Блог-портал Masterpro.ws
Вопрос Оптимизация joomla
10 года 1 мес. назад - 10 года 1 мес. назад #1
от Aleksej
Несколько советов, предназначение которых - снизить риск взлома вашего сайта, работающего под управлением cms Joomla.
1. Измените установленный по умолчанию префикс (jos_) к таблицам в базе данных.
Как это сделать?
Большинство уязвимостей проявляются только в той или иной версии расширения; следовательно - совершенно ни к чему показывать номера версий. Выполните следующие действия:
Злоумышленники нередко используют «Google inurl: команду», чтобы найти уязвимость для того или иного эксплоита. Перепишите ссылки при помощи Artio, SH404SEF и других аналогичных компонентов.
4. Не забывайте обновлять Joomla и ее компоненты. Нелишне подписаться на уведомления по e-mail о выходе новых релизов на joomla.org.
5. Используйте правильный CHMOD для всех файлов и каталогов сайта.
CHMOD 777 для файлов и каталогов необходим лишь для записи в этот файл или каталог. Во всех остальных случаях:
7. Измените .htaccess:
8. и последнее. Бэкап, бэкап и еще раз бэкап! Избежите многих бессонных ночей, головной боли и седых волос.
Aleksej создал тему: Оптимизация joomla
Несколько советов, предназначение которых - снизить риск взлома вашего сайта, работающего под управлением cms Joomla.
1. Измените установленный по умолчанию префикс (jos_) к таблицам в базе данных.
Как это сделать?
- Войдите в панель управления Joomla!
- Зайдите в «Общие настройки»->«Сервер» и найдите панель «Установки базы данных».
- Там измените ваш префикс на любой произвольный и нажмите кнопку Сохранить.
- Зайдите в PhpMyAdmin для доступа к базе данных.
- Перейдите на вкладку экспорт, оставить все значения по умолчанию и нажмите кнопку «Пуск/Пошел». Экспорт данных может занять некоторое время.
- Когда все будет сделано, выделите весь код и скопируйте его в блокнот (или любой другой текстовый редактор), на всякий случай сохраните файл.
- В PhpMyAdmin выберите все таблицы, и удалите их. Обязательно убедитесь, что вы сохранили экспортированный до этого код, иначе потеряете данные сайта!!!
- В редакторе, выполните поиск и замену (как правило, Ctrl + H). Сделайте поиск по jos_ и измените его на ваш новый префикс (например: fdasqw_). Нажмите «Заменить все».
- Выберите все в редакторе и скопируйте. В PhpMyAdmin, перейдите на SQL, вставьте запросы (то, что вы скопировали в редакторе) и нажмите кнопку Пуск.
Большинство уязвимостей проявляются только в той или иной версии расширения; следовательно - совершенно ни к чему показывать номера версий. Выполните следующие действия:
- Загрузите файлы расширений с сервера.
- Откройте редактор кода.
- Откройте любой из файлов расширений.
- Начните поиск необходимого вам словосочетания, где указана версия расширения. Если вы не знаете, в каком конкретно файле искать - возможно воспользоваться поиском по всему каталогу расширений.
- Установите параметры поиска по словосочетанию «Версия расширения 2.14» (в качестве примера) и нажмите «ОК».
- Когда найден искомый запрос, удалите номер версии.
- Верните измененные файлы на сервер.
Злоумышленники нередко используют «Google inurl: команду», чтобы найти уязвимость для того или иного эксплоита. Перепишите ссылки при помощи Artio, SH404SEF и других аналогичных компонентов.
4. Не забывайте обновлять Joomla и ее компоненты. Нелишне подписаться на уведомления по e-mail о выходе новых релизов на joomla.org.
5. Используйте правильный CHMOD для всех файлов и каталогов сайта.
CHMOD 777 для файлов и каталогов необходим лишь для записи в этот файл или каталог. Во всех остальных случаях:
- PHP-файлы: 644
- Файлы конфигурации: 666
- Другие папки: 755
7. Измените .htaccess:
########## Начинаем запись правил чтобы заблокировать основные эксплойты
#
# Блокируем любой скрипт пытающийся получить значение mosConfig через URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [OR]
# Блокируем любой скрипт пытающийся отправить любое дерьмо чере base64_encode по URL
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR]
# Блокируем любой скрипт который содержит тег < script> в URL
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
# Блокируем любой скрипт, который пытается установить глобальную переменную PHP через URL
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
# Блокируем любой скрипт пытающийся изменить _REQUEST переменную через URL
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2}) [OR]
# Блокируем любой скрипт, который пытается установить CONFIG_EXT (баг в com_extcal2)
RewriteCond %{QUERY_STRING} CONFIG_EXT([|%20|%5B).*= [NC,OR]
# Блокируем любой скрипт, который пытается установить sbp or sb_authorname чере URL (баг simpleboard)
RewriteCond %{QUERY_STRING} sbp(=|%20|%3D) [OR]
RewriteCond %{QUERY_STRING} sb_authorname(=|%20|%3D)
# Отправляем все заблокированный запросы на главную с ошибкой 403 Forbidden!
RewriteRule ^(.*)$ index.php [F,L]
#
########## Заканчиваем запись правил чтобы заблокировать основные эксплойты8. и последнее. Бэкап, бэкап и еще раз бэкап! Избежите многих бессонных ночей, головной боли и седых волос.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.