Киев, просп. Победы 33, оф. 59
Почта: 03087, а/я 86, ТОВ "Тутхост"
+380 (44) 332 3050
☎ Перезвоните мне
support@tuthost.ua
24/7 поддержка по email

Как повысить безопасность Joomla?

Последнее время сильно увеличилось количество взломов и атак на Joomla CMS. В связи с этим мы решили дать несколько советов нашим клиентам.

Больше всего взломов происходит по нескольким причинам.

1) Устаревшая версия Joomla.

Проверьте версию Joomla в админке и сравните ее с последней актуальной версией. Проверить последнюю актуальную версию можно на сайтах:
http://joomlaportal.ru/ — в колонке справа
и на англоязычном сайте: http://www.joomla.org/download.html 

Стоит отметить, что сейчас есть фактически три основных ветки Joomla: 1.5, 2.5 и 3.1

Версия 1.5 Joomla уже не поддерживается и соотвественно не обновляется. Если у вас версия этой ветки, то вам всерьез стоит задуматься над переходом на Joomla 2.5 в ближайшее время.
По этому вопросу есть хорошая статья на украинском языке: Как обновить Joomla 1.5 на 2.5 

Версии 2.5 и 3.1 поддерживают автоматическую проверку обновлений и обновления прямо через админку, тут главное следить за этим и вовремя выполнять обновления.

2) Устаревшая версия компонентов.

Также стоит внимательно следить за версиями компонентов Joomla, так как через старые версии компонентов также происходит много взломов.
В Joomla 2.5 и 3.1 проверять наличие обновления компонентов можно автоматически. Правда стоит отметить, что это работает только для тех компонентов, авторы которых предусмотрели такую возможность.

Также можно проверять новые версии по каталогу http://extensions.joomla.org/. Для проверки — просто вбейте в поиск каталога расширений название вашего компонента. 

Компонентом, через который чаще всего взламывают сайты является JCE. Его стоит проверить в первую очередь. Также внимательно проверьте настройки загрузки файлов в этом компоненте.
Проверить последнюю версию JCE можно тут: http://extensions.joomla.org/extensions/edition/editors/88

3) Перебор паролей к админке Joomla.

Это наиболее частая атака за последнее время. И даже если у вас сложный пароль и сайт не взламывают, то огромное количество запросов к странице /administrator дает большую нагрузку и может сильно замедлить работу сайта.

Вывод: нужно закрывать или прятать страницу /administrator
Как это сделать?

  • С помощью .htaccess. Если у вас статический айпи адрес, то можно закрыть вход в админку для всех, кроме вашего айпи, прописав в файле .htaccess такие строчки
    Order Deny,Allow
    Deny from all
    Allow from 1.2.3.4 ;
    Где 1.2.3.4 — ваш айпи адрес. Посмотреть свой айпи можно тут: http://internet.yandex.ru/
    Это правило закрывает доступ к админке со всех айпи адресов, кроме вашего.
    Сам файл .htaccess должен находится в папке /administrator/
    Этот способ работает лучшего всего, если атака ботов дает нагрузку на сайт, так как при использовании других способов ботам все равно будет выдаваться страничка сайта, пусть и не для входа в админку. 
  • С помощью плагина Jsecure Lite. Плагин ставится предельно просто, а в настройках мы задаем ключевое слово, которое будет добавляться к ссылке на админку /administrator. Всех кто будет заходить по прямому адресу /administrator — будет перекидывать на главную страничку сайта, так как если бы странички /administrator не сущесвовало.
  • C помощью плагина AdminExile — у него больше настроек, чем у предыдущего плагина, но принцип работы в целом такой же. После его установки и настройки попадать в админку нужно будет по адресу вида /administrator?key где key — секретный ключ, который вы сами указываете в настройках плагина.

 Общие вопросы  
Всего 0 Голосов:
0

Tell us how can we improve this post?

+ = Verify Human or Spambot ?