5 1 1 1 1 1 1 1 1 1 1 Рейтинг 5.00 (1 Голос)
защита джумлы

   Изучая безопасность систем управления содержимым сайта CMS, выявилась одна закономерность чем популярнее система тем больше желающих ее взломать, используя уязвимости. Проанализировав основную часть сайтов, проиндексированных Яндексом, специалисты компании, создали рейтинг самых популярных и подверженных взлому CMS.Согласно предоставленной статистике, одной из часто взламываемых бесплатных систем стала Джумла.

Статистика CMS

   Львиная доля заражения сайта, происходит не за счет уязвимости исходного кода дистрибутива, а по вине владельца площадки. Который по неопытности пренебрегает настройками безопасности, что приводит к плачевным последствиям.

   Ниже приведены основные методы как защитить joomla от взлома.

   На страницах блога уже рассматривались стандартные параметры необходимые каждому сайту, соответственно и Joomla тоже.

   Для этого входим в директорию /libraries/joomla/document/html/renderer/head.php и удаляем  строку

<$strHtml .= $tab.'<meta name="generator" content="'.$document->getGenerator().'" />'.$lnEnd; 

   Выбираем в меню Сайт -> Общие настройки -> Менеджер пользователей ->Компонент
Разрешить регистрацию пользователей -> Нет-> Сохранить (Save) для сохранения изменений

Запрет регистрации пользователей Joomla

Тонкости настройки джумла защита от вирусов

  • Отключить восстановление пароля автоматическая функция предоставляющая возможность хакерам заполучить пароль администратора.удалив файл  /components/com_user/models/reset.php в корне сайта.
  • Не допустить просмотр позиций модулей при помощи команды «?tp=1» добавляемой к адресу главной страницы сайта.

Выбираем в меню Сайт -> Общие настройки -> Менеджер шаблонов ->Шаблоны
Просмотр позиций модулей -> Отключено -> Сохранить

 Отключаем показ позиций модулей Joomla

  • Редактирование ошибки 404

   Введя адрес несуществующей страницы. Появляется стандартная ошибка, видя которую любой хакер узнает, что проект работает на движке Joomla.

Ошибка 404 Joomla
   Как защитить joomla отключая потенциально опасные директив с помощью редактирования файла .htaccess

  • Отключение уязвимости register_globals внеся в корень файла
 php_value register_globals 0
  • Блокируем список запрещенных PHP-функций добавляем
php_value safe_mode 0
php_value allow_url_fopen 0
  • Выключить директиву magic_quotes_gpc добавив строку
 php_flag magic_quotes_gpc off
  • Обеспечиваем доступ с панели управления с определенных IP-адресов.

   В папке administrator прописываем дополнительный файл .htaccess с содержанием

<Limit GET>
Order Deny, Allow
Deny from all
Allow from 91.91.91.91, 91.91.91.92
</Limit>

Команда Allow from  разрешаем доступ к administrator только с IP 91.91.91.91 и 91.91.91.92

   Вышеперечисленные настройки не гарантируют 100% защиты проекта. А всего лишь возводят стену безопасности между сайтом и хакерами, усложняя процесс взлома.

   Если вас заинтересовала публикация подписывайтесь на рассылку в соц сетях и узнавайте о новых методах защиты предоставленных на блоге. Помните осведомлен, значит вооружен.

Понравилась статья? Поделись ей с друзьями!

Комментарии   

0 # Святослав 01.06.2016 11:20
Узнать ЦМС не составляет вообще никакого труда... Как ни удаляй, что ни делай а грамотный алгоритм все равно выдаст все. У Вас джумла, как и у меня:) Узнал я это глянув на шаблон, а подтвердил мою догадку вот этот ресурс https://2ip.ru/cms/?url=http%3A%2F%2Fploxixsovetov.net%2F&turingCode=42324
Вопрос в другом, исключить айпишники в папке админ... Что делать, если ай пи динамический?
Ответить | Ответить с цитатой | Цитировать
0 # Admin 01.06.2016 20:06
Статья не является панацеей, в ней описаны базовые процедуры. А вот ваш вопрос мне не понятен зачем скрывать динамический адрес. Уточните.
Ответить | Ответить с цитатой | Цитировать

Добавить комментарий


Защитный код
Обновить

Наверх