Не могу сказать что можно очень хорошо защититься от взломщика сайтов , но можно хотя бы попробовать , эта статья как раз раскроет как это сделать .
Скрыть от браузера на какой CMS работает сайт
В версии 1.5 эта строка удалялась в:
ВАШ_САЙТ/libraries/ joomla /document/html/renderer/head.php, и выглядела как: $strHtml .= $tab.''.$lnEnd;
В версии 2.5... идем по тому же пути:ВАШ_САЙТ/libraries/ joomla /document/html/renderer/ и в файле head.php находим 99 стр.:
$buffer .= $tab . '' . $lnEnd;
Защита Админки joomla от взлома работает только в Joomla 1.5
Любой злоумышленик набрав название вашего сайта/administrator путем подбора пороля может попасть в административную часть вашего сайта на cms joomla. Что бы этого не случилось установим плагин plgSystemJSecure который, после установки и ввода кодового слова обеспечит нам дополнительную защиту.
1 Меняем права на папку plugins на 777 и на папку system которая находится внутри (plugins) тоже на 777, этого требует установка данного плагина.
2 Установку проводим как обычно Расширения Установить/Удалить
3 Установка прошла удачно, и теперь необходимо выполнить настройки плагина plgSystemJSecure. Заходим в менеджер плагинов, и находим System - jSecure Authentication
4 Напротив слова key вводим любое солово анл. буквами. Например joomlaed
5 Активировать Rtdirect to index page. В этом случае после доступа без вашего ведома человек будет перенаправлен на главную страницу сайта
6 Теперь чтобы зайти Вам нужно ввести адрес так: Ваш сайт/administrator/?Ваше слово англ. буквами у нас joomlaed. Не забывайте ставить знак вопроса.
7 Возвращаем папкам права 755 (пункт1)
скачать plgSystemJSecure
скачать AdminExile J 2.5
Для борьбы с SQL инъекциями есть два основный способа.
Первый - это установка компонента jFireWall (хороший и довольно мощный компонент, есть бесплатная версия jFireWall Lite). Второй - это смена префикса к таблицам в базе данных.
для joomla 1.5 не выкладывал
скачать jFirewall IDS J_2.5
Права на папки после того как все сделали и только после этого !!!
Установите:
на файл конфигурации выставить права 444
php файлы – 644
прочие каталоги – 755
А теперь еще одна хитрость .
Вынесите файл configuration.php за пределы корневой директории сайта (как правило это папка public_html). Configuration.php - это конфиденциальный файл любого сайта на Joomla, содержащий пароль и логин для доступа к базе данных. Содержимое данного файла можно увидеть, просто набрав путь к нему в адресной строке. Чтобы это стало невозможным, делаем следующее:
Создаем файл joom.conf вне корневой директории.
Вырезаем все содержимое из файла configuration.php и вставляем в joom.conf . Теперь осталось прописать в файле configuration.php, следующее:
require( dirname( __FILE__ ) . '/../joom.conf' );
?>
Т.е. мы просто подключаем содержимое файла joom.conf.
После того, как все сделано, желательно поставить минимальные права доступа (например 444) на оба этих файла. Таким образом, Вы полностью исключаете возможность их редактирования. Даже Вы не сможете ничего поменять, пока не восстановите права доступа(644).
Удаляйте остатки файлов.
После установки расширения, которое Вам не понравилось, не оставляйте его неопубликованным. Если Вы так сделаете, уязвимые файлы будут по-прежнему на Вашем сайте. Поэтому просто воспользуйтесь деинсталлятором для полного удаления расширения.
Для того чтобы заблокировать некоторые основные эксплойты добавьте следующие строки в .htaccess файл.
########## Начинаем запись правил чтобы заблокировать основные эксплойты
#
# Блокируем любой скрипт пытающийся получить значение mosConfig через URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [OR]
# Блокируем любой скрипт пытающийся отправить любое дерьмо чере base64_encode по URL
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR]
# Блокируем любой скрипт который содержит тег < script> в URL
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
# Блокируем любой скрипт, который пытается установить глобальную переменную PHP через URL
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
# Блокируем любой скрипт пытающийся изменить _REQUEST переменную через URL
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2}) [OR]
# Блокируем любой скрипт, который пытается установить CONFIG_EXT (баг в com_extcal2)
RewriteCond %{QUERY_STRING} CONFIG_EXT([|%20|%5B).*= [NC,OR]
# Блокируем любой скрипт, который пытается установить sbp or sb_authorname чере URL (баг simpleboard)
RewriteCond %{QUERY_STRING} sbp(=|%20|%3D) [OR]
RewriteCond %{QUERY_STRING} sb_authorname(=|%20|%3D)
# Отправляем все заблокированный запросы на главную с ошибкой 403 Forbidden!
RewriteRule ^(.*)$ index.php [F,L]
#
########## Заканчиваем запись правил чтобы заблокировать основные эксплойты
статья будет дописана
Скрыть от браузера на какой CMS работает сайт
В версии 1.5 эта строка удалялась в:
ВАШ_САЙТ/libraries/ joomla /document/html/renderer/head.php, и выглядела как: $strHtml .= $tab.''.$lnEnd;
В версии 2.5... идем по тому же пути:ВАШ_САЙТ/libraries/ joomla /document/html/renderer/ и в файле head.php находим 99 стр.:
$buffer .= $tab . '' . $lnEnd;
Защита Админки joomla от взлома работает только в Joomla 1.5
Любой злоумышленик набрав название вашего сайта/administrator путем подбора пороля может попасть в административную часть вашего сайта на cms joomla. Что бы этого не случилось установим плагин plgSystemJSecure который, после установки и ввода кодового слова обеспечит нам дополнительную защиту.
1 Меняем права на папку plugins на 777 и на папку system которая находится внутри (plugins) тоже на 777, этого требует установка данного плагина.
2 Установку проводим как обычно Расширения Установить/Удалить
3 Установка прошла удачно, и теперь необходимо выполнить настройки плагина plgSystemJSecure. Заходим в менеджер плагинов, и находим System - jSecure Authentication
4 Напротив слова key вводим любое солово анл. буквами. Например joomlaed
5 Активировать Rtdirect to index page. В этом случае после доступа без вашего ведома человек будет перенаправлен на главную страницу сайта
6 Теперь чтобы зайти Вам нужно ввести адрес так: Ваш сайт/administrator/?Ваше слово англ. буквами у нас joomlaed. Не забывайте ставить знак вопроса.
7 Возвращаем папкам права 755 (пункт1)
скачать plgSystemJSecure
AdminExile , аналог plgSystemJSecure
Для Joomla 1.5 существует плагин jSecure Authentication, но он работает только в Joomla! 1.5 Для Joomla! 2.5 существует идентичный по функционалу плагин – AdminExile. Кстати он работает и в Joomla! 1.5 (но у него своя версия), и в Joomla 1.6 (для этой версии он и был создан), что очень полезно при переводе сайта с предыдущих версий на версию Joomla 2.5. Перед установкой не плохо бы сделать резервную копию сайта.
Входим в панель управления сайтом, переходим в меню «Расширения», а затем в «Менеджер расширений» и устанавливаем плагин. После успешной установки переходим в «Менеджер плагинов» и находим System – AdminExile. По-умолчанию он выключен. Заходим в него для редактирования и меняем два параметра. Во-первых, включаем плагин
Во-вторых, придумываем кодовое слово! Сначала одно, потом расскажу о втором.
Пишем его в поле «URL Access Key» вместо слова по-умолчанию «adminexile». Я написал kergudu251, вы напишите своё кодовое слово. Маленький совет: сильно не увлекайтесь – 10 символов будет достаточно, кодовое слово должно быть написано латиницей, желательно добавить несколько цифр. Хорошенько запоминаем наше кодовое слово. Теперь адрес входа в админку у нас будет: http://наш_сайт/administrator/?кодовое_слово. Пусть теперь любопытствующие поищут! Обратите внимание на знак вопроса перед кодовым словом. Многие забывают о его существовании, а потом пишут, что сделали всё правильно, а на сайт войти невозможно.
При желании можем "зашифроваться" ещё сильнее. Устанавливаем переключатель «Use Key + Value» в положение Да, а в поле «Key Value» пишем ещё одно слово. Назовём его кодовое значение, которое не должно быть пустым. Теперь первое слово выступает "как бы" параметром, а второе "как бы" значением этого параметра. Т. е. адрес входа в админку у нас будет: http://наш_сайт/administrator/?кодовое_слово=кодовое_значение. В моём примере это http://наш_сайт/administrator/?kergudu251=barbambia.
Упомяну о таком параметре AdminExile, как «Redirect URL». Его я советую оставить без изменений. Его значение по-умолчанию {HOME}. Это перенаправление на домашнюю страницу нашего сайта. Теперь те, кто будет пытаться входить в панель управления нашего сайта по старому адресу, будут перенаправляться на главную страницу. Вместо значения по умолчанию можно вписать полный URL страницы, на которую будет происходить переадресация в случае неправильного ввода адреса админки. Кроме этого существует ещё одно значение параметра «Redirect URL» {404}. Если установить это значение, то при неудачной попытке входа будет показана 404 страница AdminExile на которой будет отображена информация, введённая в поле «404 Template».
В секции «Frontend Group Restrictions» можно ограничить доступ к авторизации на сайте для некоторых групп пользователей. Устанавливаем переключатель «Restrict Frontend Groups» в положение Да и выбираем группы для которых доступ к авторизации на сайте будет запрещён. Это удобно, когда с сайтом работает несколько человек и не каждому нужен доступ к панели управления.
Ну и на последок несколько строк для страховки. Если вы вдруг забыли кодовое слово, то не стоит впадать в отчаяние – его можно сбросить в значение по-умолчанию (adminexile) либо присвоить новое значение, не входя в админку. Для этого нужно сделать запрос к базе данных (например, с помощью phpMyAdmin) следующего содержания:
UPDATE '#_extensions' SET 'params' ='{"key":"adminexile"}' WHERE 'name' = 'PLG_SYS_ADMINEXILE'
Только вместо символа # должен стоять префикс ваших таблиц.
Вот мы и сделали один маленький шаг к безопасности нашего сайта на Joomla! 2.5 с помощью плагина AdminExile
скачать AdminExile J 2.5
Для борьбы с SQL инъекциями есть два основный способа.
Первый - это установка компонента jFireWall (хороший и довольно мощный компонент, есть бесплатная версия jFireWall Lite). Второй - это смена префикса к таблицам в базе данных.
для joomla 1.5 не выкладывал
скачать jFirewall IDS J_2.5
Права на папки после того как все сделали и только после этого !!!
Установите:
на файл конфигурации выставить права 444
php файлы – 644
прочие каталоги – 755
А теперь еще одна хитрость .
Вынесите файл configuration.php за пределы корневой директории сайта (как правило это папка public_html). Configuration.php - это конфиденциальный файл любого сайта на Joomla, содержащий пароль и логин для доступа к базе данных. Содержимое данного файла можно увидеть, просто набрав путь к нему в адресной строке. Чтобы это стало невозможным, делаем следующее:
Создаем файл joom.conf вне корневой директории.
Вырезаем все содержимое из файла configuration.php и вставляем в joom.conf . Теперь осталось прописать в файле configuration.php, следующее:
require( dirname( __FILE__ ) . '/../joom.conf' );
?>
Т.е. мы просто подключаем содержимое файла joom.conf.
После того, как все сделано, желательно поставить минимальные права доступа (например 444) на оба этих файла. Таким образом, Вы полностью исключаете возможность их редактирования. Даже Вы не сможете ничего поменять, пока не восстановите права доступа(644).
Удаляйте остатки файлов.
После установки расширения, которое Вам не понравилось, не оставляйте его неопубликованным. Если Вы так сделаете, уязвимые файлы будут по-прежнему на Вашем сайте. Поэтому просто воспользуйтесь деинсталлятором для полного удаления расширения.
Для того чтобы заблокировать некоторые основные эксплойты добавьте следующие строки в .htaccess файл.
########## Начинаем запись правил чтобы заблокировать основные эксплойты
#
# Блокируем любой скрипт пытающийся получить значение mosConfig через URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [OR]
# Блокируем любой скрипт пытающийся отправить любое дерьмо чере base64_encode по URL
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR]
# Блокируем любой скрипт который содержит тег < script> в URL
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
# Блокируем любой скрипт, который пытается установить глобальную переменную PHP через URL
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
# Блокируем любой скрипт пытающийся изменить _REQUEST переменную через URL
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2}) [OR]
# Блокируем любой скрипт, который пытается установить CONFIG_EXT (баг в com_extcal2)
RewriteCond %{QUERY_STRING} CONFIG_EXT([|%20|%5B).*= [NC,OR]
# Блокируем любой скрипт, который пытается установить sbp or sb_authorname чере URL (баг simpleboard)
RewriteCond %{QUERY_STRING} sbp(=|%20|%3D) [OR]
RewriteCond %{QUERY_STRING} sb_authorname(=|%20|%3D)
# Отправляем все заблокированный запросы на главную с ошибкой 403 Forbidden!
RewriteRule ^(.*)$ index.php [F,L]
#
########## Заканчиваем запись правил чтобы заблокировать основные эксплойты
статья будет дописана
0 коммент.:
Отправить комментарий