У цій статті ми описуємо основні кроки, які можуть допомогти вам зробити ваш сайт на Joomla більш безпечним і уникнути його злому. Звичайно, ми не можемо гарантувати, що ваш сайт буде на 100% захищеним після виконання цих кроків, оскільки навіть найбільш захищені сайти (такі як Facebook) можуть бути зламані. Тим не менш, ми радимо дотримуватися рекомендацій у цій статті, щоб бути на безпечній стороні.
Примітка! Ми настійно рекомендуємо перевірити загальні рекомендації з безпеки, оскільки вони не будуть згадані в цій статті. Вони застосовні для всіх сайтів, незалежно від використовуваної CMS. Ця стаття описує рекомендації спеціально для безпеки Joomla CMS.
Як захистити сайт, створений на Joomla?
1. Оновлення
Не забувайте регулярно оновлювати вашу CMS. Новіші версії є більш захищеними, оскільки всі раніше знайдені вразливості зазвичай виправлені.
2. Модулі безпеки
Більшість наступних кроків можна виконати автоматично за допомогою модулів безпеки. Однак, ці модулі в основному платні. Тим не менш, ці модулі мають багато різних функцій, включаючи повідомлення електронною поштою про спроби несанкціонованого доступу. Найпопулярніші модулі безпеки Joomla - це RSFirewall! та Admin Tools.
3. .htaccess
Швидше за все, файл htaccess.txt буде створено автоматично. Вам потрібно перейменувати його на .htaccess і налаштувати його належним чином, щоб захистити ваш сайт. Інструкції можна знайти в базі знань провайдера хостингу.
4. Обмеження IP-адреси для входу
Обмежте доступ до адміністративної зони за IP-адресою. Щоб заблокувати всі IP-адреси, крім однієї, потрібно ввести наступний текст у файл .htaccess:
order deny,allow
allow from xxx.xx.xxx.xx
deny from all
xxx.xx.xxx.xx слід замінити на IP-адресу, яку ви використовуєте для входу в панель адміністратора (або на ту, яку не слід обмежувати).
Після цього лише користувачі, які входять за допомогою вказаної IP-адреси, матимуть доступ до папки адміністратора.
5. Сторонні розширення
Не завантажуйте підозрілі сторонні розширення. Ми рекомендуємо завантажувати їх лише з офіційного сайту, оскільки Joomla сама по собі є досить безпечною CMS, однак хакери можуть отримати доступ до вашого сайту через розширення або модулі. Наприклад, ви встановлюєте модуль обговорення. Хакер може вставити шкідливий код замість коментаря або вкладення і отримати доступ до даних вашого сайту. У випадку, якщо ви вже встановили сторонні розширення, ми рекомендуємо їх видалити.
6. Дозволи на файли
Встановіть наступні значення дозволів: 755 - для папок і 644 - для всіх файлів, крім configuration.php. Останній повинен мати 444 як значення дозволу.
7. Ім'я користувача супер адміністратора
Не використовуйте 'admin' як ім'я користувача супер адміністратора. Створіть складне і неочевидне ім'я користувача.
8. Увімкніть SEF
Увімкнення SEF (дружніх до пошукових систем) посилань не є дуже ефективним способом захисту вашого сайту, але все ж варто спробувати.
9. Налаштування PHP
Вимкніть наступні налаштування PHP: register_globals, safe_mode, allow_url_fopen і allow_url_include. Також увімкніть функції disable_functions і open_basedir. У випадку, якщо неможливо змінити вищезгадані налаштування через панель управління хостингом, зверніться до служби підтримки провайдера хостингу, щоб перевірити, чи можуть вони увімкнути/вимкнути ці каталоги.
10. FTP
Видаліть всі дані FTP. Для цього натисніть на Система, виберіть Глобальна конфігурація і натисніть на вкладку Сервер.
11. Тривалість сесії
Переконайтеся, що значення тривалості сесії становить 10-15 хвилин. Ви можете змінити налаштування сесії в меню Система, вибравши Глобальна конфігурація. Після натискання на неї виберіть вкладку Система.
12. Переміщення файлу конфігурації
Якщо це можливо, краще видалити файл configuration.php з публічної папки (зазвичай, public_html). Для цього виконайте наступні кроки:
a) Скопіюйте файл configuration.php і вставте його в будь-яку іншу папку за межами public_html (наприклад, у папку, яка знаходиться на один рівень вище в ієрархії файлів).
b) Знайдіть файли /includes/defines.php і /administrator/includes/defines.php, а потім знайдіть рядок, що містить у них.
define( 'JPATH_CONFIGURATION', JPATH_ROOT );
c) У цьому рядку вам потрібно вказати нове розташування файлу configuration.php. Наприклад, якщо ви переміщаєте файл з public_html у папку під назвою 'test', яка знаходиться на один рівень вище папки public_html, рядок повинен виглядати так:
define( 'JPATH_CONFIGURATION', JPATH_ROOT.DS.'..'.DS.'test' );
d) Перемістіть файл configuration.php у нову папку і видаліть його зі старої.
e) Зверніть увагу, що ви більше не зможете змінювати конфігурацію системи через панель адміністратора Joomla. Відтепер вам потрібно буде редагувати файл configuration.php безпосередньо.
13. Логи та тимчасові файли
Ми рекомендуємо видалити тимчасові (tmp) та лог-файли з папки public_html. Для цього знайдіть наступні рядки у файлі configuration.php (ми замінили реальний шлях до файлу літерами):
var $log_path = '/home/xxxx/yyyyyy/zzzz/logs/';
var $tmp_path = '/home/xxxx/yyyyyy/zzzz/tmp/';
Після знаходження, відредагуйте існуючі шляхи (вкажіть шлях до нової директорії) і потім скопіюйте тимчасові та лог-файли у нову папку.
14. Префікс бази даних
Змініть префікс бази даних за замовчуванням. Тут ви можете знайти детальні інструкції. Якщо ви не дуже обізнані з принципами роботи бази даних, краще не вносити жодних змін самостійно (модулі безпеки, описані в пункті 2, будуть кращим варіантом). Цей метод може частково захистити ваш сайт від SQL-ін'єкцій, наприклад, він може запобігти доступу хакера до облікових даних для входу в панель адміністратора (з таблиці jos_users). Тим не менш, щоб бути повністю захищеним від SQL-ін'єкцій, ми рекомендуємо використовувати модулі безпеки (пункт 2).
15. Резервні копії
Для безпеки рекомендується робити резервні копії кожен день. Якщо у вас немає можливості робити їх так часто, принаймні зробіть резервну копію вашого сайту перед зміною будь-яких налаштувань або встановленням нового плагіна чи модуля.
16. Сканування на віруси
Скануйте ваші сайти на віруси принаймні раз на два тижні і особливо після встановлення нового плагіна або модуля.
17. SSL-сертифікати
Існує багато компаній, що пропонують SSL-сертифікати, такі як Comodo, Symantec або Let’s Encrypt. Останній зазвичай пропонується хостинговими компаніями безкоштовно. Для того, щоб увімкнути SSL-сертифікат, потрібно відредагувати відповідні налаштування в панелі управління хостингом і у файлі configuration.php наступним чином:
Знайдіть директиву live_site і введіть
$live_site = ‘https//yourdomain.tld’;
Переконайтеся, що після домену НЕМАЄ слеша.
Встановіть значення force_ssl на ‘2’. Це означатиме, що як сайт, так і його панель адміністратора будуть доступні лише через протокол https.
Якщо у вас є будь-які пропозиції щодо безпеки сайту Joomla, не соромтеся залишати їх у розділі коментарів, і ми з радістю додамо їх до статті. Також зверніть увагу, що впровадження будь-яких з вищезгаданих заходів безпеки може вплинути на продуктивність вашого сайту. Тому переконайтеся, що ви зробили резервну копію вашого сайту перед внесенням будь-яких змін.
