1. 1) Використовуйте останню версію Joomla
2. Ось кілька способів поновлення Joomla:
3. 2) Використовуйте складні логін і пароль адміністратора
4. 3) Використовуйте компонент SEF, який зробить Joomla більш захищеною
5. 4) Використовуйте хостинг з безпечної конфігурацією для сайтів Joomla
6. 6) Видаляйте невживані шаблони
7. 7) Встановіть дозволу, щоб обмежити редагування і перезапис
8. 8) Закрийте реєстрацію користувачів
9. 9) Контролюйте зміни в файлову систему

У цій статті ми розповімо, як убезпечити свій сайт на Joomla. Розробники CMS Joomla серйозно підійшли до безпеки системи, і вона має захист вже за замовчуванням.

Проте, потрібно зрозуміти, що немає на 100% захищеної системи управління сайтом. Щоб зменшити ймовірність злому вашого сайту потрібно зробити ряд нескладних дій.

1) Використовуйте останню версію Joomla

Перш за все, використовуйте останню версію Joomla. Навіщо треба оновлюватися? Перше і найголовніше, Ви ж хочете, щоб сайт на Joomla став захищеним. Всі динамічні сайти в більшій чи меншій мірі є вразливими до атак хакерів, які можуть заспаміть Ваш сайт, пошкодити його або вкрасти інформацію користувачів. Розробники Joomla виразно йдуть на крок попереду хакерів, але, щоб їх зусилля в забезпеченні безпеки стали корисні, потрібно завжди оновлюватися до останньої версії. Таким чином, переконайтеся, що у Вас оновлена ​​версія, але, тим не менш, постійно перевіряйте наявність оновлень.

Ось кілька способів поновлення Joomla:

Подивіться, яка версія Joomla у Вас зараз:

• В Joomla 1.5 версія вказана в правому верхньому куті панелі адміністрування
• В Joomla 2.5 версія вказана в футере панелі адміністрування

// Якщо у Вас Joomla 1.5, то зробіть наступне:

• Скачайте відповідний пакет оновлень. Наприклад, якщо у Вас Joomla 1.5.7 і потрібно оновитися до версії 1.5.26, то завантажуйте архів з ім'ям Joomla_1.5.0_to_1.5.26-Stable-Patch_Package.zip. Необхідна оновлення можна знайти на офіційному сайті .
  
• Розпакуйте архів на комп'ютер.
• Закачайте файли через FTP на хостинг, підтверджуючи заміну існуючих.

// Якщо у Вас Joomla 2.5.4 або новіший:

• В панелі адміністрування Joomla відкрийте Joomla Update (Компоненти → Joomla Update)
• Натисніть на кнопку «Встановити оновлення»
• Дочекайтеся закінчення процесу оновлення

// Якщо у Вас Joomla 2.4.3 або старше:

• В панелі адміністрування Joomla перейдіть в Розширення → Менеджер розширень і відкрийте вкладку «Оновлення»
• Натисніть на значок «Очистити кеш», щоб видалити застарілі тимчасові файли
• Натисніть на іконку «Знайти оновлення» в меню. Якщо є доступні оновлення, то Ви побачите їх у списку.
• Виберіть оновлення (використовуючи чекбокс) і натисніть на значок «Оновити» в меню.
• Дочекайтеся закінчення процесу.

Переконайтеся, що Ви зробили резервну копію Joomla перед оновленням. Можливо, деякі сторонні плагіни або компоненти не сумісні з новою версією. На щастя, таке рідко трапляється, але якщо Ви зробили бекап до початку поновлення, то тим самим убезпечили себе в разі невдачі!

Використовуйте тільки надійні розширення сторонніх розробників і своєчасно оновлюйте їх.

Іноді кажуть, що їх сайт на Joomla піддавався атаці хакерів і система безпеки нічого не змогла зробити. У більшості випадків, хакери проникають через незахищені сторонні розширення, які були встановлені на сайті. Список найбільш вразливих розширень Joomla сторонніх розробників можна подивитися тут .

2) Використовуйте складні логін і пароль адміністратора

Не використовуйте логін «admin», який дається за замовчуванням. Змініть на який-небудь інший і виберіть безпечний пароль. Безпечний пароль складається, як правило, з восьми символів, включаючи великі і малі літери, цифри і символи. Ось хороший генератор паролів.

3) Використовуйте компонент SEF, який зробить Joomla більш захищеною

Компонент SEF робить урли Joomla більш дружніми до пошукових систем, а хороший компонент SEF дає ще і додає безпеки. За замовчуванням посилання на сторінки Joomla багато говорять користувачеві про назву самої сторінки, і який компонент використовується. Компонент SEF маскує цю інформацію і хакеру складніше знайти можливу уразливість.

SEF компонент sh404SEF також включає компонент безпеки, який запобігає різні атаки на Ваш сайт і повідомляє, чи піддавався сайт атакам хакерів. Він також дає можливість прибрати генератор тегів. Генератор тегів повідомляє про те, що сайт зроблений на Joomla. Якщо Ви, таким чином, не повідомите хакерам на якому движку зроблений сайт, то йому складніше буде це визначити.

4) Використовуйте хостинг з безпечної конфігурацією для сайтів Joomla

• Уникайте хостерів, які використовують безпечний режим PHP. Safe_mode для PHP повинен бути вимкнений.
• Якщо у Вас Joomla 1.0, то переконаєтеся, що вимкнений Register Globals Emulation. Це робиться в Глобальних налаштуваннях Joomla
• Використовуйте PHP5 частіше, ніж PHP4

5) Ховайте корисну для хакерів інформацію

• Переконайтеся, що ніхто не зможе подивитися інформацію про PHP (конфігурацію сервера) через phpinfo.
• Сховайте генератор тегів, який вказує, що Ви використовуєте CMS Joomla. Зауважте, що ми не пропонуємо, щоб Joomla стала б менш захищеною. Ця рада для того, щоб хакерам, що спеціалізуються на Joomla, складніше було б розпізнати движок сайту.
• Використовуйте SEF компонент, який маскує використовувані компоненти сайту.
• Поставте захист від запису на файл конфігурації Joomla (приберіть права перезапису)
• Безумовно слід захистити від запису файл конфігурації Joomla. Файл називається «configuration.php» і знаходиться він в корені Вашого домену. В Joomla 1.5 на файл за умовчанням виставлені права забороняють запис, але в Joomla 1.0 потрібно самим їх виставити. Можна зробити це в Глобальних настройка Joomla, вибравши варіант «Заборонити перезапис після збереження». Також можна вручну встановити права доступу до файлу 444.

6) Видаляйте невживані шаблони

Необхідно видалити шаблони Joomla, які не збираєтеся використовувати на сайті. Якщо Ви залишили шаблони Joomla за замовчуванням, хто-небудь, наприклад, може зайти на сайт таким посиланням: /index.php?jos_change_template=rhuk_solarflare_ii і поміняє поточний шаблон на початковий. Крім того, сайт може виглядати жахливо для того, хто зайде за посиланням, навіть зможе побачити контент, який Ви і не збиралися публікувати в Інтернеті. Наприклад, в модулях, позицій яких немає в поточному шаблоні.

7) Встановіть дозволу, щоб обмежити редагування і перезапис

Ви можете встановити права доступу до деяких критичним файлів, що обмежує можливість хакерам їх редагувати і перезаписувати. Ось кілька порад:

• Встановіть права на файл /index.php рівним 444
• Встановіть права на файл /configuration.php рівним 444
• Встановіть права на файл /templates/*Ваш_шаблон*/index.php рівним 444
• Встановіть права на папку / templates / * Ваш_шаблон * / рівним 444

8) Закрийте реєстрацію користувачів

Якщо Ваш сайт не є соціальною мережею і користувачам не потрібно реєструватися, слід закрити реєстрацію. Ось як це зробити:

1.Відкрийте панель адміністрування

2. Для Joomla 2.x і Joomla 3.x зайдіть в Користувачі → Менеджер користувачів і відкрийте вкладку «Налаштування» у верхній частині сторінки (для Joomla 1.5 потрібно зайти в Глобальні налаштування → Система).

3.Найдіте пункт «Дозволити реєстрацію користувачів»

4.Нажміте кнопку «Ні», тим самим заборонивши реєстрацію

5.сохранилось конфігурацію, натиснувши кнопку «Зберегти».

9) Контролюйте зміни в файлову систему

Якщо хакерам все таки вдалося той чи інший спосіб отримати доступ до ваших файлів, то буде досить розумним рішенням відстежити які саме файли змінювалися. Адміністрація складчини рекомендує познайомитися з сервісом Mоніторус (Є тестовий 1 місячний період). Ви просто завантажуєте спеціальний скрипт на свій хостинг, робите зліпок файлової системи і підписуєтеся на зміни. Як тільки щось зміниться Вам прийде повідомлення на пошту. Буде не зайвим і при контролі за фрілансерами і своїми співробітниками.

ДО РОЗДІЛУ З мануали