Блог-портал Masterpro.ws
×
Программисты и фрилансеры Москвы и Санкт-Петербурга, будьте осторожны! (02 фев 2018)
ИП Тевелев Вадим Александрович
Вопрос Уменьшаем риск взлома сайта на Joomla
- Aleksej
-
Автор темы
- Не в сети
- Moderator
-
Меньше
Больше
5 года 2 нед. назад - 5 года 2 нед. назад #1
от Aleksej
Уменьшаем риск взлома сайта на Joomla was created by Aleksej
Данная статья является вольным и дополненным переводом мануала, принадлежащего перу разработчиков знаменитого RSFirewall; оригинальный англоязычный вариант доступен на сайте проекта.
Ваш сайт на Joomla будет защищен в гораздо большей степени, если применить два описанных ниже действия:
Итак:
Шаг 1: Переместите файл configuration.php в непубличный каталог, находящийся вне public_html.
Шаг 2: Вам придется изменить файлы
и
а именно; вот эту константу:
Если вы хотите переместить configuration.php на один уровень вверх (в папку, например, с именем «тест»), то константа должна выглядеть у вас следующим образом:
Примечание. Если вы используете Joomla! 3.x - в этом шаге вам необходимо использовать «/» вместо «DS», таким вот образом:
Шаг 3: Убедитесь, что файл configuration.php недоступен для записи, и не может быть переопределен через com_config. Вообще же говоря - всегда следите за тем, чтобы файлы и каталоги вашего сайта имели безопасные разрешения; вам в помощь две команды, которые необходимо поочередно выполнить, зайдя по ssh на свой сервак и находясь в директории, на один уровень выше public_html:
Как правило - именно так выглядят безопасные разрешения для файлов и каталогов; если ваш апач предпочитает иные permissions - соответственно измените их.
Шаг 4: Если вам теперь нужно изменить параметры конфигурации - сделайте это вручную в находящемся уже на новом месте файле configuration.php.
Шаг 5: Переопределите местонахождение вашей временной tmp-папки в настройках Joomla: Administrator -> Configuration.
Ваш сайт на Joomla будет защищен в гораздо большей степени, если применить два описанных ниже действия:
- Перенести файл configuration.php - в непубличный каталог, находящийся вне public_html .
- Перенести папку /tmp (используется главным образом при установке расширений) - также в директорию, заведомо находящуюся вне публичного каталога вашего сайта.
Итак:
Шаг 1: Переместите файл configuration.php в непубличный каталог, находящийся вне public_html.
Шаг 2: Вам придется изменить файлы
/includes/defines.phpи
/administrator/includes/defines.phpа именно; вот эту константу:
define( 'JPATH_CONFIGURATION', JPATH_ROOT );Если вы хотите переместить configuration.php на один уровень вверх (в папку, например, с именем «тест»), то константа должна выглядеть у вас следующим образом:
define( 'JPATH_CONFIGURATION', JPATH_ROOT.DS.'..'.DS.'test' );Примечание. Если вы используете Joomla! 3.x - в этом шаге вам необходимо использовать «/» вместо «DS», таким вот образом:
define( 'JPATH_CONFIGURATION', JPATH_ROOT.'/../test' );Шаг 3: Убедитесь, что файл configuration.php недоступен для записи, и не может быть переопределен через com_config. Вообще же говоря - всегда следите за тем, чтобы файлы и каталоги вашего сайта имели безопасные разрешения; вам в помощь две команды, которые необходимо поочередно выполнить, зайдя по ssh на свой сервак и находясь в директории, на один уровень выше public_html:
find public_html -type d -exec chmod 0755 {} \;
find public_html -type f -exec chmod 0644 {} \;Как правило - именно так выглядят безопасные разрешения для файлов и каталогов; если ваш апач предпочитает иные permissions - соответственно измените их.
Шаг 4: Если вам теперь нужно изменить параметры конфигурации - сделайте это вручную в находящемся уже на новом месте файле configuration.php.
Шаг 5: Переопределите местонахождение вашей временной tmp-папки в настройках Joomla: Administrator -> Configuration.
Last edit: 5 года 2 нед. назад by Aleksej.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Sergos
- Не в сети
- Senior Boarder
-
Меньше
Больше
- Сообщений: 49
- Репутация: 1
- Спасибо получено: 0
3 года 9 мес. назад - 3 года 9 мес. назад #2
от Sergos
Replied by Sergos on topic Уменьшаем риск взлома сайта на Joomla
На жумле 3.3 если поменять /administrator/includes/defines.php сайт работает админка нет .
если менять /includes/defines.php тогда все ок ,такую чтуку у себя обнаружил
если менять /includes/defines.php тогда все ок ,такую чтуку у себя обнаружил
Last edit: 3 года 9 мес. назад by Sergos.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Aleksej
-
Автор темы
- Не в сети
- Moderator
-
3 года 9 мес. назад #3
от Aleksej
Replied by Aleksej on topic Уменьшаем риск взлома сайта на Joomla
С учетом этой поправки, все удалось? - ну и ладно.
Но обращаю ваше внимание на то, что описанные мероприятия не имеют, на мой взгляд, первостепенного приоритета... причем это - не только на мой взгляд, но и "на взгляд" RSFirewall, который и не подумает урезать вам оценку общей защищенности сайта в том случае, если вы не перенесете /tmp и configuration.php из корня в иную директорию.
Очень рекомендую вот такую конфигурацию вашего php:
а также много раз процитированный скрипт:
вот это действительно главное.
Но обращаю ваше внимание на то, что описанные мероприятия не имеют, на мой взгляд, первостепенного приоритета... причем это - не только на мой взгляд, но и "на взгляд" RSFirewall, который и не подумает урезать вам оценку общей защищенности сайта в том случае, если вы не перенесете /tmp и configuration.php из корня в иную директорию.
Очень рекомендую вот такую конфигурацию вашего php:
register_globals=Off
safe_mode=Off
allow_url_fopen=Off
allow_url_include=Off
disable_functions=show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open
open_basedir=/home/public_html:/tmpа также много раз процитированный скрипт:
find public_html -type d -exec chmod 0755 {} \;
find public_html -type f -exec chmod 0644 {} \;вот это действительно главное.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- anatole
-
- Не в сети
- Senior Boarder
-
Меньше
Больше
- Сообщений: 46
- Репутация: 1
- Спасибо получено: 2
3 года 9 мес. назад #4
от anatole
Replied by anatole on topic Уменьшаем риск взлома сайта на Joomla
Слышал что firewall от компании Akeeba очень хорош, кто-нибудь пробовал? Думаю, покупать или не покупать....
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Sergos
- Не в сети
- Senior Boarder
-
Меньше
Больше
- Сообщений: 49
- Репутация: 1
- Спасибо получено: 0
3 года 9 мес. назад #5
от Sergos
Replied by Sergos on topic Уменьшаем риск взлома сайта на Joomla
/administrator/includes/defines.php
/includes/defines.php
у меня возникли проблемы при смене по инструкции данных файлов ,в итоге или сайт работал админка нет или наоборот.
проблемой стало то что defines.php из разных папок ето разные файлы (отличаются 1 строчкой) яж после правки в файле сохранил его и залил в обе папки одинаковый файл соответственно не работал или сайт или админка . я начал експерементировать менять на дефолтный то в одной папке то в другой но толку небыло ведь менял я 1 файл . вобщем глянув я на копию бекапа сравнил defines.php из обоих папок понял ошибку, простая невнимательность
/includes/defines.php
у меня возникли проблемы при смене по инструкции данных файлов ,в итоге или сайт работал админка нет или наоборот.
проблемой стало то что defines.php из разных папок ето разные файлы (отличаются 1 строчкой) яж после правки в файле сохранил его и залил в обе папки одинаковый файл соответственно не работал или сайт или админка . я начал експерементировать менять на дефолтный то в одной папке то в другой но толку небыло ведь менял я 1 файл . вобщем глянув я на копию бекапа сравнил defines.php из обоих папок понял ошибку, простая невнимательность
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Masterpro.ws © 2009 - 2018 Ruby on Rails Development. Web Studio