Якщо ви адміністратор сайту на Joomla, то, можливо, вам доводилося стикатися ситуацією, що ваш сайт зламали. Можливо, це зробив професіонал своєї справи, а можливо, звичайний хуліган, подивилася ролик на ютубі, і вирішив поекспериментувати з перший ліпшим сайтом на даній CMS - вашим.
Що можна зробити? Спочатку розглянемо другий варіант:
Як захистити Joomla від інтернет-хуліганів.
Йдемо на сайт FasterJoomla і викачуємо компонент Joomla Little Helper.
Встановлюємо його через менеджер розширень. Натискаємо на кнопку Go To Component, переходимо в компонент і 2 рази тиснемо на кнопки «Створювати».
Переходимо в менеджер плагінів, двічі натискаємо на заголовок стовпчика ID, і бачимо, що зверху виявляється плагін Little Helper. Включаємо його.
Тепер повертаємося в компонент і звертаємо увагу на кілька вкладок.
У вкладці Site icons можна створити фавікон сайту з будь-якого відповідного за якістю зображення.
У вкладці SEF .htaccess можна встановити собі на сайт файл .htaccess, який може несолько прискорити роботу вашого сайту, якщо тільки настройки .htaccess не конфліктують з настройками вашого сервера.
Є ще вкладка Robots, в якій можна редагувати файл robots.txt вашого сайту прямо з адмінки. Натиснувши на кнопку Fix ви дозволите пошуковим системам індексувати папку images. За замовчуванням в стандартному Роботс джумли це заборонено.
Але нас цікавить вкладка Security. Заходимо в неї і послідовно натискаємо всі чотири кнопочки - images folder, tmp folder, cache folder, Administrator / cache. Після цього в кожній з чотирьох директорій з однойменною назвою виникає файл .htaccess, який забороняє встановлювати в них файли з розширенням php. Все, від звичайних інтернет- хуліганів ви надійно захищені.
Тепер розглянемо можливість того, що ваш сайт атакував серйозний противник.
Захищаємо сайт Joomla від злому хакерами.
Для захисту від отакої напасті необхідно встановити компонент RSFirewall! Це платний компонент, на жаль, але він своїх грошей коштує. І відмінно захищає ваш сайт, блокуючи спроби злому.
Після установки заходимо у вкладку Налаштування системи і натискаємо кнопочку «Виконати перевірку системи». RSFirewall перевіряє вашу джумла і знаходить купу вразливостей. Їх має бути виправити. Якщо існує адмін сайту з логіном admin - його необхідно видалити і створити обліковий запис з іншим логіном. Якщо в папці tmp лежать якісь файли, крім index.html і покладеного компонентом Little Helper файлу .htaccess - їх необхідно видалити.
Також необхідно файл configuration.php і папку tmp перемістити з кореня сайту в корінь хостингу. Як це зробити грамотно, щоб сайт не втратила працездатності, розповідаю на прикладі файлу configuration.php.
Створюємо нову папку в корені вашого хостингу. Припустимо, це папка joomla-config-file. Хоча ви може назвати й інакше.
Перекладаємо в неї файл configuration.php з кореня сайту. Заходимо в configuration.php і копіюємо дані з змінної $ log_path, починаючи з одинарної лапки і закінчуючи слешем перед словами www / назва-сайту / logs.
Потім заходимо в файли /includes/defines.php і /administrator/includes/defines.php. У них необхідно змінити значення змінної JPATH_CONFIGURATION. Видаляємо значення JPATH_ROOT і вставляємо скопійоване з configuration.php рядок (в моєму випадку це / var / www / user22 / data /), не забувши обрамити її одинарними лапками і додати в кінець назва створеної вами папки (в моєму випадку це joomla-config- file). В результаті має вийти ось так: '/ var / www / user22 / data / joomla-config-file'.
Оновлення сайт. Якщо сайт працює, значить ви все правильно зробили.
Поверніться в RSFirewall, у вкладку Основні настройки >> Адміністративний пароль. Тут ви можете встановити додатковий пароль для входу в адміністративну панель. Потенцільному зломщикові (але і вам, звичайно, теж) перш, ніж отримати можливість спробувати увійти в адмінку, доведеться для початку подолати захист компонента.
Якщо самі ви не майстер вигадувати хитрі паролі, то краще скористатися онлайн-генератором паролів на сайті strongpasswordgenerator.com. Головне, не забути те, що створене, зберегти в надійному місці.
У вкладці Основні настройки >> Активний сканер в налаштуванні «Включити активний сканер для адміністративної панелі» поставте Ні, інакше при спробі вставити Java-script в матеріал (або, припустимо, нешкідливу Яндекс.Метрику в модуль) він буде безжально вирізатися.
Вітаю вас, справа зроблена! Тепер ваш сайт досить надійно захищений.