Securitatea site-urilor pe joomla sau modul de a trata virușii pe site - Palych Studio

Am vrut mult timp să scriu un articol despre securitatea site-urilor de pe Joomla. În ultima vreme, hacking site-uri pe Joomla, și nu numai pe ea. Orice CMS este compromis (de exemplu: Se detectează o vulnerabilitate periculoasă în pluginurile de cache pentru WordPress). Metodele de infectare sunt întotdeauna aceleași: infectează site-urile cu viruși troieni, instalând backdoors. Cu aceasta puteți lupta și pur și simplu. Există o serie de soluții de securitate pentru site-urile de pe Joomla. Deci, vom discuta.







Securitatea site-ului pe Joomla trebuie împărțită în părți:

  1. Configurați .htaccess.
  2. Configurarea serverului web Apache.
  3. Drepturile sistemului de fișiere.
  4. Actualizați Joomla CMS.
  5. Eliminarea extensiilor Joomla neutilizate.
  6. Actualizarea extensiilor Joomla.
  7. Nu utilizați extensii de extensie.
  8. Instalarea extensiilor de securitate.
  9. Parole complexe în contul administratorilor.
  10. Crearea paginii.

Secure server / hosting configurație

Aceasta este cea mai importantă parte, Mulți constructori de site-uri nu se întreabă siguranța găzduirii în sine, unde sunt găzduite site-urile. Și aceasta este o concepție greșită. Acest lucru trebuie făcut mai întâi. Toate serviciile de găzduire oferă serviciul ca atare. Numai pe unele site-uri a făcut deja o reglare fină a gazdei / serverului.

Utilizați .htaccess

Distribuția Joomla însăși vine deja cu un fișier .htaccess personalizat. Rămâne doar să îl redenumiți din htaccess .txt la .htaccess. Și începeți configurarea.

Împiedicați executarea fișierelor în rădăcina site-ului

Respingeți accesul la fișierele extensii xml

Blocarea accesului direct la kernel

Această soluție va închide accesul la spate, sporind astfel securitatea site-ului pe Joomla. Din experiența personală, site-ul este adesea infectat cu un backdoor numit FileMan. Cu un apel la distanță, beneficiați de acces complet la sistemul de fișiere, puteți schimba orice fișiere, lăsând în același timp data ultimei modificări, nu cele actuale. Găsiți astfel de backdoors în dosarul modulelor. exemple:

  • /modules/mod_system/mod_system.php
  • /modules/mod_systems/mod_system.php
  • /modules/mod_article/mod_system.php
  • /modules/mod_articles/mod_system.php
  • /modules/mod_articless/mod_system.php

Creați un fișier .htaccess nou. Adăugați o instrucțiune mai mică. Aceasta interzice executarea scripturilor. Adăugați-l la întregul dosar rădăcină al site-ului.

Configurarea Apache

Acum, să continuăm configurarea securității serverului web Apache, procesează codul PHP și returnează codul HTML în browser. De asemenea, trebuie să fie înființată. S-ar putea să existe o serie de dificultăți, deoarece nu toate serverele au acces la fișierul php.ini (stochează configurația Apache). Puteți încerca configurarea prin .htaccess.

Instalați modulul mod_security

ModSecurity este un modul Apache care adaugă capabilități de detectare și prevenire a intruziunilor la serverul Web.

Utilizați PHP versiunea 5.0 și o versiune ulterioară.

Versiunea 4.0 este deja considerată învechită, iar unele funcții sunt considerate nesigure.

Nu vă fie frică să includeți, de exemplu, versiunea 5.3 pentru sucursala Joomla 1.5. CMS va funcționa excelent.







Utilizați php.ini locale

Unele site-uri web vă permit să utilizați propriul fișier de configurare Apache, care este situat la radacina site-ului. Dacă există o astfel de posibilitate, nu ratați.

Configurarea php.ini

Dacă nu puteți configura php.ini, puteți încerca să vă înregistrați în .htaccess.

Permisiuni în sistemul de fișiere

Dacă distribuția Joomla este instalată pe serverul web Apache cu mod_php. atunci toate gazdele virtuale de pe acest server funcționează în același context ca și Joomla. Dacă fișierele aparțin altui utilizator, de exemplu "nimeni" sau "wwwrun", soluția cea mai sigură este să schimbați proprietarul folosind clienți FTP (FilleZill, Total Commander și etc) și să setați permisiunile corecte. Acestea sunt:

Securitatea site-urilor pe joomla sau modul de a trata virușii pe site - Palych Studio

  • Directorul rădăcină este de 750 (de exemplu, public_html)
  • Fișiere 644
  • Directoarele 755 (711 dacă sunteți paranoici, dar nu și pentru directoarele care trebuie să fie listate, de exemplu imagini)

Actualizați Joomla CMS

Un pas foarte important. Trebuie să actualizați sistemul, deoarece dezvoltatorii închid periodic găurile în kernel. De exemplu, ultima construcție pentru 1.5 este 1.5.26. Puteți descărca versiunile de actualizări pe site-ul joomla.org. De asemenea, veți găsi pachete de actualizare pentru versiuni mai noi.

Înainte de actualizare, asigurați-vă că ați făcut o copie de rezervă a întregului site, utilizând instrumentele care furnizează găzduirea sau utilizarea componentei Akeeba Backup.

Eliminarea extensiilor Joomla neutilizate

Multe saitostroiteli au pus în ordine toate extensiile care se găsesc. În cea mai mare parte, toate sunt inutile și au o grămadă de găuri prin care un atacator poate avea acces complet la site sau poate infecta un site cu un virus Joomla. Deci, trebuie să decideți dacă aveți nevoie de un widget de ceas pe site? Este mai bine să eliminați extensiile neutilizate și să lăsați numai pe cele utile.

Actualizarea extensiilor Joomla

Nu utilizați extensii de extensie

Instalarea extensiilor de securitate

Există o serie de extensii utile pentru Joomla, care vor spori considerabil securitatea site-ului dvs. Le voi lista.

  1. Instrumente de administrare - un instrument inteligent pentru securitate reală. În același timp, vă recomand să cumpărați o versiune profesională (costă doar 20 de euro), dar veți obține aproape siguranța maximă. Comparați versiunile
  2. jHackGuard este un plugin interesant de la SiteGround, care vă permite să îmbunătățiți în mod semnificativ securitatea site-ului dvs. HackGuard oferă protecție împotriva acestor tipuri de hacking ca: SQL-injectare, activați la distanță URL / fișiere, execuție cod de la distanță, precum și protecția împotriva XSS-atacuri.
  3. AI-Bolit - Un script (nu o extensie) pentru căutarea de viruși și scripturi malitioase pe site. Instrucțiunea pentru utilizarea sa este în cutie.
  4. Shell și Backdoor Script Finder este un scaner de virus al site-ului, are baze mai avansate decât AI-Bolit.

Parole complexe pentru contul Administrators

Am încrederea că majoritatea site-urilor de pe Joomla pot fi hackate cu ajutorul perechii de admin și a parolelor 1234. Aceasta este o neglijență inadmisibilă. O astfel de parolă cu o autentificare este selectată într-o chestiune de secunde. Dacă întâmpinați dificultăți în generarea de parole complexe, utilizați serviciul pasw.ru.

Crearea paginii "404"

Ei bine, am scris despre acest lucru deja de două ori: Pagina de aterizare 404 și Cum de a crea 404 pagină în Joomla 1.5.xx. Nu doriți să vedeți această pagină plictisitoare:

Securitatea site-urilor pe joomla sau modul de a trata virușii pe site - Palych Studio

Asta e totul. Acești câțiva pași simpli sunt suficienți pentru ca site-ul dvs. să trăiască și să se dezvolte. Securitatea este mai presus de toate.

Ce altceva să citiți pe această temă

Bună, am o astfel de problemă, nu sunt instalate extensii, nu a încercat nici un fel posibil - în orice! Virusul nu a verificat cu adevărat virusul. Site-ul a încercat să se hărțuie de mai multe ori - nu a reușit și nu poate face ce truc murdar au făcut, este posibil? Și mulțumesc pentru informații, site-ul dvs. este în marcajele mele.

$ cat .htaccess | grep Filesmatch
$
În același timp, doar index.php este executat pe rădăcina site-ului

Ce fac greșit?







Pagina anterioară

Pagina următoare

Trimiteți-le prietenilor: