Настройка Joomla!
Установить официальной версии Joomla!
Чтобы избежать нарушения вашего сайта, поиск на форумах сообщения о несовместимые расширения до перехода на новую версию Joomla.
Обновление до последней стабильной версии Joomla! как можно скорее.
Скачать Joomla! с официальных сайтов только, например, JoomlaCode.org, и проверкой MD5 хеш.
Используйте Joomla Диагностика обеспечить, чтобы все файлы были установлены правильно. (Примечание: версия Joomla Диагностика сделано для первого выпуска в 1,5 не работает для 1.5.3.)
Изменение имени пользователя администратора по умолчанию
Изменение имени пользователя по умолчанию пользователя с правами администратора. Этот простой шаг эффективно увеличивает безопасность этой критической счет 50% путем изменения одного из двух переменных нападающие должны знать, чтобы получить доступ. Пароль другой переменной. Изменить ее можно раньше и чаще.
Защита файлов и каталогов
Повышение безопасности критический файл configuration.php, перемещая его вне public_html каталога.
Убедитесь, что все настраивается пути к записи или загружаемых каталогов (хранилища документов, галереи изображений, кэш) находятся вне public_html. Проверьте сторонние расширения стороной, например, DOCMan и Gallery2 для редактируемых путей к записи каталогов.
В Back-End глобальной конфигурации, измените путь журнала. Некоторые расширения использования встроенной в JLog класса. Это, по умолчанию писать журналы http://yousite/logs. Измените это на месте, что случайные браузер не может найти (и не подобрать / TMP /), или заблокировать его с HTTP-аутентификации. Потому что мы имеем дело с открытым исходным кодом, злоумышленники могут прочитать код сторонние расширения и может быть в состоянии угадать названия файла журнала.
В Back-End глобальной конфигурации, изменить путь временную папку.
Если журнал и временные пути изменились, и PHP open_basedir директиву конфигурации установлена, убедитесь, что новые пути попадают в сферу open_basedir.
Существует в настоящее время нет простого способа перемещения Joomla! / image и / media каталогов. Это потому, что тысячи третий участник расширений ожидать, чтобы найти эти важные каталоги в текущем местоположении. Лучший план, чтобы убедиться, open_basedir правильно настроен для всех учетных записей пользователей на сервере. Проверьте с вашим хозяин, если не уверены.
Отрегулируйте файлов и каталогов
Этот параметр не отображается в Joomla. На старых версий Joomla: Как только ваш сайт настроен и стабильной, защиты от записи критические каталогов и файлов, изменив каталог разрешения на 755, и права доступа к файлам на 644. Существует особенность сайта -> Global Configuration -> Server, чтобы установить все папки и права доступа к файлам на один раз. Испытание третий участник расширений после этого, и внимательно изучить код любого расширения, имеет проблемы с такими настройками. Примечание: В зависимости от разрешения вашего сервера, вам может потребоваться временно установлен более открытыми разрешениями при установке более расширений с Joomla! установки. Этот параметр не отображается в Joomla. но входит в исторических целях.
Удалите ненужные файлы
Удалите все шаблоны дизайна не нужен ваш сайт. Никогда не ставьте безопасности логику в шаблоны файлов.
Отключить XML-RPC сервер, если вы это не нужно.
Чистота после установки. В процессе установки потребуется удалить каталог установки и все ее содержимое. Сделайте это, не просто переименовать его. Если вы загружаете файлы на ваш сайт, как сжатые архивы (xxxx.zip например), не забудьте удалить сжатый файл. Проверьте / Temp / как временные файлы могут остаться там после неудачной попытки установки.
В общем, не оставляют ненужные файлы (сжатые или иным образом) на общедоступном сервере. Каждый неиспользованный (и, возможно, давно забыли) файл потенциальную брешь в безопасности.
Включите Register Globals Эмуляция OFF
Регистрация Включите Joomla! Globals Эмуляция OFF. Хотя этот параметр в большей безопасности, чем register_globals PHP, вы гораздо лучше избегать таких условиях все вместе (а также любые приложения, которые требуют от них). По предварительной версии 1.0.13 Joomla, этот параметр находится в globals.php файл. Начиная с версии 1.0.13, она может быть отключена в Back-конце концов, под Глобальные параметры.
Joomla 1.5 и выше, не использует Register Globals, а на самом деле имеет смарт-код, чтобы победить эту настройку, даже если он включен на уровне PHP. Заметим, что хотя это делает Joomla себя безопаснее, любой сервер с Register Globals включен потенциально уязвимыми. Любой общий сервер с Register Globals включен более чем вероятно, сидя утка. Любой хостинг-провайдера, который настаивает Register Globals должны быть включены не знает, некомпетентность или, еще хуже. Это было достаточно тупой?
Установка Joomla! Расширения
Резервное копирование перед установкой
Перед установкой расширений, всегда резервные копии вашего сайта и базы данных. Это следует очень простой принцип:
Ты будешь все время быть в состоянии вернуться вашего сайта в предыдущее состояние рабочих.
Таким образом, это умно, чтобы создать простой и быстрый сценарий резервного копирования для автоматизации этой задачи. Если вы не создали легкий процесс заранее, вам будет очень не терпится сделать быстрое обновление без создания резервной копии в первую очередь. Это очень понятна тенденция, однако, одна из главных причин преждевременной потери волос, внезапные изменения карьеры, и даже смерть.
Проверьте расширение уязвимости
Большинство уязвимостей безопасности вызваны третий участник расширений. Перед установкой расширения, проверить Официальный список уязвимых 3rd Party / Non Joomla! Расширения. Там на весь форум, посвященный уязвимых третьей части расширения. Подписаться на него.
Скачать с надежных сайтов
Полное и официальное определение "Безопасный сайт" является одним которым вы доверяете.
Пользователь берегитесь! Проверьте качество кода
Третий участник расширений входят во все вкусы качества и возраста. Хотя Joomla! стандарты кодирования существуют, сторонние разработчики не обязаны следовать за ними. Расширения, перечисленные на официальном Joomla! Сайт не проверены на соответствие, однако, если проверить уязвимости сообщалось, они будут удалены из списка, пока они не будут устранены.
Тест, тест, тест ...
Проверьте все расширения на развитие сайта перед установкой на производственной площадке. Тогда тест на производственной площадке. Не забудьте проверить журналы для выполнения ошибок и предупреждений.
Удалить мусорные файлы
Удалите все неиспользуемые расширения и дважды проверьте, что связано папки и файлы были на самом деле удалены удаления сценариев. Обратите внимание, что во время удаления, многие сторонние расширения участник оставит связанных файлов на вашем сайте, и связанных таблиц базы данных в комплекте с данными. Это либо функции или ошибка в зависимости от вашей точки зрения. Любые файлы, оставшиеся на вашем сервере остаются доступными из Интернета с помощью прямого URL-адреса, такие как http://yousite.com/modules/bad_module.
Избегайте зашифрованный код
Joomla является (и, несмотря на кампании дезинформации, всегда была) проекта GNU GPL. Это означает, что все расширения для Joomla должны быть свободны (как в условиях свободы) и открытые (как в читаемый код). Зашифрованный код может быть безопасным, но вы не можете определить это для себя, и поэтому вы должны доверять разработчикам. Использование зашифрованный код других возвратит вас обратно в мир проприетарного ПО, где вы должны ждать патчей от разработчиков, надеясь, что нападавшие не находят ваш сайт, прежде чем исправление освобождены.
Вы часто не могут свободно изменять, улучшать, или общий доступ к зашифрованным кодом. Эти ограничения делают зашифрованный код менее ценным для сообщества в целом, а также уменьшить общую жизнеспособность проекта Joomla которых зависит от открытого обмена между всеми участниками.
Конечно, код, который не распространяется на другие освобождаются от требования GNU GPL распределения. Таким образом, вы можете шифровать Joomla-код, связанный собственных серверов, предоставляющих вам не поделиться им с другими.
Дополнительные Joomla! Закалка Советы и хитрости
Избегайте общих серверах если это возможно
Для обеспечения максимальной безопасности, во избежание общий сервер, на котором вы не знаете или не можете доверять всем другим пользователям или их качество кода.
Использование сервера SSL
Это больше связано с безопасных платежей и администрации, а не основной Joomla или безопасности сервера, но были включены сюда за советом
SSL серверов в настоящее время единственный способ надежно конфиденциальность процесса сделки и безопасной аутентификации пользователей. SSL работ путем шифрования всего HTTP-соединения между веб-сервером и веб-клиентов. Таким образом, даже если передача перехвачена, она не может быть прочитан.
Joomla! 1.0.x не позволяют назначить SSL сервер для отдельных подкаталогах. Поиск на форумах "Tommy Hack" на один способ справиться с этим. Joomla! 1,5 значительно улучшилась SSL вариантов.
Использование Apache. Htaccess
Для дополнительного слоя защиты паролем, вы можете использовать. Htaccess защитить паролем критических каталогов. Это, как правило, достаточно для блокировки типичный детский сценарий, но знайте, что. Htaccess защиту паролем сама по себе не очень надежный метод. Это должно быть объединено с сервером SSL для максимальной защиты. Сервер SSL требуется для защиты вашего сайта из более изощренных атак, таких как перехват пакетов.
Переключить на Joomla! 1.5
Наиболее значительное обновление в Joomla! Истории включает в себя мощные безопасности и увеличение производительности.
- Joomla 1.5 Обзор
- Загрузки Joomla
Добавить Joomla! Безопасности объявления на вашем сайте
Joomla! Команды по безопасности и поддерживает RSS-канал, который содержит последние Joomla информационной безопасности. Следующие ответы объясняется, как добавить этот канал на ваш сайт.
