Останнім часом сильно збільшилася кількість зломів та атак на Joomla CMS. У зв’язку з цим ми вирішили надати кілька порад нашим клієнтам.
Найбільше зломів відбувається через кілька причин.
1) Застаріла версія Joomla.
Перевірте версію Joomla в адмінці та порівняйте її з останньою актуальною версією. Перевірити останню актуальну версію можна на сайтах:
http://joomlaportal.ru/ – у колонці праворуч
та на англомовному сайті: http://www.joomla.org/download.html
Варто відзначити, що зараз є фактично три основні гілки Joomla: 1.5, 2.5 та 3.1
Версія 1.5 Joomla вже не підтримується і не оновлюється. Якщо у вас версія цієї гілки, то вам варто задуматися над переходом на Joomla 2.5 найближчим часом.
З цього питання є хороша стаття українською мовою: Як оновити Joomla 1.5 на 2.5
Версії 2.5 та 3.1 підтримують автоматичну перевірку оновлень та оновлення прямо через адмінку, тут головне стежити за цим та вчасно виконувати оновлення.
2) Застаріла версія компонентів.
Також варто уважно стежити за версіями компонентів Joomla, тому що через старі версії компонентів відбувається багато зломів.
У Joomla 2.5 та 3.1 перевіряти наявність оновлення компонентів можна автоматично. Щоправда, варто зазначити, що це працює тільки для тих компонентів, автори яких передбачили таку можливість.
Також можна перевіряти нові версії за каталогом http://extensions.joomla.org/ . Для перевірки – просто вбийте у пошук каталогу розширень назву вашого компонента.
Компонентом, через який найчастіше зламують сайти є JCE. Його варто перевірити насамперед. Також уважно перевірте параметри завантаження файлів у цьому компоненті.
Перевірити останню версію JCE можна тут: http://extensions.joomla.org/extensions/edition/editors/88
3) Перебір паролів до адмінки Joomla.
Це найчастіша атака останнім часом. І навіть якщо у вас складний пароль та сайт не зламують, то величезна кількість запитів до сторінки /administrator дає велике навантаження та може сильно уповільнити роботу сайту.
Висновок: потрібно закривати або ховати сторінку /administrator
Як це зробити?
- За допомогою .htaccess. Якщо у вас статична айпі адреса, то можна закрити вхід до адмінки для всіх, крім вашого айпі, прописавши у файлі .htaccess такі рядки
Order Deny,Allow
Deny from all
Allow from 1.2.3.4;
Де 1.2.3.4 – ваш адрес айпи. Подивитися свій айпі можна тут: http://internet.yandex.ru/
Це правило закриває доступ до адмінки з усіх адрес айпи, крім вашого.
Сам файл .htaccess повинен знаходитись у папці /administrator/
Цей спосіб працює найкраще, якщо атака ботів дає навантаження на сайт, так як при використанні інших способів ботам все одно видаватиметься сторінка сайту, нехай і не для входу в адмінку.
- За допомогою плагіну Jsecure Lite . Плагін ставиться гранично просто, а в налаштуваннях ми задаємо ключове слово, яке додаватиметься до посилання на адмінку /administrator. Всіх хто заходитиме за прямою адресою /administrator – перекидатиме на головну сторінку сайту, оскільки якби сторінки /administrator не існувало.
- За допомогою плагіна AdminExile – у нього більше налаштувань, ніж у попереднього плагіна, але принцип роботи загалом такий самий. Після його встановлення та налаштування потрапляти в адмінку потрібно буде за адресою виду /administrator?key, де key – секретний ключ, який ви самі вказуєте в налаштуваннях плагіна.
