Какие действия необходимо предпринять после новой установки Joomla, чтобы обеспечить ее безопасность? Как на общих хостинг-серверах, так и на выделенных.
security
installation
ИЛИАС
источник
источник
Ответы:
Обеспечение безопасности сайта Joomla
Более подробные инструкции см. В официальном контрольном списке безопасности .
источник
Очень важно хранить резервные копии на отдельном сервере. Я вижу много людей, которые верно работают с резервными копиями Akeeba ... и они хранятся на том же сервере в том же корневом каталоге. Не очень полезно, если вас серьезно взломали, и уж точно не полезно восстанавливаться после сбоя хостинга.
Akeeba Backup Pro позволяет хранить и управлять файлами резервных копий во внешнем хранилище, например в облаке Amazon.
источник
В качестве альтернативы файлу .htaccess или блокировке его по IP, вы также можете использовать jSecure для защиты вашего имени администратора.
Одна вещь, которая не была упомянута, использует авторитетного хостинг-провайдера. Вам нужен тот, который не только обеспечивает безопасность, но и будет работать с вами, если вас взломали или возникла проблема (например, повреждена база данных). Идея состоит в том, чтобы ограничить ущерб, который наносит ваш сайт, позволяя вам очистить его.
Основная идея, вы хотите кого-то, кто ..
Если вы хотите, чтобы список вопросов задавался хозяину, чтобы почувствовать себя лучше, просто дайте мне знать.
Надеюсь это поможет.
источник
Попробуйте это тоже,
robots.txt
для защищенных папок.Надеюсь, это помогает ..
источник
В основном по моему опыту, с размером Joomla нет никакого способа действительно обеспечить его полностью. Поэтому вместо идеальной политики безопасности, которая останавливает все это, лучше всего снизить ваши ожидания, чтобы попытаться снизить общий ущерб.
Это можно сделать с помощью чрезвычайно частой политики резервного копирования, чтобы при любом вторжении сайт можно было откатить, а также сканировать на наличие вредоносных программ. Пока что у нас не было ни одного взлома из-за того, что наша админка была грубой.
Большинство хаков, которые мы видим, принадлежат сторонним компонентам или ядру Joomla, мы даже видели, как хаки сумели проникнуть и в последние версии Joomla. Это связано с тем, что хак обычно может выглядеть как обычный запрос, использующий плохую фильтрацию для передачи файла на сервер. Когда файл находится на сервере, все становится честной игрой, он может находиться на ЛЮБОМ сайте на всем общем сервере и по-прежнему влиять на ваш, поэтому, если один человек на общем сервере не обновляется, это может повлиять на вас.
Это может быть немного экстремально, но, основываясь на личном опыте, лучше быть готовым к худшему, а затем быть уверенным, что ваша политика предотвратит все это.
Поэтому лучший способ обезопасить новую установку Joomla - это часто делать резервные копии и включать сканирование на наличие вредоносных программ. Если сканер вредоносных программ может отправить вам электронное письмо, как только он что-то обнаружит, вы сможете откатиться до последней резервной копии в течение очень короткого периода времени.
источник
Измените имя пользователя и сохраните пароль администратора, используйте двухфакторную аутентификацию (встроенная для 3.3+, для других http://www.readybytes.net/labs/two-factor-authentication.html )
Установите kSecure ( http://extensions.joomla.org/extensions/access-a-security/site-security/login-protection/12271 )
Защитите свой сайт от различных атак с помощью этого htaccess http://docs.joomla.org/Htaccess_examples_(security)
источник
Заимствование этого списка из документа "Ручное тестирование сайта Joomla", найденного в блоге. Я думаю, что этот список является подробным руководством по основам безопасности Joomla.
Используйте надежные пароли для всех входов в систему. Не менее 8 символов, один специальный символ, один номер и одна буква с учетом регистра. Это защитит вашу установку от грубой силы.
Всегда отслеживайте «Последние посетители» в файлах журналов веб-сервера для выявления потенциальных атак. Никогда не считайте свои файлы журналов просто частью информации. Это очень полезно для отслеживания и мониторинга пользователей.
Сделайте акцент на реализации большей безопасности на весь сервер, на котором размещен ваш сайт на Joomla; будучи размещенным на общем сервере или выделенном.
Составьте список всех используемых вами расширений и продолжайте следить за ними.
Будьте в курсе последних уязвимостей и раскрытий в различных советах по безопасности. Exploit-db, osvdb, CVE и т. Д. - некоторые из хороших ресурсов.
Измените разрешение для вашего файла .htaccess, как оно есть по умолчанию, используя разрешения на запись (поскольку Joomla должна его обновить). Лучше всего использовать 444 (r-xr-xr-x).
Должны быть предоставлены надлежащие разрешения для файлов в общедоступных каталогах, чтобы любой вредоносный файл не мог быть загружен или выполнен. Лучшая практика в этом контексте - 766 (rwxrw-rw-), т.е. только владелец может читать, писать и выполнять. Другие могут только читать и писать.
Никто не должен иметь разрешение на запись в файлы PHP на сервере. Все они должны быть установлены с 444 (r-r-r--), каждый может только читать.
Делегируйте роли. Это делает вашу учетную запись администратора в безопасности. Если кто-то взломает ваш компьютер, он должен иметь доступ только к соответствующему пользователю, а не к учетной записи администратора.
Пользователи базы данных должны иметь разрешение только на команды типа INSERT, UPDATE и DELETE. Они не должны быть допущены к DROP таблицам.
Измените имена внутренних папок, например, вы можете изменить / administrator на / admin12345. 16. И последнее, но не менее важное: будьте в курсе последних уязвимостей.
источник
Ваша первая линия защиты - ваш хостинг
Ваша следующая линия защиты - ваша cPanel
Ваша следующая линия защиты - ваша панель администратора
Я уверен, что есть и другие шаги, но это основные, которые я использую на своем сервере, на котором размещено более 70 веб-сайтов со всей страны. Недавно у меня была массивная атака, подобная DDoS-атаке, и ни один сайт не был доступен. Я чувствовал себя 10 футов ростом и пуленепробиваемым, но я знаю, что не могу быть удовлетворенным, потому что завтра другой день! смешно
источник
Я не фанат двухфакторной аутентификации
Установите Akeeba Admin Tools, включите расширенный htaccess, проверьте параметры и программный брандмауэр
https://www.akeebabackup.com/download/admin-tools.html
источник