Безопасность CMS Joomla -основные рекомендации - Информационная безопасность для всех. Безопасность Windows своими руками

Многие (и я не исключение) сейчас создают в сети интернет свои сайты, благо услуги хостинга сейчас можно найти по весьма приемлемым ценам. Личный сайт или блог чаще всего не пишут с нуля на каком-либо языке, а используют специальные системы управления контентом, такие как Wordpress, Drupal, Joomla, NetCat и прочие.

   Загадочные буквы CMS обозначают словосочетание «Content Management Software» («программное обеспечение для управления содержимым»). В России стране принято вместо «Software» употреблять «System». Таким образом, по-русски CMS получается как «Система управления контентом» или жаргонизм - "движок сайта".

   Вот, допустим, выбрали Вы CMS для своего сайта, заполнили контентом, начали заниматься продвижением своего сайта. Кстати на сегодняшний день наиболее на мой взгляд правильным, является продвижение сайта статьями или постовыми. Также очень хорошо показывают себя вечные ссылки. Сейчас продажей вечных ссылок занимаются множество сервисов, поэтому купить ссылки навсегда можно довольно недорого.

   Те, кто выбирают для своего сайта бесплатные CMS, очень часто останавливают свой выбор на CMS Joomla. Это очень распространенная CMS с солидным запасом расширений и дополнительных компонент.

И как любое Web-приложение, CMS Joomla подвержена риску взлома. И именно наличие большого количества расширений, часто написанных программистами, не особо заботящихся о безопасности своего продукта, становиться причиной появления разного рода уязвимостей в CMS Joomla.

Чтобы более не утомлять читателя теоретическими измышлениями по поводу безопасности CMS Joomla, ниже приведу основные мероприятия, которые необходимо выполнить владельцу сайта на этой CMS для обеспечения безопасности его Joomla-сайта. Замечание: приведенные ниже советы касаются безопасности CMS Joomla версии 1.5.

Итак, основные рекомендации:

1) Сразу после установки необходимо удалить каталог «Installation».

2) Удалить метатег, указывающий на используемую на сайте CMS. Для этого в файле /libraries/joomla/document/html/renderer/head.php нужно удалить строчку $strHtml .= $tab.'<meta name="generator" content="'.$document->getGenerator().'" />'.$lnEnd;

3) Необходимо установить права доступа на файлы и папки следующим образом:
templates права 555
на файлы в корневой директории права 444
на папку tmp права 705
на папку logs права 705

4) Изменить имя пользователя-администратора, устанавливаемое по-умолчанию (admin).

5) Установить пароль на доступ к папке administrator, в которой располагается панель администратора сайта. Это можно сделать либо при помощи специальной компоненты, или средствами Web-сервера хостера, создав несколько специальных файлов (.htaccess и .htpasswd), содержащих особые инструкции для Web-сервера.

6) Установить компоненту jFireWall Lite, препятствующую проведению атак типа SQL-иньекции.

7) Измените установленный на момент установки CMS Joomla префикс к таблицам базы данных (jos_). Самые распространенные SQL инъекций, направленные на взлом сайтов на CMS Joomla пытаются получить доступ к таблице jos_users. Однако следует помнить, что данная операция чревата потерей всего контента сайта.

8) По возможности удалить информацию о версиях используемых компонент. Это затруднит поиск уязвимостей для потенциального злоумышленника.

9) Проанализировать все используемые компоненты на наличие уязвимостей и по возможности закрыть их или установить соответствующие обновления.

Вот, собственно, и все. В заключении хочу дополнительно посоветовать устанавливать на сайт только расширения, полученные непосредственно с сайтов их разработчиков. Так Вы сможете максимально снизить риск установки вместе с дополнительной компонентой дополнительного бэкдора и поддерживать безопасность CMS Joomla на приемлемом уровне.