Настройка Joomla

Установка официальной версии Joomla!

Чтобы избежать взлома вашего сайта, поищите на форумах информацию о несовместимых расширениях до перехода на новую версию Joomla. Не тяните с обновлением версии и используйте диагностику Joomla, чтобы убедится, что все файлы установлены правильно.

Изменение имени администратора по умолчанию

Изменение имя администратора установленного по умолчанию. Этот простой шаг эфективно повышает безопасность этой критически важной учетной записи на 50%, изменяя (подбирая) один из двух параметров атакующий может получить доступ. Пароль – это второй парамитер. Меняйте его часто и вовремя.

Защита файлов и каталогов

Повышайте безопасность критического файла configuration.php, переместив его за пределы каталога public_html. 



Убедитесь, что все настраиваемые пути к записям или загружаемым файлам (документы, галереи изображений, кэш) находятся не в папке public_html. Проверьте сторонние расширения, такие как DOCMan и Gallery2 на возможность редактирования пути к записываемой директории.

В настройках администраторской части измените путь к файлам логов. Некоторые расширения используют встроенный JLog класс. По умолчанию логи прописываются в http://yousite/logs. Измените, путь так, что бы он не был доступен из браузера (и не помещайте в /tmp/), или заблокируйте его, используя http аутентификацию. Поскольку мы имеем дело с открытым исходным кодом, злоумышленники могут изучить код стороннего расширения и получить доступ к именам лог-файлов.

 

Настройки админки, изменение пути к папке temp

Если логии и temp изменили путь и PHP open_basedir директива конфигурации установлена, убедитесь, что новые пути подпадают под open_basedir.

В настоящий момент нет простого способа перемещения каталогов Joomla /image и / media. Это происходить потому, что тысячи сторонних расширений находятся в ожиданиинахождения расположение этих каталогов. Лучший вариант это убедиться, что open_basedir правильно настроен для всех учетных записей и пользователей на сервере. Если вы не уверенны, то согласуйте это с вашим хостером.

Настройка файлов и папок

Эта опция не отображается в Joomla. На более старых версиях Joomla: как только ваш сайт настроен и стабилизирован, защитите от записи файлы и папки, изменив каталог разрешения на 755, и права доступа к файлам на 644. Существует особенность в Сайт --> Общие настройки --> Сервер , чтобы установить все папки и права доступа к файлам одновременно. Протестируйте после этого сторонние расширения и внимательно изучите код каждого абонента, который имеет проблемы с такими настройками.

Примечание: в зависимости от расширения вашего сервера, необходимо временно вернуться к более открытым разрешениям при установке обновлений для Joomla. Эта опция не отображается в Joomla, но описывается в исторических целях.

Удаление ненужных файлов

Отключите все дизайнерские шаблоны не нужные на вашем сайте. Никогда не помещайте секретную информацию в файлы шаблона.

Отключите XML-RPC сервер, если он вам не нужен.

Очистка после установки. В процессе установки потребуется удалить каталог установки и все его содержимое.  Сделайте это не переименовывая его. Если вы загружаете файлы на ваш сайт, как сжатые архивы (xxxx.zip например), не забудьте удалить сжатый файл. Проверьте / Temp /, поскольку временные файлы могут остаться там после неудачной попытки установки.

В общем, не оставляйте любые ненужные файлы (сжатые или другие) на общественном сервере. Каждый неиспользованный (и, возможно, давно забытый) файл - это потенциальная угроза безопасности.

Переключение эмуляции Register Globals в положение ВЫКЛ.

 Включите регистрацию эмуляции Register Globals. Хотя этот параметр несколько безопаснее, чем PHP register_globals, вам гораздо лучше установить эти параметры вместе (т.к. они требуются для любого приложения). В предварительной версии Joomla 1.0.13, этот параметр находится в файле globals.php. Начиная с версии 1.0.13, она может быть вообще отключен в админке, под общими параметрами.

Joomla 1.5 и выше, не использует регистр globals, и фактически имеет смарт-код, чтобы устранить эту настройку, даже если она включена на уровне PHP. Заметьте, что хотя это делает Joomla непосредственно более безопасной, любой сервер с включенным регистром globals потенциально уязвим.  Любой хостинг-провайдер, который настаивает, что register globals должен быть включен, невежественный, некомпетентный, если не хуже. Возможно, это достаточно прямолинейно?

 

Установка расширений Joomla!

Резервное копирование перед установкой

Перед установкой расширений, всегда делайте резервную копию файлов вашего сайта и базы данных. Это очень важный аспект:

 

Вы всегда сможете вернуть сайт в предыдущее рабочие состояние.

Поэтому, разумно будет настроить простой и быстрый скрипт резервного копирования, чтобы автоматизировать эту задачу. Если вы не настроили этот процесс заранее, может возникнуть искушение сделать быструю модернизацию без резервного копирования. Это очень развитая тенденция, однако, она является причиной преждевременного выпадения волос, внезапной смены профессии и  даже смерти.

 

Проверка на другие уязвимые места

Большинство уязвимых мест в системе безопасности вызваны сторонними расширениями. Прежде чем устанавливать расширения, проверьте официальный список уязвимых расширений. Этот форум полностью посвящен уязвимости расширений. Стоит подписаться на него.

Загрузка с надежных сайтов

Полностью компетентное и официальное определение "надежного сайта" – это сайт, который уже проверен и которому ВЫ доверяете.

Пользователи остерегайтесь! Проверяйте качество кода

Сторонние расширения существуют на все вкусы по качеству и для любого возраста. Хотя существуют стандарты кодирования в Joomla!, сторонние разработчики не обязаны им следовать. Расширения, перечисленных на официальном сайте Joomla! не проверяются на соответствие, однако, если будет заявлено об уязвимости расширений, они будут удалены из списка, пока не будут исправлены ошибки.

Тест, тест, тест...

Проверьте все расширения на тестовой площадке прежде, чем устанавливать на рабочем сайте. Затем испытайте на рабочем сайте. Не забывайте проверять журналы на наличие динамических ошибок и предупреждений.

Удаляйте ненужные файлы

Удалите все неиспользуемые расширения и дважды проверьте, что соответствующие папки и файлы были на самом деле удалены, удалите скрипты. Обратите внимание, что при удалении, многие сторонние расширения оставляют связанные с ним файлы на вашем сайте, и связанные с ними таблицы баз данных в комплекте с данными. Это либо функции или ошибка в зависимости от того, как вы считаете. Любые файлы, остающиеся на вашем сервере остаются доступными из сети интернет через прямые Url-адреса, такие как http://yousite.com/modules/bad_module.

Избегайте зашифрованного кода

Joomla является (и несмотря на дезинформацию компании, всегда была) проектом GNU GPL. Это означает, что все расширения для Joomla должны также быть доступными (свободно предоставляться) и с открытым кодом (читаемый код). Зашифрованный код может быть безопасным, но вы не можете сами это определить и поэтому должны доверять разработчикам. Использование других зашифрованных кодов вернет вас назад в мир проприетарного ПО, где вы должны ждать исправлений безопасности от разработчика, надеясь, что злоумышленники не смогли найти ваш сайт, прежде чем внесут исправления.

Вы часто не сможете свободно изменять, улучшать, или разделять зашифрованный код. Эти ограничения делают зашифрованный код менее ценным для сообщества в целом, и сокращают общую жизнеспособности проекта Joomla, которая зависит от открытого обмена между всеми участниками.

Конечно, код, который не распространяется на другие освобождается от требований распределений GNU GPL. Таким образом, вы можете кодировать кодом Joomla ваши собственные сервера, не делясь им с другими.

Различные дополнительные советы и хитрости Joomla!

По возможности избегайте общих серверов

Для максимальной безопасности, избегайте общих серверов, на которых вы не знаете других пользователей или не можете доверять качеству их кода.

Использование SSL-сервера

Это больше связано с безопасностью платежей и администрации, а не ядром joomla или безопасностью сервера, но были включены сюда для совета.

SSL-серверы в настоящее время единственный способ надежности процесса конфиденциальной операции и надежной аутентификации пользователей. SSL работает, шифруя все связи HTTP между Web -клиентами и Web-сервером. Таким образом, даже если передача перехвачена, она не может быть прочитана.

Joomla! 1.0.x не позволяет назначать SSL-сервер на отдельные подкаталоги. Ищите форумы "Томми Хэка" у него есть много способов как с этим справиться. Joomla! 1.5 значительно улучшила варианты SSL.

Использование Apache .htaccess

Для дополнительного уровня защиты, вы можете использовать .htaccess для защиты паролем важных каталогов. Это, как правило, достаточно для блокирования типичного сценария, но знайте, что .htaccess password protection-это не очень безопасный метод. Это ДОЛЖНО сочетаться с SSL-сервером для максимальной защиты. SSL-сервер необходим для защиты вашего сайта от более сложных атак, таких как перехват пакетов данных.