Joomla 3.0 - бясплатная і досыць папулярная ў свеце cms, таму вялікая колькасць хакераў пастаянна імкнуцца адшукаць уразлівасці ў сайтах на Joomla. Я вырашыла падзяліцца вопытам і распавесці аб 7-мі асноўных правілах па аптымізацыі бяспекі сайта на cms Joomla.
Правы доступу. Уліковыя запісы карыстальнікаў.
Ўстаноўка правоў (CHMOD) 777 для тэчак і файлаў патрабуецца толькі тады, калі скрыпт павінен запісаць / перазапісаць нейкую інфармацыю ў гэтую тэчку / каталог / файл, ўсе іншыя файлы павінны мець наступныя правы доступу:
- файлы PHP: 644;
- файлы канфігурацыі: 666;
- астатнія тэчкі: 755.
І ніколі не выкарыстоўвайце імя карыстальніка «admin», гэта досыць распаўсюджаны лагін, які спрашчае працу ўзломшчыка! Пры автоустановке Joomla на сервер не забывайце пераназываць карыстальніка.
Сістэма рэзервовага капіявання.
Памятаеце, што варта рабіць рэзервовае капіраванне свайго сайта, выдатна, калі штодня, і яго базы дадзеных. Пры ўзломе, сайт вы лёгка адновіце з апошняга бэкапу.
Прэфікс табліц баз дадзеных.
Працэс выканання SQL-ін'екцый для ўзлому сайтаў на Joomla вядзе да атрымання неабходнай інфармацыі з табліцы базы дадзеных «jos_users». Адсюль вынікае, што ўзломшчык цалкам здольны завалодаць лагінам і паролем супер-адміністратара сайта. Змена стандартнага прэфікса засцеражэ сайт ад мноства SQL-ін'екцый.
Задайце самастойна прэфікс базе дадзеных пры ўсталёўцы Joomla
Версіі пашырэньні (унутраныя нумары).
Вельмі часта атрымліваецца, што уразлівасці схільныя нейкія пэўныя версіі устаноўленых пашырэнняў, такім чынам адкрываць нумар версіі гэтага самага пашырэння - вельмі дрэнна, такім чынам, што лепш, калі узломшчык не будзе дасведчаны, якія версіі пашырэньні карыстаецеся вы на сайце, гэта досыць абцяжарыць, а можа і прадухіліць атаку з боку зламыснікаў.
Дружалюбныя URL (ЛПК).
На сайтах, якім кіраваў Joomla раю выкарыстоўваць ЧПУ. Дадзеная мера не толькі дасць Вам магчымасць атрымаць больш высокі высокі рэйтынг сайта ў пошукавых сістэмах, але і істотна ўскладніць яго ўзлом!
Выдаленне невыкарыстоўваемых файлаў.
Даволі не рэдка адбываецца, што ўсталяванае пашырэнне больш не трэба, у такім выпадку трэба іх не толькі выключаць, але і выдаляць зусім усё яго файлы.
Выкарыстанне .htaccess файла.
Вельмі важна пераканацца, што файл htaccess.txt, размешчаны ў каранёвай дырэкторыі сайта на Joomla, перайменаваны ў .htaccess.