Последнее время сильно увеличилось количество взломов и атак на Joomla CMS. В связи с этим мы решили дать несколько советов нашим клиентам.
Больше всего взломов происходит по нескольким причинам.
1) Устаревшая версия Joomla.
Проверьте версию Joomla в админке и сравните ее с последней актуальной версией. Проверить последнюю актуальную версию можно на сайтах:
http://joomlaportal.ru/ – в колонке справа
и на англоязычном сайте: http://www.joomla.org/download.html
Стоит отметить, что сейчас есть фактически три основных ветки Joomla: 1.5, 2.5 и 3.1
Версия 1.5 Joomla уже не поддерживается и соотвественно не обновляется. Если у вас версия этой ветки, то вам всерьез стоит задуматься над переходом на Joomla 2.5 в ближайшее время.
По этому вопросу есть хорошая статья на украинском языке: Как обновить Joomla 1.5 на 2.5
Версии 2.5 и 3.1 поддерживают автоматическую проверку обновлений и обновления прямо через админку, тут главное следить за этим и вовремя выполнять обновления.
2) Устаревшая версия компонентов.
Также стоит внимательно следить за версиями компонентов Joomla, так как через старые версии компонентов также происходит много взломов.
В Joomla 2.5 и 3.1 проверять наличие обновления компонентов можно автоматически. Правда стоит отметить, что это работает только для тех компонентов, авторы которых предусмотрели такую возможность.
Также можно проверять новые версии по каталогу http://extensions.joomla.org/. Для проверки – просто вбейте в поиск каталога расширений название вашего компонента.
Компонентом, через который чаще всего взламывают сайты является JCE. Его стоит проверить в первую очередь. Также внимательно проверьте настройки загрузки файлов в этом компоненте.
Проверить последнюю версию JCE можно тут: http://extensions.joomla.org/extensions/edition/editors/88
3) Перебор паролей к админке Joomla.
Это наиболее частая атака за последнее время. И даже если у вас сложный пароль и сайт не взламывают, то огромное количество запросов к странице /administrator дает большую нагрузку и может сильно замедлить работу сайта.
Вывод: нужно закрывать или прятать страницу /administrator
Как это сделать?
- С помощью .htaccess. Если у вас статический айпи адрес, то можно закрыть вход в админку для всех, кроме вашего айпи, прописав в файле .htaccess такие строчки
Order Deny,Allow
Deny from all
Allow from 1.2.3.4 ;
Где 1.2.3.4 – ваш айпи адрес. Посмотреть свой айпи можно тут: http://internet.yandex.ru/
Это правило закрывает доступ к админке со всех айпи адресов, кроме вашего.
Сам файл .htaccess должен находится в папке /administrator/
Этот способ работает лучшего всего, если атака ботов дает нагрузку на сайт, так как при использовании других способов ботам все равно будет выдаваться страничка сайта, пусть и не для входа в админку.
- С помощью плагина Jsecure Lite. Плагин ставится предельно просто, а в настройках мы задаем ключевое слово, которое будет добавляться к ссылке на админку /administrator. Всех кто будет заходить по прямому адресу /administrator – будет перекидывать на главную страничку сайта, так как если бы странички /administrator не сущесвовало.
- C помощью плагина AdminExile – у него больше настроек, чем у предыдущего плагина, но принцип работы в целом такой же. После его установки и настройки попадать в админку нужно будет по адресу вида /administrator?key где key – секретный ключ, который вы сами указываете в настройках плагина.
