RSFirewall! v.2.11.18 - компонент безопасности joomla. Защита сайта джумла


Как защитить сайт на Joomla от взлома

Взлом сайтов на популярном движке Joomla далеко не редкость. Ломают школьники, ломают хакеры, ломают скриптами вручную и автоматически. Но если все так плохо, что можно сделать для защиты нашего сайта. Цели взлома могут быть абсолютно различные, но самое популярное:

  1. Для развлечения и тестирования скриптов и приложений найденных в интернете. В этой категории преобладают школьники и начинающие, которые торопятся испытать способ взлома найденный на форуме.
  2. Для размещения ссылок и левого контента. Это самая популярная цель взлома. На ваш сайт удаленно включают текст, который раньше называли портянками - это набор фраз и предложений, которые максимально соответствуют запросам продвигаемого злоумышленниками сайта. Некоторые черно-рукие сеошники верят, что такой способ поможет продвинуть их ресурс. Здесь преобладает автоматический способ взлома.
  3. Атаки по заказу конкурентов. Конкуренция у нас далеко не совсем честная, а если еще ваш сайт дорогой тематики (Бизнес, Банки, Страхование и недвижимость, медицина), обязательно найдутся завистники, которые желают вас подвинуть.
  4. И многое другое...

Наиболее распространенные методы взлома сайтов

Сразу стоит заметить, что данные методы используют не только для взлома сайтов на Joomla, но и на других CMS.

  1. Ddos атаки. Ddos=distributed denial of service=распределенная атака типа "отказ в обслуживании". Cуть атаки - в том, что атакуемой машине посылается множество запросов, которые она не в состоянии обработать. Эффект в данном случае - "честные" пользователи не могут к ней подключиться из-за большой нагрузки, как максимум - выход машины из строя. Слово "распределенная" означает, что атака производится одновременно с большого количества компьютеров (как правило - зараженных вирусом, дающим злоумышленнику некий контроль над ними, т. н. зомби-сеть).Теперь простым языком: Массовый пинг (отсыл пакетов) на указанный ip-адрес.Приводит к перегрузке и отключению сервера.Простейшая атака на сервер. Часто используется для аварийной перезагрузки и получения контроля над сервером с удалённого компьютера.
  2. Инъекции: Наиболее грозным и распространенным способом взлома сайта являются инъекции.Возможность успешной эксплуатации инъекций на сайте в 99% случаев приводит к его взлому.RCE - Remote code execution. Удаленное выполнение кода на сервере.PHP - инъекции. Выполнение произвольного PHP кода.SQL - инъекции. Внедрение произвольного кода в SQL запрос.XPath - инъекции. Внедрение произвольного кода в XPath запрос.
  3. Инклуды:Не менее грозный и распространенный способ взлома сайта - это инклуды.Возможность успешной эксплуатации любого инклуда на сайте в 100% случаев приведет к его взлому.RFI Remote file include. Включение удаленного файла.LFI - Local file include. Подключение, выполнение или чтение локальных файлов на сервере.PHP include. Включение удаленного PHP файла.
  4. Клиентские атаки. Атаки на администраторов и посетителей сайтаОчень популярный способ взлома сайта - это атаки на клиента, в браузере жертвы.Один из самых практикуемых способов взлома сайта.Обусловлен тем, что клиентским атакам (к примеру XSS) подвержены более 75% всех сайтов в мире.XSS атака. Сross Site Sсriрting - межсайтовый скриптинг.CSRF атака. Сross Site Request Forgery - подделка межсайтовых запросов.Фишинг атака. Fishing - Фишинг атака - подделка страниц сайта.

Что может привести к взлому

Некорректная публикация сайта на сервере. Ошибки публикации.

Некорректная публикация сайта на сервере является грубейшей ошибкой разработчиков и администраторов ресурса, зачастую приводящая к его взлому.К таким ошибкам, напрямую влияющих на безопасность сайта являются:

Ошибки администрирования сайта

Нередко администраторы сайта устанавливают короткие и примитивные пароли к админкам, наподобие 123qwerty.Такие пароли элементарно подбираются злоумышленниками с помощью специальных программ.

Небрежность администраторов сайта, имеющих доступ к FTP и административной панели, нередко приводит к взлому сайта.

Троянская программа отправленная по почте, якобы забытая кем - то, а на самом деле специально оставленная злоумышленником зараженная вирусами флэшка на столе у админа сайта могут привести к его взлому.

А теперь подробнее...

Как защитить сайт на Joomla

Использование сложного пароля и логина

Нередко администраторы сайта устанавливают короткие и примитивные пароли к админкам, наподобие 123qwerty. Такие пароли элементарно подбираются злоумышленниками с помощью специальных программ. А если при этом еще используется логин "amin", взлом доступа занимает считанные минуты.

Логин и пароль должны содержать обязательно прописные и заглавные буквы, цифры и символы.

Не пытайтесь прописывать русские слова кириллицей такие пароли так же просты для подбора.

Изменяем адрес доступа к административной панели

Используя не сложный код либо плагин можно изменить установленный по умолчанию адрес админки Joomla http://mysait/administrator - это поможет отфильтровать злоумышленников, которые промышляют методом подбора.

Для смены адреса можно использовать плагин jSecure Lite, заполнив поле Key вы создаете уникальный адрес входа в административную часть вашего сайта http://mysait/administrator/?Key.

Ограничение доступа по IP

Если у вас статичный IP можно настроить доступ в админ-панель только с вашего IP-адреса. Для этого нужно запретить доступ к папке administrator с любого IP, кроме вашего. Чтобы это сделать, создаем файл .htaccess в папке administrator. В него заносим такой текст:

order deny,allowallow from xxx.xx.xxx.xxdeny from all

где "xxx.xx.xxx.xx" - это IP-адрес, с которого можно зайти в админ-панель.

Если вам нужно прописать еще дополнительные IP адреса, копируем allow from xxx.xx.xxx.xx и прописываем их. Выглядеть будет так.

order deny,allowallow from xxx.xx.xxx.xxallow from xxx.xx.xxx.xxdeny from all

Установите нужные права доступа

Установите на все папки права доступа 755, а на все файлы 644, кроме файла configuration.php - на него 444. Стоит заметить, что устанавливая на файл configuration.php права 444 вы можете ограничить установку расширений через Админ панель. При установке некоторых плагинов и компонентов может выдавать ошибку. Решается это временной сменой прав на файл.

Важный момент! Некоторые хостинги рекомендуют использовать свои рекомендуемые права на папки, например 700. Такое правило никак не угрожает безопасности вашего сайта даже наоборот, повышает его безопасность и безопасность других ваших сайтов лежащих на одном дисковом пространстве.

Установка плагинов и расширений

Устанавливайте плагины и расширения, в том числе и шаблоны, только из проверенных источников. Не редко именно они и служат воротами на ваш сайт для злоумышленников.

Обязательно удаляйте скрытые внешние ссылки из шаблонов - они могут служить маячками для программ автоматического взлома.

Как удалить вшитые ссылки из шаблона 

Переименуйте файл htaccses.txt

Используйте .htaccess вместо htaccses.txt. Эта рекомендация разработчиков Joomla актуальна еще с версии 1.0.

Перенесите логи и временные файлы

Перенесите папки временных файлов (tmp) и лого (logs) за пределы public_html. Для этого, в файле configuration.php найдите строки (в нашем примере настоящие пути заменены на буквы англ. алфавита):

var $log_path = '/home/xxxx/yyyyyy/zzzz/logs/';var $tmp_path = '/home/xxxx/yyyyyy/zzzz/tmp/';

и впишите туда новое местоположение папок. После этого переместите эти папки в указанную директорию.

Обновите CMS

Следите за новыми версиями Джумлы и постоянно обновляйте ее. Это очень важно, т.к. разработчики выпускают патчи для устранения уязвимостей.

Не используйте для создания сайтов Joomla 1.5, 1.7, 2.5 - так как они уже не поддерживаются разработчиками. А рабочих способов взлома 1.5 и 1.7 в интернете намного больше. чем рекомендаций защиты.

Использование FTP

FTP соединение на данный момент является уязвимым, так как данные передаются в незашифрованном виде и возможен их перехват. Если файловый менеджер хостинг провайдера по скорости и функционалу не блещет, то используйте SFTP - данные в этом случае передаются в зашифрованном формате, что обеспечит безопасность ваших данных.

Я использую для работы Файловый менеджер на хостинге Beget, как по мне он обладает полным требуемым функционалом для редактирования файлов и поддерживает все разрешения файлов, что не мало важно работает быстро. Пользоваться FTP перестал еще года 4 назад.

Использование компонентов Защиты

Обязательно используйте компоненты для защиты сайта.  Для Joomla лучше себя зарекомендовал RSFirewall. Компонент действительно помогает сделать наш сайт не доступным для злоумышленников.

Основные особенности RSFirewall!:

  1. Встроенные фильтры, предотвращающие SQL, PHP, LFI и XSS уязвимости;
  2. Функциональный сканер сайта, проверяющий установленные права на папки и последние изменения файлов;
  3. Встроенный системный журнал, фиксирующий все попытки взлома сайта;
  4. Возможность защиты специальным паролем всей папки администратора;
  5. Возможность блокировки IP - адресов, с которых пытаются получить доступ к админ панели сайта;
  6. Автоматическое включение каптчи при неоднократной несанкционированной попытке входа в админ панель;
  7. Уведомление на электронную почту о всех атаках и попытках взлома админ панели;
  8. Функция проверки таблиц баз данных с возможностью их восстановления через опцию исправления / оптимизации;
  9. Уведомления в админ панели сайта о новых способах защиты сайтов через встроенный RSS - канал;

Это действительно очень мощный компонент для защиты вашего сайта. Установленный и настроенный RSFirewall защитит от 98% всех известных способов взлома.

На некоторых из моих сайтов, которые далеко не блещут высокой посещаемости RSFirewall отлавливает  5-10 попыток удаленного включения в день, но бывают дни когда намного больше. А если бы на моих сайтах посещаемость выше - наверное и попыток было бы в разы больше.

Если вы просматривая журнал RSFirewall случайно заблокируете свой IP адрес, единственным выходом будет зайти через прокси сервера или другого IP. Советую все используемые вами IP вписывать в Белый список, что бы избежать подобных ситуаций.

Правильный выбор хостинг провайдера

Уязвимости программного обеспечения сервера несут огромную опасность для размещенных на них сайтах.Устаревшие версии редакции серверных операционных систем, а также Nginx, Apachе, PHP, MySQL, FTP и прочего ПО несут в себе угрозу безопасности сайта, так как в большинстве случаев они уязвимы к взлому и атакам.Кроме этого, существуют специальные программные решения,  эксплойты, с помощью которых происходят взломы и атаки на сервер.

Неправильная настройка сервера также может открыть "дыру" или лазейку, через которую злоумышленник сможет осуществить взлом.

Выбор хостинг провайдеров огромен. На своем опыте поделюсь, что безупречными остаются Beget.com и Reg.ru. Использую эти хостинги на протяжении более 5 лет и ни одного нарекания не было.

Как правильно выбрать хостинг провайдер

На первых порах размещал сайты на недорогом украинском хостинге - сайт ломали, как правило раз в неделю. Поэтому подходите к выбору провайдера ответственно. Дешевые и бесплатные хостинги предоставят вам ровно такие же услуги.

Вас могут заинтересовать:

ddr5.ru

защита Joomla | Блог — аудит безопасности и защита сайтов

Уважаемые читатели, эта статья посвящена защите и настройке безопасности не менее популярной CMS — Joomla. Все рекомендации будут относиться к актуальной на данный момент ветке 3.3х. Многие из наших советов будут работать и на предыдущих версиях.

 

В процессе установки CMS необходимо обратить внимание на некоторые апсекты, правильное выполнение которых позволит существенно повысить защищенность вашего сайта.

 

Используйте сгенерированный префикс таблиц

Разработчики третьей версии Joomla (а также ветке 2.5) встроили некоторые механизмы, которые минимизируют выполнение векторов атаки, актуальных для предыдущих версий. Ранее все таблицы в базе данных создавались с использованием префикса jos_, что существенно облегчало выполнение sql-инъекций. Теперь установщик сам генерирует этот префикс, вам же остается только принять его.

Установка joomla - генерация префикса

Установка joomla — генерация префикса

Не стоит заменять его на что-то угадываемое, например, на имя вашего домена.

 

Придумайте имя администратора — не «admin»

Далее необходимо придумать имя администратора сайта и пароль. В качестве логина используйте что-то вроде «director-asa2». Если вы укажете классическое «admin», то подобрать параметры доступа будет существенно проще.

Установка joomla - имя администратора

Установка joomla — имя администратора

При установке пароля обратите внимание на отсутствие индикатора стойкости.  Для выбора надежного значения лучше воспользуйтесь одним из онлайн сервисов по генерации паролей.

 

Не используйте FTP

Использование ftp-протокола — это потенциальная угроза безопасности. Причина — передача пароля и данных в «открытом» виде (нешифрованный протокол).

Для администрирования сайта рекомендуем использовать SSH или SFTP. В этом случае весь сеанс связи зашифрован. Большинство хостингов предоставляют такую возможность.

По умолчанию использование FTP отключено. В качестве альтернативы можете воспользоваться одним из плагинов в официальном репозитории extensions.joomla.org, например, ProFiles.

Установка joomla - не использовать FTP

Установка joomla — не использовать FTP

 

Удалите директорию «installation/»

После завершения установки система предложит удалить директорию installation. Выполните это требование, так как ее наличие позволит злоумышленнику «затереть» ваш сайт новой установкой. Если вы удалили директорию непосредственно на файловой системе (а не воспользовались кнопкой в установщике), не забудьте также удалить файл joomla.xml, который содержит точную версию вашей CMS.

 

Не стоит думать, что по окончанию установки можно забыть о мерах безопасности. Как правило, в базовой комплектации система наименее подвержена компрометации. Риски возрастают при расширении функциональности, добавлении пользователей и т.д.

 

Обновляйте ядро, установленные плагины и темы

Базовый принцип всех CMS — своевременное обновление ядра системы и установленных плагинов. О наличии обновлении вы можете узнать на главной странице панели управления.

Настройка joomla - проверка обновлений

Настройка joomla — проверка обновлений

Для повышения отказоустойчивости вашего сайта рекомендуется делать резервные копии при установки новых версий ядра CMS. Для этого воспользуйтесь плагином Akeeba Backup версии не ниже 4.0.5.

 

Не используйте неподдерживаемые версии Joomla: 1.0х, 1.5х, 1.6х и 1.7х

Если вы давно используете Joomla, то возможно версия вашей системы уже официально не поддерживается (это касается всей ветки 1х) или скоро перестанет поддерживаться (ветка 2.5 официально заканчивается 31 декабря 2014 года). Мы рекомендуем задуматься о миграции на актуальную версию 3.3х. На официальном сайте joomla.org представлены руководства для перехода со старых версий.

Так же существуют плагины для автоматического апгрейда CMS (Migrate Me).

Настройка joomla - расширение migrate me

Настройка joomla — расширение migrate me

 

Проверьте используемые плагины в списке уязвимых

Думаю не секрет, что вы знаете о потенциальной угрозе безопасности, которую несет каждый устанавливаемый плагин. Чтобы минимизировать этот риск следует выполнять простые правила:

 

Используйте предоставляемый .htaccess-файл

Дистрибутив CMS Joomla версии 3.3х поставляется совместно с файлом htaccess.txt, который содержит правила для защиты от широко известных векторов атак на эту CMS. Вам необходимо переименовать этот файл в .htaccess, чтобы он использовал для защиты возможности веб-сервера Apache, или вставьте следующие строки в уже существующий файл:

RewriteEngine OnRewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [OR]RewriteRule .* index.php [F]

Данные правила будут работать, если на сервере установлен модуль mod_rewrite.

 

Используйте ЧПУ-ссылки

Многие сканеры, которые эксплуатируют уязвимости в joomla, получают списки сайтов из google. Для этого используется техника Google XAK, а конкретно для нас может использоваться вот такой запрос inurl:index.php?option=com_jce. Поисковик выведет список сайтов, на которых установлен плагин JCE.

Чтобы затруднить работу сканерам и одновременно улучшить SEO нашего сайта следует использовать ЧПУ-ссылки:

Настройка joomla - включить ЧПУ

Настройка joomla — включить ЧПУ

Это можно сделать перейдя в панели управления «Общие настройки» -> «Сайт» -> «Настройки SEO».

 

Защитите панель администрирования

Панель управления сайтом для CMS Joomla расположена по адресу site.com/administrator/. Если сайт использует стандартные настройки, то любой пользователь, зная логин и пароль, может управлять сайтом. Полагаться только на уникальность логина и стойкость пароля не достаточно.

Начиная с версии 3.2.0 в CMS внедрена возможность использования двухфакторной аутентификации. Мы настоятельно рекомендуем включить эту опцию. В этом случае помимо пароля пользователю нужно знать еще и уникальный ключ.

Настройка joomla - включение двухфакторной аутентификации

Настройка joomla — включение двухфакторной аутентификации

Включить и настроить эту опцию можно в разделе «Пользователи» -> «Менеджер пользователей» -> Имя вашего пользователя -> «Двухфакторная аутентификация». Воспользуйтесь одним из механизмов: Google Authenticator или YubiKey (мы протестировали Google Authenticator — все заработало с первого раза).

Вот так будет выглядеть форма входа в панель администрирования:

Настройка joomla - двухфакторная аутентификация

Настройка joomla — двухфакторная аутентификация

Для изменения адреса формы входа можно воспользоваться плагином AdminExile. С его помощью можно установить ключ, который предоставит доступ для входа в панель администрирования (например,site.com/administrator/index.php?myadmin). Если его не указать, то произойдет автоматический редирект на главную страницу вашего сайта.

Настройка joomla - плагин adminexile

Настройка joomla — плагин adminexile

Этот же плагин позволит установить список ip-адресов, для которых разрешен доступ в панель управления, и защитит от брутфорса. Устанавливайте плагин версией не нежи 2.3.6.

 

Защитите конфигурационный файл configuration.php

Файл configuration.php расположен в корневой директории Joomla (http://example.com/configuration.php). В нем содержатся параметры подключения к базе данных, ключ шифрования, префикс таблиц, параметры ftp (при использовании).

Если файл будет доступен для злоумышленников, то у них появляется реальный шанс получить полный доступ до вашего сайта. На очень многих хостингах установлена панель управления базой данных — phpMyAdmin.  Использование параметров из файла configuration.php позволит пройти авторизацию в этой панели.

Основная причина доступности файла — небезопасная конфигурация. Достаточно  часто администратор сайта создает резервные копии вида:

При использовании таких имен файлы перестают обрабатываться как php-скрипты. При прямом запросе (например, http://example.com/сonfiguration.php.old) злоумышленник получит все содержимое.

Не храните резервные копии конфигурационного файла в пределах вашего сайта. Для дополнительной защиты поместите следующий код в файл .htaccess, расположенный в корне сайта:

<Files ~ «^configuration\.»>    Order allow,deny    Deny from all    Satisfy all</Files>

Так вы заблокируете доступ к этому файлу (и всем его копиям) средствами веб-сервера.

 

Настройте права доступа для ключевых файлов и директорий

Как правило, при проведении атаки злоумышленник пытается записать свой код в уже существующие файлы системы. Таким образом он хочет дополнить эти файлы скрытым функционалом. Для того чтобы максимально затруднить его задачу необходимо выставить определенные права на ключевые файлы и директории. Для CMS Joomla:

Не забудьте временно изменить права на 644 для файла configuration.php, когда будете вносить изменения в панели администрирования.

 

Запретите свободную регистрацию пользователей

Если бизнес-модель вашего сайта не подразумевает регистрацию пользователей, то вам необходимо ее отключить в панели управления CMS. По умолчанию она включена.

Для отключения перейдите в панель «Пользователи» -> «Менеджер пользователей» -> «Настройки».

Настройка joomla - запрет на регистрацию

Настройка joomla — запрет на регистрацию

Некоторые уязвимости требуют для своей реализации зарегистрированного пользователя. При отключении авторегистрации эксплуатация будет затруднена. Если же регистрация нужна, тогда включите уведомление администратора.

 

Перенесите директории «logs/» и «tmp/» за пределы сайта

Служебные директории logs и tmp по умолчанию находятся в корневой директории сайта. Мы рекомендуем перенести их за пределы «видимости». Как правило это на один уровень выше их текущего положения на файловой системе.

Сначала переместите директории, а потом установите соответствующий путь в панели администрирования («Общие настройки»).

Настройка joomla - перенос логов

Настройка joomla — перенос логов

Настройка joomla - перенос tmp

Настройка joomla — перенос tmp

 

Используйте плагины безопасности

Достаточно много расширений для повышения безопасности CMS представлено в официальном репозитории. Есть среди них как платные, так и бесплатные решения. Попробуйте начать с «Admin Tools«. Его основные возможности:

Настройка joomla - расширение admin tools

Настройка joomla — расширение admin tools

 

Блокируйте небезопасные запросы

Для защиты от наиболее опасных типов уязвимостей (sql-инъекций и lfi) вы можете воспользоваться плагином Marco’s SQL Injection.

Настройка joomla - расширение marcos

Настройка joomla — расширение marcos

Основные возможности расширения:

 

Используйте механизмы для активного аудита

Если вы читали нашу статью о защите блога на WordPress, то в одном из пунктов мы рассказывали о сканере WPScan. Он позволяет просканировать блог снаружи и определить наиболее уязвимые места.

К сожалению аналогичного уровня сканера для Joomla в настоящее время нет. Joomscan от OWASP можно не брать в расчет. Продукт не обновлялся с мая 2013 года, список уязвимых плагинов также далек от сегодняшнего дня.

Для внешнего аудита безопасности воспользуйтесь нашим SaaS-решением: weBBez. Непосредственно для CMS Joomla мы умеем:

 

Вывод. Для защиты вашего сайта на основе cms Joomla рекомендуется выполнить следующие шаги и рекомендации:

 

Ссылки на упомянутые программные продукты и сервисы:

webbez.ru

защита админки joomla 3, joomla защита от взлома

Новая версия самого продвинутого компонента для комплексной защиты и контроля ваших проектов RSFirewall v2.11.18. Функционал данного расширения Joomla позволяет контролировать и делать защиту ваших сайтов от любых атак. Сюда входит защита от уязвимости RCE, проверка на наличие запрещенных расширений и стандартных вредоносных программ, проверка необходимых для безопасности прав на папки и файлы, ведение системного журнала с возможностью составления черного списка, геолокация адресов, интеллектуальный системный сканер, возможность исправления ошибок базы данных и многое другое.

SecurityCheck Pro v3.1.0 - новая версия одного из немногих расширений Joomla предназначенных для защиты вашего интернет проекта. Это глобальный набор инструментов защиты, который не влияет на скорость работы вашего сайта. Компонент включает такие возможности: настройка белого диапазона IP адреесов, запись основных системных событий в журнал, отправка уведомлений администратору на почту, защита сессий, проверка наличия в коде Base64, наличие передового сканера вредоносных скриптов, поиск подозрительных слов, проверка загружаемых файлов и многое другое.

Очередное обновление одного из самых топовых и универсальных компонентов безопасности и контроля RSFirewall! v.2.11.17 совместимого с проектами на базе Joomla! 3. Данный набор инструментов может легко исправить небезопасные права на папки, контролировать изменение системных файлов и версию движка. Также компонент может анализировать нежелательные вредоносные программы и загружаемые файлы, записьи контроль в системном журнале нежелательных адресов, тестирование таблиц базы данных. В новом обновлении добавлена настройка новых параметров проверки системы и исправлен модуль панели управления.

Представляем новый выпуск самого топового и функционального набора основных инструментов защиты и безопасности RSFirewall! v.2.11.15 для любых сайтов на базе популярной системы Joomla! Данное расширение позволяет легко оптимизировать и и справить ошибки в базе данных, проверять целостность основных файлов вашей системы, обнаружение известных вредоносных программ и отражение хакерских атак, ограничить установки новых расширений, выполнить ручное сканирование всех файлов и контроль сайта с помощью активного сканера. В новой версии исправлены ошибки с поиском IPv6 и отображением флага рядом с IP-адресами.

Вышел новый релиз одного из топовых компонентов безопасности и защиты RSFirewall! v.2.11.14 поддерживаемый проекты на базе  Joomla! 3. Обновленная версия расширения дополнена последними известными уязвимостями и исправлена ошибка Fatal Error при изменении защищенного пользователя. Компонент позволяет быстро протестировать и оптимизипровать таблицы базы данных, уведомлять о новых выпусках, задействувать режим блокировки сайта (предотвращает новые установки), делать ручное сканирование файлов на наличие нежелательного кода, защищает от всех видов взломов и делает постоянный контроль активным сканером.

jmbest.ru

Защита сайта joomla 2.5 от взлома | Lawans.ru

Хотите оперативно получать новые уроки и статьи блога LAWANS.RU. Просто введите ВАШ e-mail на форме справа >>>

Привет Всем!

Как и обещал, начинаю серию статей по защите сайтов под управлением CMS Joomla 2.5 от взлома.

В последнее время популярность CMS Joomla растет быстрыми темпами и соответственно растёт внимание всяких кул хакеров к сайтам, на которых она установлена. Поэтому данной проблеме решил посвятить серию статей.

Мы будем рассматривать комплексный подход к данной проблеме, т.е. будем подходить к защите с разных сторон. В данном посте я дам общие рекомендации по настройке и соблюдению некоторых правил.

А защита начинается уже перед установкой CMS Joomla 2.5 на хостинг.

1. ВАЖНОЕ ЗАМЕЧАНИЕ! Скачивать дистрибутивы CMS Joomla 2.5 необходимо с официальных сайтов. На них заведомо нет вирусов или паразитных (внешних) ссылок в архиве  дистрибутива.Внешние ссылки встраиваются для продвижения своих сайтов непорядочными веб-мастерами. Представьте, если на сайт зайдут даже несколько сотен человек и скачают такой  дистрибутив, то сайт, на который будут вести эти встроенные ссылки после установки его на хостинг бесплатно обогатится десятками или даже сотнями ссылающихся на него сайтами, тем самым они повысят его рейтинг в поисковых системах. А для вашего сайта при этом не будет никакой пользы, а скорее наоборот. Кстати это относится и к шаблонам! В следующих постах мы рассмотрим процедуру поиска таких ссылок.

Далее идёт процесс установки CMS Joomla 2.5  и вот здесь также необходимо сделать некоторые манипуляции по защите, а именно:

2. Изменить (придумать свой) префикс для таблиц в базе данных. На этапе установки это сделать гораздо проще, нежели потом. На этапе установки это можно сделать в окне Конфигурация базы данных.

Смена префикса у таблиц

Нам просто нужно ввести свой префикс таблиц, а не тот который предлагает нам установщик. Таким образом, злоумышленник не будет знать наши названия таблиц в базе и делать так называемые SQL инъекции, о которых мы поговорим позже.

Если CMS Joomla 2.5 уже установлена, то смена префикса довольно проблематична, хотя и осуществима, однако рассчитана на более опытного пользователя. Для этого нужно будет  сменить префикс в админке:

префикс в базе

А далее, в через оснастку Phpmyadmin на хостинге сменить префикс и у таблиц в базе (вручную). Однако перед этим следует сделать резервную копию базы! Есть наверняка скрипт, который сможет это сделать автоматом, но на просторах инета я его не нашёл.

3. Также на этапе установки, а можно и после неё необходимо задать сложный пароль на вход в админку. В самой админке это можно сделать по пути Пользователи – Менеджер пользователей. Далее выбрать пользователя в группе Super Users (кстати, желательно чтобы  пользователь из такой группы был один, т.е. один админ на сайте). Я подчеркнул, что необходимо изменить на рисунке, включая и Логин пользователя.

Простые пароли это слабое место на сайте. Используйте пароль, в котором будут присутствовать буквы в верхнем и нижнем регистре, цифры, символы, старайтесь также почаще производить смену пароля в админку сайта.

смена пароля админа

5. Этап сокрытия типа установленной CMS Joomla 2.5.  Довольно сложно это сделать, так как  опытный взломщик без труда сможет определить, что у вас стоит именно CMS Joomla и даже какой линейки. Всё это видно в коде HTML страницы! К примеру в той секции, где идут пути к css или js файлаv шаблона. Бывает даже сторонние компоненты подключают свои стили или библиотеки. И тут уже явно видно, что стоит CMS Joomla. Линейку косвенно можно определить перейдя например по пути входа в админку  – имя_сайта/administrator/ ведь если стоит шаблон админки по умолчанию, то по внешнему виду можно отличить линейка 1.5.х. или 1.6-1.7-2.5 перед нами. Можно конечно сменить шаблон админки (но это кому как удобнее). Также косвенно можно определить линейки 1.5.х. или 1.6-1.7-2.5 набрав в браузере имя_сайта/?tp=1

В старых версиях CMS Joomla сразу отобразятся позиции модулей на сайте (там эта опция зашита и нам её не выключить без некоторых манипуляций). В линейке 1.6-1.7-2.5 эта опция по умолчанию выключена и если она не работает на сайте, то можно сделать вывод, что перед нами новая линейка (так как в старой линейке она должна работать в любом случае, если конечно не сделаны какие-либо хаки, что редко бывает)

В этом же пункте я добавлю то, что можно сделать и замену favicon (иконку) сайта. Она лежит по пути  – корень сайта/templates/имя_шаблона/ favicon.ico

Вы можете создать свою иконку и положить её по этому пути. А в шаблоне должна присутствовать строка:

<link href="/templates/имя_шаблона/favicon.ico" rel="shortcut icon" type="image/vnd.microsoft.icon" />

Сделать свою favicon можно погуглив по инету и найдя сервис (такие точно есть) по их созданию.

6. Использование файла .htaccess. Необходимо переименовать файл htaccess.txt, который лежит в корне сайта CMS Joomla в .htaccess.

7. Резервирование данных. Обязательно делайте резервные копию баз данных и самих файлов CMS Joomla . Это можно делать средствами самой  CMS Joomla , по этому поводу можете прочитать мои поcты тут, тут и вот тут. Или можно это делать средствами самого хостера. И если даже сайт взломают, у вас всегда будет его актуальная версия. Идеально, если делать резервные копии каждый день!

 8. Удаление неиспользуемых расширений. Часто бывает так , что установленное расширение больше не требуется или устарело. Тогда лучше всего просто удалить его. Оставляйте только самое необходимое. Желательно перед установкой нового расширения сначала протестировать его на тестовом сайте. Просто по иронии судьбы, может случиться так, что именно в таком расширении взломщики найдут уязвимость. Ведь основная часть взломов сайта происходит как раз через сторонние расширения. И также, не забывайте следить за своевременным обновлением как самой CMS Joomla так и сторонних расширений.

9. Включение URL (ЧПУ) на сайте. Подробнее об этом было в одном и моих постов и ещё тут. Во-первых эта мера позволит поднять рейтинг сайта  в поисковой системе, а во-вторых затруднит его взлом!

10. Отключение FTP в CMS Joomla 2.5. Это делается также на этапе установки CMS Joomla , но можно эту настройку поглядеть и по пути в админке Общие настройки- Сервер:

отключаем ftp

Всё должно быть отключено и никаких данных о имени пользователя и пароле НЕ ДОЛЖНО БЫТЬ!

Вот основные настройки и рекомендации, которых следует придерживаться владельцам сайтов с установленной CMS Joomla 2.5

В следующем посте будем рассматривать тему вирусов на сайтах, как предотвратить их появление на сайте, как их искать и как бороться с последствиями.

Может быть, у Вас есть ещё какие-то общие рекомендации для защиты CMS Joomla 2.5 от взлома? Пишите в комментариях!

У ВАС ведь есть ТЕЛЕФОН? Или mp3-player? А может даже планшет, ноутбук или игровая консоль!Хочется, чтобы он был необычным и уникальным? Заходите к нам – мы поможем.    Tweet   

Похожие статьи

lawans.ru

Как защитить сайт на joomla 3 (джумла)

Как защитить сайт на Joomla

От автора: приветствую Вас дорогой друг. В данное время все чаще в интернете Вы можете видеть информацию о том, что некоторый сайт был взломан злоумышленниками. И действительно, сегодня популярность интернета просто огромная и соответственно пользователи посещая страницы, не просто просматривают информацию на конкретных страницах, а выполняют определенные действия — покупают товары, обмениваются неким контентом, проводят финансовые транзакции, что конечно же привлекает внимание злоумышленников. А значит, в данной статье мы поговорим о том, как защитить сайт на joomla.

CMS Joomla пользуется огромнейшей популярностью среди разработчиков и конечно же активно развивается, о чем свидетельствуют регулярные обновления движка. При этом она считается достаточно безопасной системой, но так как это CMS с открытым исходным кодом, так или иначе, злоумышленники находят и будут находить различные слабые места, то есть уязвимости системы, благодаря которым сайт можно взломать. Но в данной статье о уязвимостях мы с Вами говорить не будем, потому как зачастую причиной взлома сайта – оказываются неправильные действия его владельцев, на чем собственно я хотел бы и остановиться.

Хотел бы отметить, что опытные пользователя вряд ли найдут в данной статье для себя, что ни будь полезное, так как информация ориентирована на новичков и рассматривать мы будем, по сути, простейшие основы, соблюдая которые можно значительно повысить безопасность Joomla.

Теперь давайте немного поразмыслим и попробуем определить наименее защищенную часть сайта, то есть ту которую злоумышленники попытаются взломать. И скорее всего Вы догадались, что это либо панель администратора, либо часть сайта, где можно добавить определенные данные. И, конечно же, первый вариант более предпочтителен, так как получив доступ к админке, злоумышленник сможет полностью управлять контентом сайта. При этом наиболее распространенный способ взлома панели администратора – это простой подбор пароля. В этом случае хакер путем подбора паролей пытается авторизироваться на сайте. Конечно, таких попыток будет огромное количество и поэтому самостоятельно, то есть вручную, он это делать не будет — всю работу, за него, выполнит специальная программа. К тому же, если заранее известен логин администратора, задача значительно упрощается.

При этом не трудно догадаться, что чем сложнее пароль входа, тем больше попыток нужно сделать при переборе, а это дополнительное время и ресурсы. Но к сожалению и к счастью хакеров, множество пользователей и владельцев сайтов, даже не задумываются об этом, что приводит к созданию очень простых паролей типа: 12345, parol, admin, 0000 и т.д. Замете, что пароли подобного рода, подбираются практически мгновенно, что конечно же влечет за собой довольно плачевные последствия. То же самое касается логина пользователя – не нужно использовать стандартные строки – типа admin, administrator, user и т.д.

Хотите узнать, как создать собственный шаблон на CMS Joomla с нуля

Получите бесплатную пошаговую авторскую систему, которая научит Вас с полного нуля создавать уникальные шаблоны на движке Joomla – с неповторимым дизайном

Узнать подробнее

Таким образом, первое что следует ответить на вопрос как защитить админку joomla 3 – это придумать сложный пароль и нестандартный логин. Что касается логина, то тут каких либо общепринятых правил нет, главное что бы логин не был из числа приведенных выше, не совпадал с Вашим именем и именем почтового ящика, которое указано на сайте.

Но к выбору пароля, нужно подойти более ответственно. Не стоит в качестве пароля выбирать дату своего рождения или некоторое имя, или же любое реальное слово. Потому как, хороший пароль, должен состоять минимум из шести символов и при этом — это должны быть буквы большого и малого регистров, цифры и желательно символы. То есть, по сути мы как бы расширяем диапазон символов, которые будут участвовать в переборе.

Согласитесь рекомендации довольно просты, но соблюдая их Вы значительно повысите безопасность Вашего сайта.Так же для защиты от перебора пароля, можно установить дополнительное расширение, которое ограничит количество неверных попыток авторизации, к примеру — Brute Force Stop.

Как защитить сайт на Joomla

После установки необходимо активировать только что установленный плагин.

Как защитить сайт на Joomla

Далее указать количество разрешенных неверных попыток авторизации и время блокировки пользователя.

Как защитить сайт на Joomla

И последнее что касается вопроса как защитить сайт джумла – это правильное разделение прав, особенно если на сайте несколько пользователей имеют доступ в панель администратора. Потому как каждый дополнительный пользователь – это дополнительные логин и пароль, которые можно использовать для перебора. Соответственно если у одного из них слабый пароль, злоумышленник может взломать его и получить доступ к закрытому разделу. Поэтому тщательно определяйте права пользователей Вашего сайта и закрывайте доступ к тем действиям, которые ему не нужны или же он их не выполняет. К примеру, если пользователь только публикует материалы, то у него должен быть доступ только к менеджеру материалов и по большому счету все, то есть все остальные компоненты должны быть закрыты. Более того, пользователь с правами суперадминистратора, должен быть всего один, так как только он может изменить данные входа для данной группы.

Вот собственно и все, что я хотел сказать Вам в данном уроке, теперь Вы знаете как защитить сайт joomla 3.

Конечно, в данной статье, по сути я привел всего лишь одну простейшую рекомендацию и над 100% безопасностью Вашего сайта еще работать и работать, но все же соблюдая ее, Вы сделаете очень уверенный шаг по защите веб-проекта в целом.

Более подробно тема работы с пользователями и их правами показана в курсе Joomla-Мастер. С нуля до премиум шаблона. Всего Вам доброго и удачного кодирования!!!

Хотите узнать, как создать собственный шаблон на CMS Joomla с нуля

Получите бесплатную пошаговую авторскую систему, которая научит Вас с полного нуля создавать уникальные шаблоны на движке Joomla – с неповторимым дизайном

Узнать подробнее

Joomla-Профессионал: создание расширений для Joomla

Научись с полного нуля создавать компоненты, модули и плагины Joomla!

Научиться

webformyself.com

JomDefender - защита сайта Joomla

Рейтинг:   / 0

JomDefender - отличный, простой в использовании плагин для защиты вашего сайта на CMS, созданный для предотвращения от разрушительных атак хакеров. JomDefender имеет все необходимые функции для укрытия деятельности сайта Joomla и действия всех мер по защите сайта.

Часто сайты Joomla по всему миру подвержены разным нападкам хакеров, которые удаляют страницы сайта, важные данные с сайта, внедряют разные вредоносные скрипты, получают конфиденциальную информацию о ваших клиентах. В большинстве случаях хакерские атаки стоят владельцам своих сайтов множество часов на восстановление сайта, в том числе и финансовых. А в уникальных случаях, восстановление сайта может быть невозможным.

Плагин JomDefender будет защищать веб сайт Joomla от самых распространенных хакерских атак, которые были найдены. Плагин JomDefenderв добавляет необходимые защитные меры для сайтов Joomla. Плагин легок в установке и легко настраивается для использования. JomDefender скрывает все известные идентификаторы Joomla. Имеется функция, которая позволит найти оптимальные конфигурации для веб сайта, для оптимизации загрузки страниц.

Ожидайте: сек.

JomDefender - защита сайта Joomla

JomDefender - отличный, простой в использовании плагин для защиты вашего сайта на CMS,...

Скачать бесплатно

Добавить комментарий

fileone.ru

Плагины защиты Joomla: Admin Tools, jSecure, RSFirewall

Плагины защиты Joomla (часть 2)

 

В предыдущей статье «Защита Joomla (часть 10). Компоненты защиты Joomla» я начал рассмотрение представленных в каталоге расширений Joomla средств, которые помогут Вам защитить Ваш сайт от взлома. В данной статье будут рассмотрены такие категории как: «Защита входа» и «Защита сайта».

Обратите особое внимание на категорию «Защита сайта». Так как в ней собраны наиболее функциональные расширения. Они помогут Вам обеспечить наиболее высокую степень защиты сайта от взлома по различным векторам.

Защита входа

В предыдущих статьях «Защита Joomla (часть 3, 4, 8)» я уже затрагивал вопросы обеспечения безопасности, связанные с защитой соединения и входа на сайт и в его административную зону. Ниже приведён ряд расширений, которые помогут Вам в решении данных тем.

AdminExile

AdminExile позволяет Вам скрыть доступ к административной зоне сайта путём необходимости добавления «ключа» к адресу. Если «ключ» не введён или введён неверно, то пользователь будет перенаправлен на главную страницу сайта.

Например, доступ к административной части сайта можно получить по адресу: http://demo16.richeyweb.com/administrator. Но при использовании AdminExile адрес можно сменить на: http://demo16.richeyweb.com/administrator?adminexile. Где «adminexile» и есть тот самый «ключ». «Ключ» не может состоять только из цифр.

Encrypt configuration

Компонент шифрования соединения с сайтом для предотвращения «прослушивания» по аналогии с SSL. Этот компонент - альтернатива SSL. Он использует RSA, чтобы зашифровать пароли или любые другие данные, при передаче по сети от браузера к серверу. Совместим со стандартной регистрацией Joomla и такими расширениями как: Alpha Registration, Community Builder, Core Design Login Module, Yoo Login, YJ Pop Login Module.

Backend Token

Backend Token - это системный плагин, который позволяет скрыть доступ к административной зоне сайта путём необходимости добавления «ключа» к адресу.

Secure Authentication

Плагин, который позволяет скрыть доступ к административной зоне сайта путём необходимости добавления «ключа» к адресу. Особенности:

jSecure

Компонент jSecure позволяет скрыть доступ к административной зоне сайта путём необходимости добавления «ключа» к адресу. Особенности:

Более подробную информацию Вы можете прочитать в моих статьях «Обзор jSecure Authentication. Защита админки Joomla», «Обзор jSecure Authentication 3. Защита админки Joomla» и «Обзор jSecure Lite. Защита админки Joomla».

OSE Anti-BruteForce™ plugin

Плагин, позволяющий предотвратить подбор логина и\или пароля к административной части сайта путём блокировки пользователя после определённого количества неудачных попыток входа. При этом пользователю будет отослано уведомление на адрес электронной почты о том, что его аккаунт заблокирован.

yKhoon Block Failed Login

Компонент, позволяющий предотвратить подбор логина и\или пароля путём блокировки пользователя (или его IP адреса) после определённого количества неудачных попыток входа. Блокировка снимается после определённого времени. Расширение работает как для фронтальной, так и для административной части сайта. Все действия будут занесены в системный журнал. Особенности:

DisableLogin

Плагин, позволяющий предотвратить подбор логина и\или пароля к административной части сайта путём блокировки пользователя после определённого количества неудачных попыток входа.

Admin Shield

Плагин, который позволяет скрыть доступ к административной зоне сайта путём необходимости добавления «ключа» к адресу. Возможность блокировки пользователя на определённое время после нескольких неудачных попыток подбора «ключа».

yKhoon Lock Account

Расширение, позволяющее предотвратить подбор логина и\или пароля путём блокировки пользователя после определённого количества неудачных попыток входа. Как только учётная запись будет заблокирована, то на указанный при регистрации адрес электронной почты будет отослано уведомление о попытке подбора пароля. В письме будет указана вся необходимая информация для возобновления учётной записи. При входе на сайт пользователю будет предложено сперва вести его старый пароль, а затем ввести новый. Все данные будут сохраняться в системном журнале для возможности анализа администратором. Особенности:

yKhoon Advanced Lock Account

Расширение, позволяющее предотвратить подбор логина и\или пароля путём блокировки пользователя после определённого количества неудачных попыток входа. Как только учётная запись будет заблокирована, то на указанный при регистрации адрес электронной почты будет отослано уведомление о попытке подбора пароля. В письме будет указана вся необходимая информация для возобновления учётной записи. При входе на сайт пользователю будет предложено сперва вести его старый пароль, а затем ввести новый. Все данные будут сохраняться в системном журнале для возможности анализа администратором. У администратора есть возможность «вручную» активировать учётную запись пользователя. Особенности:

Login One!

Плагин, который предотвращает множественный вход пользователя (для фронтальной и административной части сайта). Например, один и тот же пользователь может войти на сайт, используя одну и ту же учётную запись с нескольких компьютеров. Login One! позволит предотвратить такую ситуацию. Для супер администраторов можно настроить множественный вход. Плагин поддерживает нидерландский, английский и немецкий языки для фронтальной части сайта и английский для административной.

Защита сайта

В данной категории собраны наиболее функциональные расширения. Некоторые из них объединяют в себе такие функции как защита от атак в режиме реального времени, антивирусный сканер, предотвращение несанкционированного доступа к административной части сайта, скрытие следов Joomla и многое другое.

Admin Tools Professional

Многофункциональное расширение. Особенности:

Admin Tools

В каталоге расширений Joomla данное расширение отмечено как «Популярен». Особенности:

Это бесплатный компонент. Для него нет технической поддержки. Но форум и документация – бесплатные.

OSE Anti-Hacker™ for Joomla!

Многофункциональный компонент защиты сайта от взлома в режиме реального времени. Особенности:

1. Двойная система брандмауэра, обеспечивающая три слоя защиты:

Слой 1: На основании сигнатур наиболее распространённых методов взлома.

a) «Поверхностный» просмотр, при обнаружении попыток взлома атакующий IP адрес будет заблокирован.

Слой 2: Система обнаружения инструкций. Блокирует весь входящий вредоносный код и попытки взлома на уровне сети, приложения и системы.

a) Сканирование и мониторинг всех URL, полей форм, значений файлов Cookies.

b) При обнаружении попыток взлома атакующий IP адрес будет заблокирован.

c) При обнаружении подозрительных действий относительно форм или файлов Cookies они (действия) будут пресечены.

Слой 3: Система «чёрных» HTTP адресов. Блокировка замеченных в атаках IP адресов на основании базы данных.

a) Система проверяет все IP адреса, которые подключаются к сайту на их присутствие в чёрном списке в режиме реального времени. Если таковы будут найдены, то их доступ к сайту будет заблокирован.

2. Два типа реакций:

a) Запрет, почтовое уведомление администратора сайта.

b) Регистрация события в журнале, почтовое уведомление администратора сайта.

3. Защита полей форм. Предотвращение XSS атак.

4. Возможность использования «белого списка» IP адресов.

5. Поддержка поисковой оптимизации.

6. Уведомления на адрес электронной почты системного администратора.

Marco's SQL Injection

Плагин обеспечения защиты от SQL инъекций и LFI. Особенности:

RSFirewall

Многофункциональный компонент защиты сайта от взлома в режиме реального времени. Особенности:

Детальнее о RSFirewall Вы можете прочитать в статье «Обзор RSFirewall (часть 1, 2)».

 

OSE Anti-Virus™ for Joomla!

Антивирусный сканер на Ajax для обнаружения и удаления вредоносного кода у Вас на сайте. Особенности:

jomDefender

jomDefender - многофункциональный плагин для защиты сайта и скрытия следов Joomla. Особенности:

jHackGuard

Плагин для защиты сайта от SQL инъекций, удалённых URL/File включений, Remote Code Executions и XSS атак в режиме реального времени. Не требует дополнительной настройки.

Incapsula

Плагин для работы Вашего сайта с сервисом Incapsula. Сервера Incapsula анализируют весь входящий трафик на Ваш сайт, выявляя в нём вредоносный код, блокируя доступ к сайту. Это поможет защитить сайт от сложных SQL инъекций, спама и так далее. Также сервис Incapsula позволяет увеличить скорость загрузки Вашего сайта.

OSE Secure™ plugin

Плагин OSE Secure обеспечения базовой защиты сайта от взлома. Особенности:

Bot-Trap

Защита сайта от ботов. Для работы необходима регистрация на сайте bot-trap.de.

RVS PasswordChecker

Добавляет индикатор надёжности пароля в поле ввода пароля при регистрации пользователя.

UserCrypt

Плагин для шифрования таких данных как, имя пользователя, пароль и адрес электронной почты. Шифрование происходит на уровне базы данных.

Ещё один компонент, который содержит в своём арсенале функции защиты, описан в статье «Обзор sh504SEF. ЧПУ Joomla».

В следующей статье будут рассмотрены такие подкатегории расширений для защиты сайта от взлома как: «Капча», «Менеджер паролей», «Защита от спама», «Защита электронной почты», «Мониторинг сайта».

Похожие материалы

 

Полезные ссылки:

aleksius.com


Prostoy-Site | Все права защищены © 2018 | Карта сайта