Обсуждение Защита сайтов на Joomla

[binh]

Неплохо защищает сайт плагин jomdefender (платный). Он не только препятствует прямому доступу к админке(сначала нужно ввести пароль на форме, где не отображаеться результат если неправильно ввести пароль), а также убирает такую штуку, как ?tp=1 что сразу выдает движок и его шаблон. Также убирает Генератортаг джумлы. Вобщем вот несколько параметров:

Remove template positions
Remove generator tag php
Remove generator tag qp
Remove word Joomla!
Remove white space
Check login/logout referrer

Remove Joomla! PHP header
Replacement header text

Admin Password Prompt
Password
Allow/Deny IPs
List of IPs

 

[Kon Dou]

Ну, jomDefender не столько защищает, сколько хвосты заносит, помогая скрыть следы системы от ботов и совсем уж начинающих эээ... хацкеров ))
Включение опций, типа Remove word Joomla!, требует тестирования и может привести к неработоспособности некоторых компонентов, в частности, JComments (только вчера успешно поборол).
Но как четвертый в связке с RSFirewall!, jSecure и Error 404 и при грамотной настройке, частью функций весьма полезен.

 

[Lounge]

Из личного опыта с jomDefender:
Remove white space - почему-то не заработал.
Остальные функции, как то: /?tp=1, убрать все теги генерирующие название Joomla и заменять текст на свой, защищать директории паролем, перенаправлять пользователей а также блокировать их по ip адресу - работают отлично!

Вопросы по другим плагинам:
Вот еще пару плагинов нашел:
jHackGuard – плагин для защиты Joomla сайтов от SQL инъекций, отдалённых URL / файл включений, удалённого исполнений кода и XSS атак.
Marco's SQL Injection - Данный плагин добавляет защиту от SQL инъекций и LFI атак с помощью проверки данных, передаваемых на Joomla и блокирует все хакерские атаки.

* Фильтры запросов POST, GET и блоков, SQL-инъекции / LFI
* Уведомляет по электронной почте
* Белый список безопасных компонентов

кто-нибудь с ними сталкивался, стоит оно того?

ГЛАВНЫЙ ВОПРОС:
Нашел сие чудо Akeeba Admin Tools

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

Бесплатная версия скромна по своему функционалу, а вот платная, судя по описанию, это ЧТО-ТО! Все в одном и решение всех проблем
Кто сталкивался, впечатления, отзывы, может есть возможность поделиться :nevin:

 

[melitrom]

Интересный список рекомендаций по безопасности нашел, погуглив:

• Выбирайте надёжный хостинг с хорошей технической поддержкой и репутацией.
• Организуйте надёжное и постоянное создание резервных копий сайта.
• По максимуму ограничьте права доступа к файлам и папкам пользователям.
• Используйте возможности настройки сервера при помощи .htaccess файла для повышения безопасности сайта.
• Отключите Register Globals и включите Safe Mode.
• Используйте выделенный IP адрес для Вашего сайта.
• Уберите файл конфигурации Joomla (configuration.php) за пределы папки public_html.
• Используйте SSH-доступ к сайту.
• Используйте SSL-сертификаты.
• Делайте «зеркало» сайта на другом хостинге.
• Настройте ведение логов.
• Обновляйте Joomla и сторонние расширения до самых последних версий.
• Скройте стандартный путь доступа к панели управления сайтом на Joomla.
• Ограничьте доступ по IP адресу к административной панели сайта, FTP и панели управления хостингом.
• Уберите «следы» того, что сайт сделан на Joomla.
• Используйте расширения для защиты сайта Joomla от взлома.
• Используйте безопасные пароли. Храните их в зашифрованном виде.
• Используйте токен для аутентификации на сайте.
• Используйте уникальный префикс для базы данных сайта.
• Используйте ЧПУ.
• Обеспечьте круглосуточную поддержку и модерацию Вашего сайта.
• Чётко разграничьте права доступа для всех пользователей и групп.
• Организуйте оповещения администратора сайта на электронную почту и телефон о важных (с точки зрения безопасности) событиях на сайте.
• Не устанавливайте ненужные Вам расширения. Пользуйтесь «надёжными» расширениями и шаблонами сайта, загруженных с официальных ресурсов их разработчиков.
• Используйте капчи и «системы автоматической фильтрации спама».
• Необходимо обеспечить безопасность загружаемых пользователями файлов с\на сайт.
• Не допускайте заражение вирусами Вашего локального компьютера, с которого Вы работаете с сайтом.
• Проведите аудит безопасности Вашего сайта, включающий анализ кода.
• Постоянно тестируйте свой сайт.
• Проверяйте свой сайт на наличие вредоносного кода.
• Отслеживайте рейтинг своего сайта в «репутационных системах».
• Храните в тайне информацию о системе управления контентом, её версии и о сторонних расширениях.
• Информируйте пользователей о том, что сайт был взломан.
• Читайте новости по безопасности.
• Решите, нужна ли Вам регистрация пользователей.

 

[mmag]

Интересный список рекомендаций по безопасности нашел, погуглив:

Если все это вручную выполнять для сайта с десятками тысяч файлов от разных расширений с разными требованиями к доступу. Большая работа получится. Лучше уж автоматика типа рс фаервол.

 

[binh]

Вопросы по другим плагинам:
Вот еще пару плагинов нашел:
jHackGuard – плагин для защиты Joomla сайтов от SQL инъекций, отдалённых URL / файл включений, удалённого исполнений кода и XSS атак.
Marco's SQL Injection - Данный плагин добавляет защиту от SQL инъекций и LFI атак с помощью проверки данных, передаваемых на Joomla и блокирует все хакерские атаки.

Практически весь функционал перечисленных плагинов имеет sh404sef:
Blocked attacks count
mosConfig var in URL
Base64 injection
Script injection
Illegal standard vars
remote file inclusion
IP address denied
User agent denied
Too many requests (flooding)
Rejected by Project Honey Pot
По крайней мере мне бы было самому интересно узнать про реальные взломы джумлы последних версий с включенным sh4f04se и правильно выставленными правами:
на файл конфигурации выставляем - 444
php файлы – 644
прочие каталоги – 755

 

[dmx]

Уберите файл конфигурации Joomla (configuration.php) за пределы папки public_html.

Так и всю папку Administrator за public_html , если ничего править больше ненадо. Работоспособность не гарантирую.
Чисто теоретически.

 

[binh]

Сообщение от melitrom
Уберите файл конфигурации Joomla (configuration.php) за пределы папки public_html.

Так и всю папку Administrator за public_html , если ничего править больше ненадо. Работоспособность не гарантирую.
Чисто теоретически.

Не всё так просто configuration.php, его нужно не только убрать, т.к. ничего работать не будет(откудого брать данные про пользователя и пароль подключения к БД джумле). Нужно сделать следующее:
Копируем всё содержимое configuration.php, вставляем в configuration.php следующий код:

<?php

require( dirname( __FILE__ ) . '/../myconf.conf' );

?>

вот теперь за пределами public_html создаём файл напр. myconf.conf и вставляем в него всё то, что было в configuration.php.
Папку Administrator не вынесешь, проще на нее поставить пароль на доступ.

 

[dmx]

Удалил вообще папку Administrator - всё работает.

 

[Kon Dou]

Удалил вообще папку Administrator - всё работает.

А ну удалите вообще папку с сайтом - может, тоже произойдет чудо и все будет и дальше работать?