовые вопросы настройки безопасности Joomla. Во второй части я продолжу рассказ о дополнительных мерах по обеспечению защиты сайтов, и новая публикация будет рассчитана на более искушенного пользователя уровня «средний/продвинутый».