Уменьшаем риск взлома сайта на Joomla

Данная статья является вольным и дополненным переводом мануала, принадлежащего перу разработчиков знаменитого RSFirewall; оригинальный англоязычный вариант доступен на сайте проекта.

---

Ваш сайт на Joomla будет защищен в гораздо большей степени, если применить два описанных ниже действия:

1. Перенести файл configuration.php - в непубличный каталог, находящийся вне public_html .
2. Перенести папку /tmp (используется главным образом при установке расширений) - также в директорию, заведомо находящуюся вне публичного каталога вашего сайта.

Обратите внимание на следующее обстоятельство: сказанное вовсе не означает, что вы попросту и без затей перебросите ваш .htaccess в в иную директорию, и на этом все; нет. Вам придется совершить некоторые действия, по шагам подробно расписанные ниже.

Итак:

Шаг 1: Переместите файл configuration.php в непубличный каталог, находящийся вне public_html.

Шаг 2: Вам придется изменить файлы


и


а именно; вот эту константу:


Если вы хотите переместить configuration.php на один уровень вверх (в папку, например, с именем «тест»), то константа должна выглядеть у вас следующим образом:


Примечание. Если вы используете Joomla! 3.x - в этом шаге вам необходимо использовать «/» вместо «DS», таким вот образом:


Шаг 3: Убедитесь, что файл configuration.php недоступен для записи, и не может быть переопределен через com_config. Вообще же говоря - всегда следите за тем, чтобы файлы и каталоги вашего сайта имели безопасные разрешения; вам в помощь две команды, которые необходимо поочередно выполнить, зайдя по ssh на свой сервак и находясь в директории, на один уровень выше public_html:


Как правило - именно так выглядят безопасные разрешения для файлов и каталогов; если ваш апач предпочитает иные permissions - соответственно измените их.

Шаг 4: Если вам теперь нужно изменить параметры конфигурации - сделайте это вручную в находящемся уже на новом месте файле configuration.php.

Шаг 5: Переопределите местонахождение вашей временной tmp-папки в настройках Joomla: Administrator -> Configuration.

На жумле 3.3 если поменять /administrator/includes/defines.php сайт работает админка нет .
если менять /includes/defines.php тогда все ок ,такую чтуку у себя обнаружил

С учетом этой поправки, все удалось? - ну и ладно.

Но обращаю ваше внимание на то, что описанные мероприятия не имеют, на мой взгляд, первостепенного приоритета... причем это - не только на мой взгляд, но и "на взгляд" RSFirewall, который и не подумает урезать вам оценку общей защищенности сайта в том случае, если вы не перенесете /tmp и configuration.php из корня в иную директорию.

Очень рекомендую вот такую конфигурацию вашего php:


а также много раз процитированный скрипт:


вот это действительно главное.

Слышал что firewall от компании Akeeba очень хорош, кто-нибудь пробовал? Думаю, покупать или не покупать....

/administrator/includes/defines.php
/includes/defines.php
у меня возникли проблемы при смене по инструкции данных файлов ,в итоге или сайт работал админка нет или наоборот.
проблемой стало то что defines.php из разных папок ето разные файлы (отличаются 1 строчкой) яж после правки в файле сохранил его и залил в обе папки одинаковый файл соответственно не работал или сайт или админка . я начал експерементировать менять на дефолтный то в одной папке то в другой но толку небыло ведь менял я 1 файл . вобщем глянув я на копию бекапа сравнил defines.php из обоих папок понял ошибку, простая невнимательность