Статьи

Як захистити сайт на Joomla від злому

  1. Найбільш поширені методи злому сайтів
  2. Що може привести до злому
  3. Помилки адміністрування сайту
  4. Як захистити сайт на Joomla
  5. Використання складного пароля і логіна
  6. Змінюємо адресу доступу до адміністративної панелі
  7. Обмеження доступу по IP
  8. Змініть права доступу
  9. Установка плагінів і розширень
  10. Перейменуйте файл htaccses.txt
  11. Перенесіть логи і тимчасові файли
  12. Оновлення CMS
  13. Використання FTP
  14. Використання компонентів Захисту

Злом сайтів на популярному движку Joomla далеко не рідкість. Ламають школярі, ламають хакери, ламають скриптами вручну і автоматично. Але якщо все так погано, що можна зробити для захисту нашого сайту. Цілі злому можуть бути абсолютно різні, але найпопулярніше:

  1. Для розваги і тестування скриптів і додатків знайдених в інтернеті. У цій категорії переважають школярі і початківці, які поспішають випробувати спосіб злому знайдений на форумі.
  2. Для розміщення посилань і лівого контенту. Це найпопулярніша мета злому. На ваш сайт віддалено включають текст, який раніше називали порятунком - це набір фраз і пропозицій, які максимально відповідають запитам що просувається зловмисниками сайту. Деякі чорно-рукіе сеошникі вірять, що такий спосіб допоможе просунути їх ресурс. Тут переважає автоматичний спосіб злому.
  3. Атаки на замовлення конкурентів. Конкуренція у нас далеко не зовсім чесна, а якщо ще ваш сайт дорогий тематики (Бізнес, Банки, Страхування і нерухомість, медицина), обов'язково знайдуться заздрісники, які бажають вас посунути.
  4. І багато іншого…

Найбільш поширені методи злому сайтів

Відразу варто зауважити, що дані методи використовують не тільки для злому сайтів на Joomla, але і на інших CMS.

  1. Ddos атаки. Ddos = distributed denial of service = розподілена атака типу «відмова в обслуговуванні». Cуть атаки - в тому, що атакується машині надсилається безліч запитів, які вона не в змозі обробити. Ефект в даному випадку - «чесні» користувачі не можуть до неї підключитися через велике навантаження, як максимум - вихід машини з ладу. Слово «розподілена» означає, що атака проводиться одночасно з великої кількості комп'ютерів (як правило - заражених вірусом, що дає зловмисникові якийсь контроль над ними, т. Н. Зомбі-мережа).
    Тепер простою мовою: Масовий пінг (відсилання пакетів) на зазначений ip-адрес.Пріводіт до перевантаження і відключення сервера.Простейшая атака на сервер. Часто використовується для аварійного перезавантаження і отримання контролю над сервером з віддаленого комп'ютера.
  2. Ін'єкції: Найбільш грізним і поширеним способом злому сайту є ін'єкції.
    Можливість успішної експлуатації ін'єкцій на сайті в 99% випадків призводить до його взлому.RCE - Remote code execution. Віддалене виконання коду на сервері.
    PHP - ін'єкції. Виконання довільного PHP коду.
    SQL - ін'єкції. Впровадження довільного коду в SQL запит.
    XPath - ін'єкції. Впровадження довільного коду в XPath запит.
  3. Інклуд: Не менш грізний і поширений спосіб злому сайту - це інклуд.
    Можливість успішної експлуатації будь-якого інклуд на сайті в 100% випадків приведе до його злому. RFI Remote file include. Включення віддаленого файлу.
    LFI - Local file include. Підключення, виконання або читання локальних файлів на сервері.
    PHP include. Включення віддаленого PHP файлу.
  4. Клієнтські атаки. Атаки на адміністраторів і відвідувачів сайту Дуже популярний спосіб злому сайту - це атаки на клієнта, в браузері жертви.
    Один з найбільш практикуються способів злому сайту.
    Обумовлений тим, що клієнтським атакам (наприклад XSS) схильні більше 75% всіх сайтів в світі. XSS атака. Сross Site Sсriрting - міжсайтовий скриптинг.
    CSRF атака. Сross Site Request Forgery - підробка міжсайтових запитів.
    Фішинг атака. Fishing - Фішинг атака - підробка сторінок сайту.

Fishing - Фішинг атака - підробка сторінок сайту

Що може привести до злому

Некоректна публікація сайту на сервері. Помилки публікації.

Некоректна публікація сайту на сервері є грубою помилкою розробників і адміністраторів ресурсу, часто призводить до його злому.
До таких помилок, що безпосередньо впливають на безпеку сайту є:

  • Відкриті директорії з системними файлами.
  • Відкритий доступ і можливість виконання системних файлів, що взаємодіють з файлової системою або базами даних.
  • Системні архіви, бекапи сайту, що знаходяться у відкритому доступі.
  • Файли дампа баз даних у відкритому доступі.
  • Відкритий доступ до .svn або .git індексних файлів.

Помилки адміністрування сайту

Нерідко адміністратори сайту встановлюють короткі і примітивні паролі до адмінок, на зразок 123qwerty.
Такі паролі елементарно підбираються зловмисниками за допомогою спеціальних програм.

Недбалість адміністраторів сайту, що мають доступ до FTP та адміністративної панелі, нерідко призводить до злому сайту.

Троянська програма відправлена ​​поштою, нібито забута ким - то, а насправді спеціально залишена зловмисником заражена вірусами флешка на столі у адміністратора сайту можуть привести до його злому.

А тепер детальніше ...

Як захистити сайт на Joomla

Як захистити сайт на Joomla

Використання складного пароля і логіна

Нерідко адміністратори сайту встановлюють короткі і примітивні паролі до адмінок, на зразок 123qwerty. Такі паролі елементарно підбираються зловмисниками за допомогою спеціальних програм. А якщо при цьому ще використовується логін «amin», злом доступу займає лічені хвилини.

Логін і пароль повинні містити обов'язково прописні і заголовні букви, цифри і символи.

Не намагайтеся прописувати російські слова кирилицею такі паролі так само прості для підбору.

Змінюємо адресу доступу до адміністративної панелі

Використовуючи нескладний код або плагін можна змінити встановлений за замовчуванням адреса адмінки Joomla http: // mysait / administrator - це допоможе відфільтрувати зловмисників, які промишляють методом підбору.

Для зміни адреси можна використовувати плагін jSecure Lite, заповнивши поле Key ви створюєте унікальну адресу входу в адміністративну частину вашого сайту http: // mysait / administrator /? Key.

Key

Обмеження доступу по IP

Якщо у вас статичний IP можна налаштувати доступ в адмін-панель тільки з вашого IP-адреси. Для цього потрібно заборонити доступ до папки administrator з будь-якого IP, крім вашого. Щоб це зробити, створюємо файл .htaccess в папці administrator. У нього заносимо такий текст:

order deny, allow
allow from xxx.xx.xxx.xx
deny from all

де «xxx.xx.xxx.xx» - це IP-адреса, з якого можна зайти в адмін-панель.

Якщо вам потрібно прописати ще додаткові IP адреси, копіюємо allow from xxx.xx.xxx.xx і прописуємо їх. Виглядати буде так.

order deny, allow
allow from xxx.xx.xxx.xx
allow from xxx.xx.xxx.xx
deny from all

Змініть права доступу

Встановіть на всі папки права доступу 755, а на всі файли 644, крім файлу configuration.php - на нього 444. Варто зауважити, що встановлюючи на файл configuration.php права 444 ви можете обмежити установку розширень через Адмін панель. При установці деяких плагінів і компонентів може видавати помилку. Вирішується це тимчасової зміною прав на файл.

Важливий момент! Деякі хостинги рекомендують використовувати свої рекомендовані права на папки, наприклад 700. Таке правило ніяк не загрожує безпеці вашого сайту навіть навпаки, підвищує його безпеку і безпеку інших ваших сайтів лежать на одному дисковому просторі.

Установка плагінів і розширень

Встановлюйте плагіни і розширення, в тому числі і шаблони, тільки з перевірених джерел. Не рідко саме вони і служать воротами на ваш сайт для зловмисників.

Обов'язково видаляйте приховані зовнішні посилання з шаблонів - вони можуть служити маячками для програм автоматичного злому.

Як видалити вшиті посилання з шаблону

Перейменуйте файл htaccses.txt

Використовуйте .htaccess замість htaccses.txt. Ця рекомендація розробників Joomla актуальна ще з версії 1.0.

Перенесіть логи і тимчасові файли

Перенесіть папки тимчасових файлів (tmp) і лого (logs) за межі public_html. Для цього, у файлі configuration.php знайдіть рядки (в нашому прикладі справжні шляхи замінені на букви англ. Алфавіту):

var $ log_path = '/ home / xxxx / yyyyyy / zzzz / logs /';
var $ tmp_path = '/ home / xxxx / yyyyyy / zzzz / tmp /';

і впишіть туди нове місце розташування папок. Після цього перемістіть ці папки в зазначену директорію.

Оновлення CMS

Слідкуйте за новими версіями Джумли і постійно оновлювати її. Це дуже важливо, тому що розробники випускають патчі для усунення вразливостей.

Не використовуйте для створення сайтів Joomla 1.5, 1.7, 2.5 - так як вони вже не підтримуються розробниками. А робочих способів злому 1.5 і 1.7 в інтернеті набагато більше. ніж рекомендацій захисту.

Використання FTP

FTP з'єднання на даний момент є вразливим, так як дані передаються в незашифрованому вигляді і можливий їх перехоплення. Якщо файловий менеджер хостинг провайдера за швидкістю і функціоналу не блищить, то використовуйте SFTP - дані в цьому випадку передаються в зашифрованому форматі, що забезпечить безпеку ваших даних.

Використання компонентів Захисту

Використання компонентів Захисту

Обов'язково використовуйте компоненти для захисту сайту. Для Joomla краще себе зарекомендував RSFirewall. Компонент дійсно допомагає зробити наш сайт недоступним для зловмисників.

Основні особливості RSFirewall !:

  1. Вбудовані фільтри, що запобігають SQL, PHP, LFI і XSS уразливості;
  2. Функціональний сканер сайту, перевіряючий встановлені права на папки і останні зміни файлів;
  3. Вбудований системний журнал, що фіксує всі спроби злому сайту;
  4. Можливість захисту спеціальним паролем всієї папки адміністратора;
  5. Можливість блокування IP - адрес, з яких намагаються отримати доступ до адмін панелі сайту;
  6. Автоматичне включення каптчі при неодноразової несанкціонованої спробі входу в адмін панель;
  7. Посилати повідомлення на електронну пошту про всіх атаках і спробах злому адмін панелі;
  8. Функція перевірки таблиць баз даних з можливістю їх відновлення через опцію виправлення / оптимізації;
  9. Повідомлення в адмін панелі сайту про нові способи захисту сайтів через вбудований RSS - канал;

Це дійсно дуже потужний компонент для захисту вашого сайту. Встановлений і налаштований RSFirewall захистить від 98% всіх відомих способів злому.

На деяких з моїх сайтів, які далеко не блищать високою відвідуваністю RSFirewall відловлює 5-10 спроб віддаленого включення в день, але бувають дні коли набагато більше. А якби на моїх сайтах відвідуваність вище - напевно і спроб було б в рази більше.

Якщо ви переглядаючи журнал RSFirewall випадково заблокуєте свій IP адреса, єдиним виходом буде зайти через проксі сервера або іншого IP. Раджу все використовувані вами IP вписувати в Білий список, що б уникнути подібних ситуацій.

Вас можуть зацікавити:

Новости