Защита сайта на Joomla с помощью компонентов Little Helper и RSFirewall!
Если вы администратор сайта на Joomla, то, возможно, вам приходилось сталкиваться ситуацией, что ваш сайт сломали. Возможно, это сделал профессионал своего дела, а возможно, обычный хулиган, посмотревший ролик на ютубе, и решивший поэкспериментировать с первый попавшимся сайтом на данной CMS — вашим.
Что можно сделать? Сначала рассмотрим второй вариант:
Как защитить Joomla от интернет-хулиганов.
Идём на сайт FasterJoomla и скачиваем компонент Joomla Little Helper.
Устанавливаем его через менеджер расширений. Нажимаем на кнопку Go To Component, переходим в компонент и 2 раза жмем на кнопки «Создавать».
Переходим в менеджер плагинов, дважды нажимаем на заголовок столбца ID, и видим, что сверху оказывается плагин Little Helper. Включаем его.
Теперь возвращаемся в компонент и обращаем внимание на несколько вкладок.
Во вкладке Site icons можно создать фавикон сайта из любого подходящего по качеству изображения.
Во вкладке SEF .htaccess можно установить себе на сайт файл .htaccess, который может несолько убыстрить работу вашего сайта, если только настройки .htaccess не конфликтуют с настройками вашего сервера.
Есть ещё вкладка Robots, в которой можно редактировать файл robots.txt вашего сайта прямо из админки. Нажав на кнопку Fix вы разрешите поисковым системам индексировать папку images. По умолчанию в стандартном роботсе джумлы это запрещено.
Но нас интересует вкладка Security. Заходим в неё и последовательно нажимаем все четыре кнопочки — images folder, tmp folder, cache folder, Administrator/cache. После этого в каждой из четырех директорий с одноимённым названием возникает файл .htaccess, запрещающий устанавливать в них файлы с расширением php. Всё, от обычных интернет- хулиганов вы надёжно защищены.
Теперь рассмотрим возможность того, что ваш сайт атаковал серьёзный противник.
Хотите сделать сайт в Барнауле? Звоните: + 7 929 392 62 82
Защищаем сайт Joomla от взлома хакерами.
Для защиты от этакой напасти необходимо установить компонент RSFirewall! Это платный компонент, увы, но он своих денег стоит. И отлично защищает ваш сайт, блокируя попытки взлома.
После установки заходим во вкладку Настройки системы и нажимаем кнопочку «Выполнить проверку системы». RSFirewall проверяет вашу джумлу и находит кучу уязвимостей. Их предстоит исправить. Если существует админ сайта с логином admin — его необходимо удалить и создать учетную запись с другим логином. Если в папке tmp лежат какие-то файлы, кроме index.html и положенного компонентом Little Helper файла .htaccess — их необходимо удалить.
Также необходимо файл configuration.php и папку tmp переместить из корня сайта в корень хостинга. Как это сделать грамотно, чтобы сайт не потерял работоспособности, рассказываю на примере файла configuration.php.
Создаём новую папку в корне вашего хостинга. Допустим, это папка joomla-config-file. Хотя вы может назвать и по другому.
Перекладываем в неё файл configuration.php из корня сайта. Заходим в configuration.php и копируем данные из переменной $log_path, начиная с одинарной кавычки и заканчивая слешем перед словами www/название-сайта/logs.
Затем заходим в файлы /includes/defines.php и /administrator/includes/defines.php. В них необходимо изменить значение переменной JPATH_CONFIGURATION. Удаляем значение JPATH_ROOT и вставляем скопированную из configuration.php строчку (в моём случае это /var/www/user22/data/), не забыв обрамить её одинарными кавычками и добавить в конец название созданной вами папки (в моём случае это joomla-config-file). В результате должно получиться вот так: '/var/www/user22/data/joomla-config-file'.
Обновите сайт. Если сайт работает, значит вы все правильно сделали.
Вернитесь в RSFirewall, во вкладку Основные настройки >> Административный пароль. Здесь вы можете установить дополнительный пароль для входа в административную панель. Потенцильному взломщику (но и вам, конечно, тоже) прежде, чем получить возможность попытаться войти в админку, придётся для начала преодолеть защиту компонента.
Если сами вы не мастер придумывать хитрые пароли, то лучше воспользоваться онлайн-генератором паролей на сайте strongpasswordgenerator.com. Главное, не забыть то, что сгенерировано, сохранить в надёжном месте.
Во вкладке Основные настройки >> Активный сканер в настройке «Включить активный сканер для административной панели» поставьте Нет, иначе при попытке вставить Java-script в материал (или, допустим, безобидную Яндекс.Метрику в модуль) он будет безжалостно вырезаться.
Поздравляю вас, дело сделано! Теперь ваш сайт достаточно надёжно защищен.