×
Ruby on Rails: постинг твитов через Twitter API (04 нояб 2017)

Практикуемся в Ruby on Rails.

Вопрос Оптимизация joomla

Больше
6 года 11 мес. назад - 6 года 11 мес. назад #1 от Aleksej
Aleksej создал эту тему: Оптимизация joomla


Несколько советов, предназначение которых - снизить риск взлома вашего сайта, работающего под управлением cms Joomla.

1. Измените установленный по умолчанию префикс (jos_) к таблицам в базе данных.

Как это сделать?
  • Войдите в панель управления Joomla!
  • Зайдите в «Общие настройки»->«Сервер» и найдите панель «Установки базы данных».
  • Там измените ваш префикс на любой произвольный и нажмите кнопку Сохранить.
После этого сайт на время выйдет из строя, но ваши последующие действия это исправят:
  • Зайдите в PhpMyAdmin для доступа к базе данных.
  • Перейдите на вкладку экспорт, оставить все значения по умолчанию и нажмите кнопку «Пуск/Пошел». Экспорт данных может занять некоторое время.
  • Когда все будет сделано, выделите весь код и скопируйте его в блокнот (или любой другой текстовый редактор), на всякий случай сохраните файл.
  • В PhpMyAdmin выберите все таблицы, и удалите их. Обязательно убедитесь, что вы сохранили экспортированный до этого код, иначе потеряете данные сайта!!!
  • В редакторе, выполните поиск и замену (как правило, Ctrl + H). Сделайте поиск по jos_ и измените его на ваш новый префикс (например: fdasqw_). Нажмите «Заменить все».
  • Выберите все в редакторе и скопируйте. В PhpMyAdmin, перейдите на SQL, вставьте запросы (то, что вы скопировали в редакторе) и нажмите кнопку Пуск.
2. Удалите номера версий расширений Joomla вашего сайта.

Большинство уязвимостей проявляются только в той или иной версии расширения; следовательно - совершенно ни к чему показывать номера версий. Выполните следующие действия:
  • Загрузите файлы расширений с сервера.
  • Откройте редактор кода.
  • Откройте любой из файлов расширений.
  • Начните поиск необходимого вам словосочетания, где указана версия расширения. Если вы не знаете, в каком конкретно файле искать - возможно воспользоваться поиском по всему каталогу расширений.
  • Установите параметры поиска по словосочетанию «Версия расширения 2.14» (в качестве примера) и нажмите «ОК».
  • Когда найден искомый запрос, удалите номер версии.
  • Верните измененные файлы на сервер.
3. Используйте SEF компоненты.

Злоумышленники нередко используют «Google inurl: команду», чтобы найти уязвимость для того или иного эксплоита. Перепишите ссылки при помощи Artio, SH404SEF и других аналогичных компонентов.

4. Не забывайте обновлять Joomla и ее компоненты. Нелишне подписаться на уведомления по e-mail о выходе новых релизов на joomla.org.

5. Используйте правильный CHMOD для всех файлов и каталогов сайта.
CHMOD 777 для файлов и каталогов необходим лишь для записи в этот файл или каталог. Во всех остальных случаях:
  • PHP-файлы: 644
  • Файлы конфигурации: 666
  • Другие папки: 755
6. Деинсталлируйте неиспользуемые и неопубликованные расширения.

7. Измените .htaccess:
########## Начинаем запись правил чтобы заблокировать основные эксплойты
#
# Блокируем любой скрипт пытающийся получить значение mosConfig через URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [OR]
# Блокируем любой скрипт пытающийся отправить любое дерьмо чере base64_encode по URL
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR]
# Блокируем любой скрипт который содержит тег < script> в URL
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
# Блокируем любой скрипт, который пытается установить глобальную переменную PHP через URL
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
# Блокируем любой скрипт пытающийся изменить _REQUEST переменную через URL
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2}) [OR]
# Блокируем любой скрипт, который пытается установить CONFIG_EXT (баг в com_extcal2)
RewriteCond %{QUERY_STRING} CONFIG_EXT([|%20|%5B).*= [NC,OR]
# Блокируем любой скрипт, который пытается установить sbp or sb_authorname чере URL (баг simpleboard)
RewriteCond %{QUERY_STRING} sbp(=|%20|%3D) [OR]
RewriteCond %{QUERY_STRING} sb_authorname(=|%20|%3D)
# Отправляем все заблокированный запросы на главную с ошибкой 403 Forbidden!
RewriteRule ^(.*)$ index.php [F,L]
#
########## Заканчиваем запись правил чтобы заблокировать основные эксплойты

8. и последнее. Бэкап, бэкап и еще раз бэкап! Избежите многих бессонных ночей, головной боли и седых волос.
Последнее редактирование: 6 года 11 мес. назад от Aleksej.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.