Четверг, 10 Мая 2012 14:00

Тринадцать советов для улучшения безопасности CMS Joomla

 securityblue 6471
С ростом популярности CMS Joomla, она стала привлекать все больше хакеров, что не удивительно. Не паникуйте. Существует целый ряд способов, для укрепления безопасности сайта на Joomla и превращения его в неприступную крепость. В этой статье описано, как защититься от наиболее распространенных атак.

Популярность Joomla продолжает расти, так как Joomla - это CMS с открытым исходным кодом, все больше и больше людей и предприятий всех размеров полагаются на эту платформу, в создании интернет-представительства. Joomla имеет в своем распоряжении более 8600 расширений, что позволяет ей воплощать практически любые задумки клиента. Добавьте к этому надежные сообщества разработчиков и вот он - привлекательный продукт. Такая популярность привлекает злоумышленников.

Существуют много видов хаков и атак, которые плохие парни могут использовать для проникновения или нанесения вреда вашему сайту. По большей части, правильно настроенный экземпляр Joomla на сервере примерно так же безопасен, как любое другое готовое интернет-решение. Так почему же Joomla имеет репутацию одного из уязвимых проектов с открытым исходным кодом? Чтобы ответить на этот вопрос достаточно посмотреть в зеркало.

Инфраструктура настолько безопасна, насколько безопасно ее самое слабое звено, как оказалось подавляющее большинство проблем безопасности, не связанны с кодом ядра Joomla. Большинство проблем безопасности, вытекают из устаревших версий Joomla или небезопасных сторонних расширений.

Перед администратором сайта стоит сложная задача по обеспечению безопасности CMS, обновлению и развитию сайта.

Следующий список поможет вам улучшить безопасность вашего сайта.

1. Серверы и хостинг

Самый важное - это выбор хостинга и сервера. Многие ошибки сервера могут быть связаны с устареванием самих серверов, открытыми портами и слабым хостингом. Даже если ваш сайт на хостинге настроен правильно, он по-прежнему может быть взломан через другой небезопасный сайт на общем сервере. Если ваш хостинг имеет проблемы с базовыми конфигурациями серверов, то вам следует поискать новый хостинг. Таким образом, шаг 1 - это убедиться, что вы используете безопасный хостинг, и что вы в курсе текущих патчей серверов.

Разместите сайт на сервере, который работает на PHP 5.2 или выше и в CGI-режиме с Su_PHP. ИТ-менеджеры также должны гарантировать правильные настройки в файлах .Htaccess, serverconfig и php.ini.

2. Включение и использование Htaccess файла

По умолчанию файл Htaccess не используется. Убедитесь, что вы переименовали его из Htaccess.txt в .Htaccess. Затем он должен быть размещен в корневой папке. Вы можете также добавить некоторые правила к нему, чтобы не допустить распространенных атак. Вы можете найти указания о том, что именно изменить в Htaccess файле здесь. Это позволит добавить дополнительный уровень защиты для вашей системы.

3. Учетные записи пользователей и права доступа

Убедитесь, что на все ваши файлы установлены права (CHMOD) 644, а на папки 755. Есть некоторые исключения из этого правила, как configuration.php, который будет с правами (CHMOD) 640. Убедитесь, что ничего не будет установлено в 777.

По умолчанию административное имя пользователя "admin". Вы должны изменить его на что-то другое. Это усложнит хакеру работу.

4. Резервное копирование и управление инцидентами

Найдите время построить план управления инцидентами до того как ваш сайт взломают, найдите время составить план действий на случай взлома сайта. Делайте резервное копирование как можно чаще, желательно ежедневно, чтобы быть уверенным, что вы сможете восстановить ваш сайт без значительных простоев или потери данных при его взломе. Это позволит вам сосредоточиться на реальной проблеме, а именно на причине взлома и уязвимом месте сайта.

5. Осторожное управление расширениями

Расширения сторонних разработчиков зачастую делают ваш сайт уязвимым для хакерских атак. Каждое расширение - это еще один элемент, за которым необходимо следить: обновлять, устанавливать патчи и т.п. Именно по этой причине, важно устанавливать только расширения, которые вам необходимы. Чтобы быть защищенным, необходимо принять следующие меры:

  1. Сделайте проверку кода каждого расширения, которое вы используете
  2. Запустите тест пакета и просмотр результатов
  3. Обновляйте или пропатчивайте расширение, по мере необходимости

Помните, что даже небезопасное расширение может обрушить весь сайт.

6. Удалите внутренние номера версии

Часто, эксплойты являются специфическими для конкретной версии расширения. Поэтому лучше будет удалить номера версий всех установленных расширений, это может сорвать атаку злоумышленников.

7. Удаление неиспользуемых файлов

Сколько раз вы устанавливали расширение, а затем пропадала необходимость в его использовании. Вы вряд ли обращаете внимание на них, а это может привести к уязвимости в будущем. Нужно не просто снимать с публикации расширение, необходимо удалять их полностью.

8. Защита паролем

Слабым местом при взломе часто являются легкие пароли. Создайте пароль, который использует цифры, прописные и строчные буквы и символы, если это возможно и меняйте его каждые 30 дней.

Ваша база данных содержит все важные данные. Убедитесь, что доступ к базе данных защищен паролем на уровне MySQL. Попробуйте использовать инструменты, такие как Nikto или NMap, чтобы сканировать вашу систему на наличие слабых сторон. Эта информация поможет поднять безопасность базы данных.

Защита паролем административной зоны Joomla на уровне папок. Пароль защиты на папке добавляет дополнительный уровень безопасности. Это должно быть другое имя пользователя и пароль, отличный от ваших данных на входе в Joomla. Это приведет к тому, чтобы администраторы сайта должны будут авторизоваться на сайте дважды, но такова цена безопасности.

9. Изменение префикса таблиц по умолчанию

Большинство SQL инъекций пытаются получить доступ к таблице базы данных "jos_users". Как только хакеры получают доступ к этому файлу, у них на руках оказываются все имена пользователей и пароли, в том числе данные супер администратора. Использование другого имени может предотвратить большинство атак на базы данных.

Чтобы быть в безопасности, это можно сделать в процессе установки Joomla. Если вы этого не сделали, и вы используете Joomla 1.5, вы можете использовать компонент DB admin. Если вы используете Joomla 1.6 и не вносили изменения в процессе установки, то реализовать это гораздо сложнее.

В других версиях Joomla, в том числе в Joomla 1.7, во время установки используются случайные имена таблиц, чтобы парировать эти типы атак.

10. Использование SSL сертификатов

На вашем сайте должен использоваться SSL сертификат. Только знайте, что вы должны правильно настроить SSL сертификат для домена вашего сайта, или вы не сможете включить SSL в Joomla, не прибегая к дополнительным манипуляциям.

11. Выключение FTP в Joomla

FTP должен быть выключен в любом случае, многие серверы используют вместо него Suexec, так что он не так полезен, как это было раньше. Отключите FTP в Joomla и убедитесь, что он не хранит ваши данные для входа.

12. Отключите register_globals

Выключите Register Globals - но имейте ввиду, что это может отключить некоторые скрипты, и может повлиять на другие программы, которые использует ваш сайт для работы. Для этого вам просто нужно отредактировать файл php.ini в корневом каталоге вашего сайта.

13. Дружественные URL

Всегда используйте дружественной поисковой системе URL. Это не только поможет вашему рейтингу в Google, но это будет препятствовать хакерам в поиске эксплойтов с помощью поисковика Google и других инструментов.

Будьте осторожны

Есть целый ряд вещей, которые вы должны поддерживать и обновлять регулярно. Вы не можете просто установить сайт и забыть. Чтобы оставаться на вершине, нужно знать ваш сайт и быть в курсе последних обновлений и расширений, а также чистить его время от времени.  

Ссылка на источник

Последнее изменение Четверг, 10 Мая 2012 15:44
Бесплатные консультации по созданию и продвижению
сайтов, тем кто зарегистрируется в хостинге www.timeweb.ru указав партнерский ID 4496

10 лет опыта в создании и продвижении сайтов.

Подробнее информация по телефону:

8 (905) 778-52-44

(Билайн Москва)

и в скайпе nportalru

В закладки

Мы в социальных сетях

button_play_red sna_twitter sna_vkontakte sna_facebook
©2010-2012 Документация Joomla CMS: компоненты joomla, шаблоны joomla, joomla 2.5, обучение joomla