gototopgototop
Register
Вход
Home /  Безопасность сайта /  Простые шаги
Простые шаги по увеличению безопасности E-mail
Базовый курс - Безопасность сайта

Безопасность сайта на Joomla!
Безопасность Joomla-сайта может быть увеличена значительно, если сделать несколько простых шагов:

  • изменить административный логин
  • изменить установленный по умолчанию  prefix  таблицы базы данных
  • защитить паролем административную зону
  • регулярно обновлять установленную версию Joomla
  • использовать .htaccess  файл для дополнительной защиты

 

Как изменить логин администратора

По умолчанию логин администратора — admin. Большинство хакеров знает это, поэтому изменение логина поможет  вам защитить сайт от множества атак.

Изменить логин можно двумя способами:

Способ 1

Шаг 1. В административной панели нажмите на иконку меню «Пользователи»

Шаг 2. В Менеджере пользователей либо просто нажмите на Администратор, либо отметьте кнопку слева от этого слова и затем нажмите на иконку Изменить :

Базовый курс :: Безопасность Joomla!

Шаг 3. На странице Пользователь  внесите исправления в поле Логин. Сейчас это admin, а вы придумайте что-нибудь отличное от этого слова.
В строке Пароль можно также поменять пароль :

Базовый курс :: Безопасность Joomla!

Кстати, логин и пароль вы можете менять так часто, как захотите. Главное: чтобы потом всего этого не забыть, выписывайте все изменения в какой-нибудь бумажный блокнот и держите его всегда под рукой.

Шаг 4. Сохраните изменения, нажав на кнопку Сохранить.

Способ 2 :  внесение изменений в базу данных:

Шаг 1.  Откройте в браузере страницу http://localhost/tools/phpmyadmin/ .
Шаг 2.  Нажмите на Databases :

Базовый курс :: Безопасность Joomla!

Шаг 3.  Выберите в списке базу данных  нужного сайта  и нажмите на её заголовок :

Базовый курс :: Безопасность Joomla!

Шаг 4. Следующее окно с таблицами прокрутите вниз и найдите строчку  jos_users. Нажмите на кнопку Browse  :

Базовый курс :: Безопасность Joomla!

Шаг 5.  В строке Администратор нажмите на иконку карандаша:

Базовый курс :: Безопасность Joomla!

Шаг 6.  В строке "username"  сотрите admin и впишите что-нибудь другое, например, terminator :

Внимание!  Рекомендуется  использовать нижний и верхний регистры, а также цифры. Пример: TeRminAT13, TeRmInatOR, и т.п.

Шаг 8. Сохраните изменения, нажав на кнопку “Go” :

Базовый курс :: Безопасность Joomla!

Теперь вы можете войти в админку, используя новый логин.


Как изменить   prefix  таблицы базы данных

Большинство SQL инъекций, которые написаны для взлома сайтов на Joomla!, пытаются получить данные из таблицы jos_users. Таким образом, они могут получить имя пользователя и пароль для супер администратора сайта. Изменение стандартного префикса оградит нас от большинства (или даже всех) SQL инъекций.

Для  изменений префикса  мы будем использовать  Admin Tools. Он изменяет префикс одним нажатием кнопки. Этому компоненту посвящён отдельный урок.

Защита  административной зоны паролем

Для  защиты админки мы   мы также будем использовать бесплатный компонент
Admin Tools


Делайте обновление Joomla!


О том,  как это делается — а делается это просто — читайте в статье "Как обновить Joomla! 1.5".


Используйте  .htaccess  файл


1.  По умолчанию стандартный пакет Joomla! содержит в корневом каталоге файл  htaccess.txt . Переименуйте его в .htaccess.  Это легко делается в файловом менеджере: щелкните левой кнопкой мыши по  названию файла, затем нажмите Shift  + F6 . Переименуйте файл и нажмите Enter.

Откройте файл и в самом конце допишите строчку:

php_flag register_globals off

2. Убираем  возможность определить Joomla! по ?tp=1

Любой желающий  может определить, что сайт работает на движке Joomla, просто набрав в адресной строке:
http//:домен_сайта/?tp=1 и перейдя по этой ссылке. Джумла покажет позиции модулей в шаблоне, тем самым выдав себя.

Чтобы запретить показ позиций модулей, добавьте в файл .htaccess, который находится в корневом каталоге, следующую директиву:

RewriteCond %{QUERY_STRING} tp(=.*) [OR]

Чтобы вы не запутались, показываю это место в файле .htaccess красным шрифтом::

# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
# Block out any script that includes a <script> tag in URL
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} tp(=.*) [OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## End - Rewrite rules to block out some common exploits

Не забудьте сохранить изменения!

Теперь, после внесения директивы, все  желающие проверить, на каком движке работает ваш сайт, - набрав в браузере строчку http//:домен_сайта/?tp=1, получат ответ:
"Forbidden . You don't have permission to access / on this server".Ошибка 403.


 
ВХОД на сайт



Базовый курс создания сайта

 

Есть ли народ на сайте?

Сейчас 43 гостей онлайн

Мы вконтакте

Как сделать?...

Контакты





Copyright © 2011. Joomla! для "чайников". Автор сайта Наталья Мельниченко
Follow us on Twitter