Защита сайта на Joomla

Как защитить сайт на Joomla?

В каждой новой версии Joomla разработчики уделяют много внимания безопасности. Например, в версии Joomla 2.5 степень защищенности на порядок выше, чем в Joomla 1.5. Но сайты на движке 1.5 еще будут долго и исправно работать, поэтому владельцам этих сайтов стоит уделять больше внимания для защиты от взлома.
Для обеспечения полноценной защиты сайта на движке Joomla необходимо позаботиться о следующих действиях.

1) Регулярно устанавливать обновления Joomla и расширений. Перед обновлением расширения обязательно сделайте резервную копию;
2) Удалить или отключить расширения, которые вы не используете;
3) Необходимо правильно выставить права доступа на папки и файлы По умолчанию права доступа на папки установлены 755, права на файлы – 644. Эти атрибуты можно посмотреть через FTP клиент. Для настроенного сайта рекомендуется устанавливать следующие атрибуты:
— файлы в корневом каталоге – 444;
— папки – 700;

Исключения составляют папки cache, logs, tmp, administrator/cache. На эти каталоги оставляем права доступа 755. Это необходимо для того, чтобы была возможность обновлять Joomla и устанавливать новые расширения. 777 – это максимальные права доступа, их устанавливать не следует.

4) Своевременно очищать папку с временными файлами;
5) Изменить данные администратора и префиксы таблиц. Для контроля данных администратора и изменения префикса таблиц существует расширение Admin Tools. Скачать данное расширение можно с сайта www.akeebabackup.com/products/admin-tools.html

Перевод вкладок Admin Tools в Joomla 1.5:

Secyrity – безопасность;
Emergency Off-Line – аварийный режим. С помощью этой кнопки можно заблокировать доступ к сайту для всех пользователей, за исключением своего IP-адреса. После нажатия кнопки «снять с интернета» в корне сайта формируется файл .htaccess, который блокирует доступ со всех IP-адресов, кроме своего собственного (с которого осуществляется управление сайтом). Родной файл .htaccess переименовывается. Эту кнопку рекомендуется использовать, когда на сайт осуществляется атака. Для разблокировки сайта удаляем сформированный .htaccess и восстанавливаем старый.
Master password – главный пароль;
Access Control – контроль доступа;
Password-protect Administrator – защита администратора паролем;
Database table prefix editor – редактор приставок таблиц базы данных. При нажатии на нее появляется надпись красным цветом, в которой говорится, что с безопасностью у нас проблема. Нужно изменить стандартную приставку таблиц jos. Нажимаем «Cange my prefix» для изменения приставок таблиц. Но это лучше всего делать на локальном хостинге перед переносом базы данных на основной хостинг. Для Joomla 2.5 префиксы таблиц можно не менять.;
Super Administrator ID – ID супер администратора. Стандартный ID администратора – 62. Его нужно изменить. В Joomla 2.5 его можно не менять.
Tools – инструменты
Permissions Configuration – настройка прав. В Джумла 1,5 вкладка «изменить права на файлы и папки» работает не корректно. 
Fix Permissions – отладка прав доступа (нажав на эту кнопку выставляем права по умолчанию);
SEO and Link Tools – инструменты SEO и ссылки; 
Clean Temp Directory – очистить папку tmp. При очистке папки TMP оставляем файл index.html;
Chenge Database Collation – изменить кодировку знаков базы данных. Эта кнопка применяется, если после переноса базы данных на хостинг неправильно отображаются знаки (шрифт). В этом случае нажатием на эту кнопку исправляем кодировку. 
Repair & Optimise tables – отремонтировать и оптимизировать таблицы. Эту опцию рекомендуется запускать регулярно.
Purge Sessions – очистить сессии. Эта кнопка пока не нужна.

Защиту админ-панели можно осуществить при помощи закрытия доступа через Апач. Для этого заходим в Admin Tools, выбираем «защита администратора паролем», вводим login и password. Следует обратить внимание на то, что бывает хостинг не поддерживает эту функцию.
Второй способ защиты админ-панели – использование плагина Secure. Он переименовывает папку Administrator.

Рекомендации при выборе хостинга.
1) Выбирать VPS – это виртуальный выделенный сервер;
2) Обратить внимание на наличие качественной поддержки;
3) Использование выделенного IP-адреса

Минимальные версии программного обеспечения, которые должны быть установлены на сервере:
— PHP – 5.2.6 и выше (лучше 5.3);
— My SQL – 5.0.4 и выше;
— Apache – 2.x и выше.
При настройке PHP нужно выключить: Register_globals= off, Safe mode= off. 

Необходимо периодически проводить мониторинг сайта. Это позволяет отслеживать жизнь и доступность сайта. Один из бесплатных сервисов – это Яндекс-метрика. Для добавления этого сервиса добавляем счетчик. 

Существуют платные сервисы мониторинга сайтов. Один из них www.ping-admin.ru . У этого сервиса есть рейтинг хостингов.

Яндекс Вебмастер проверяет сайты на вирус. При появлении вируса сервис уведомляет об этом пользователя. 
Вот основные правила обеспечения безопасности вашего сайта.

Метки записи: