Безопасность и Joomla. RSFirewall

Вашему вниманию - без преувеличения, лучшее средство для защиты вашего сайта под управлением cms Joomla от различных видов хакерских атак.





Возможности RSFirewall:

• Защита от SQL инъекций, PHP, LFI и XSS инъекций. Защита от атак в режиме реального времени
• Анализатор сайта по двадцати четырём параметрам, влияющим на безопасность Joomla
• Расширенный системный журнал
• Защита административной зоны сайта при помощи пароля и дополнительных контуров безопасности
• Блокировка сайта от изменений
• Анализатор базы данных сайта
• Блокировка доступа к настройкам самого RSFirewall при помощи пароля
• Чёрный список IP адресов, которым запрещён доступ к сайту
• Разграничения прав доступа администраторам сайта к административной зоне и к отдельным компонентам
• Базовая защита от DoS атак
• Фильтрация загружаемых на сайт файлов
• Защита от сканирования сайта на наличие уязвимостей
• Защита учётной записи администратора от любых изменений
• И не только

За многочисленными подробностями позвольте адресовать вас на сайт разработчика этого действительно дельного расширения... в статье будут рассмотрены лишь несколько базовых особенностей настройки компонента. Впрочем, мы с вами - на форуме, и любые вопросы по делу здесь безусловно приветствуются.

Итак - установили. Что дальше?

Здесь - сразу небольшая оговорка. Установке компонента безусловно предшествует его покупка; RSFirewall необходимо именно купить. Именно и только купить; я понимаю, что звучит это слово несколько непривычно для многих и многих наших с вами коллег... да, не скачивать с трекера либо откуда-то еще, а - приобрести. Поверьте, паленый компонент, раздобытый вами неизвестно на каком варезном ресурсе и непонятно что содержащий в своих конфигах - нелучшая защита вашему сайту. Примеры того, в какую головную боль выливаются время от времени подобные способы "защиты" вы можете многажды увидеть на форумах рунета... ну, вот хотя бы и у нас .

Ок, надеюсь - мы с вами друг друга поняли... и вот теперь - дальше. После установки компонента совсем неплохо бы русифицировать RSFirewall. Языковой пакет также без проблем качается с сайта разработчика и устанавливается обычным порядком. Получилось?

Подобно легендарному ZoneAlarm , аннотация разработчиков которого в переводе на русский звучит примерно следующим образом - "Наш брандмауэр начинает защищать ваш сайт сразу, как только вы его установили..." - RSFirewall также вполне неплохо работает "из коробки". Тем не менее - для начала заходим все же в "Проверку системы", где жмем, само собой, "Выполнить проверку системы".

И - на пару минут запасаемся терпением. RSFirewall проведет ряд тестов и довольно скоро выдаст нам результат; мы узнаем, что его устраивает на нашем сайте, а что умный компонент считает полезным изменить. Впрочем, принимать ли рекомендуемые изменения либо нет - дело ваше.





Прежде всего - вполне вероятно, RSFirewall забракует конфигурацию php на вашем серваке. И тут же будет предложено сгенерировать файл php.ini, который может выглядеть, скажем, приблизительно так... ну, или каким-то иным образом:



Соглашайтесь; php.ini будет сформирован автоматически и размещен в публичном каталоге вашего сайта. Вполне возможно - этого окажется недостаточно, чтобы данные настройки начали работать... в этом случае - обратитесь к хостеру, который совершенно без проблем поможет вам увязать предложенную конфигурацию с вашим .htaccess; в зависимости от настроек сервера (клик, чтобы увеличить):





Разобрались и все получилось? Великолепно, теперь можно еще раз запускать проверку сайта... но перед этим пробегитесь по остальным рекомендациям RSFirewall и постарайтесь последовать его советам в как можно большем, что ли, объеме. Удалите ftp-пароль из админки, переименуйте администратора, позвольте компоненту изменить права файлов/каталогов и т.д. Также очень нелишне включить "Блокировку системы":

Блокировка системы
Блокировка вашей системы. ВНИМАНИЕ!!! Вы не сможете получить доступ к com_installer для установки новых компонентов и любой добавленный пользователь с доступом в админпанель будет немедленно удален. Если вы хотите внести изменения в Joomla!, отключите блокировку системы, внесите изменения, а затем включите снова.

Неудобно? Ничего, потерпите. Безопасность - необходимейшая вещь... после пары-другой попыток взломов/дефейсов раскрученного своего web-ресурса вы это прочувствуете. Что такое дефейс? Хм, взгляните хотя бы здесь .

Итак, повторно запускаем "Проверку системы". На этот раз результаты будут значительно лучше; RSFirewall поощрит вас более высокой, чем в первый раз, итоговой оценкой.

Очень рекомендую зайти в "Активный сканер" и хотя бы мельком рассмотреть имеющиеся там опции; поверьте, очень много интересного... вот вам лишь несколько скриншотов. Которые весьма эффектно иллюстрируют возможности RSFirewall (клик, чтобы увеличить):











Повторюсь; "закрутив гайки по полной" и попытавшись добиться максимальной степени безопасности для вашего сайта - вы непременно столкнетесь с рядом неудобств. Начнем с самого безобидного; попробовав разглядеть в админке своего сайта информацию о php, вы с удивлением убедитесь, что таковая отсутствует:





Ну, что же. Вы ведь сами включили в php.ini этот параметр, верно? -


Никогда не поздно его изменить. Не нужно забывать, что RSFirewall здесь, собственно, и ни при чем - он лишь порекомендовал вам такие параметры, не более. И если вы его завтра удалите или выключите (не советую) - сделанные вами настройки окажутся в силе, что естественно... впрочем, все не так страшно, согласитесь.

А вот это уже более серьезно. Попытавшись проверить обновления, мы получаем от Joomla следующее сообщение:

В конфигурации PHP параметр allow_url_fopen отключен. Для использования функций обновления необходимо включить allow_url_fopen.

Что же, придется искать приемлемый компромисс... удалите этот параметр, если уж совсем невмоготу. Впрочем - что мешает вам время от времени менять .htaccess на старый, дефолтный? Это ведь буквально две секунды для вашего ftp-клиента. А после окончания обслуживания сайта вы можете снова вернуть на место уже измененный .htaccess, в котором прописан путь к новому php.ini.

Черт, вот это уж совсем неприятно... при попытке установить расширение мы с вами получаем сообщение о невозможности загрузить файл на сервер; впрочем, RSFirewall здесь, как уже говорилось, совершенно ни при чем. Открываем php.ini и редактируем open_basedir; должно получиться что-то вроде


Теперь инсталляция новых расширений пойдет у вас без проблем.

И напоследок - ЦУ в контексте вашей лицензии... которую совершенно нет смысла искать в полученных сразу после покупки компонента электронных письмах - вы получите только логин/пароль; ну, еще и Order Number. Вам придется, залогинившись на сайте разработчика и открыв вкладку My Account - зайти в My Memberships и, нажав Licenses, введя имя домена, в котором расположен ваш сайт, защищаемый теперь RSFirewall - получить номер лицензии. Посредством которой вы активируете ваш RSFirewall, приобретя таким образом возможность своевременно узнавать о выходе новой версии продукта.





Enjoy! И - долгой и безопасной жизни вашему web-сайту!

Преамбула: мой сайт последние пару месяцев ведет себя как последняя свинья. Т.е. то явится, то растворится. Сначала это был iframe, найденный тобой и выкинутый с позором. Следом пришел развеселый base64, удаляемый вроде бы полностью, но образующийся вновь. И он, змей, сопровождается следующим эффектом: при прямом переходе или вводе в адресную строку сайт открывается корректно, но поисковики, уважительно ставя меня при запросе на заслуженное 1-е место, открывают между тем какую-то хрень, ранящую мое самолюбие зело глубоко. И так на любой машине!
Поставил сейчас rsfirewall. Уровень безопасности моего многострадального сайта после выполнения большинства его рекомендаций вырос с подленьких 69 до гордых 75, и он покрасил эту победную цифру зелененьким, пытаясь настроить меня на лирический лад. Но я не обольщаюсь, моя родина СССР: гугль ставит меня при поиске "товары из японии" на первое место и открывает корректно, но коварный яндекс пр аналогичном действии и результате продолжает баловать меня гороскопами. Когнитивный диссонанс налицо.
Так мало того: теперь rsfirewall заваливает меня письмами о перманентных попытках кого-то залогиниться. Т.е там все еще сидит какая-то дрянь, и гадит?
Трудно жить на свете октябренку Пете!

fluffy пишет: гугль ставит меня при поиске "товары из японии" на первое место и открывает корректно, но коварный яндекс пр аналогичном действии и результате продолжает баловать меня гороскопами. Когнитивный диссонанс налицо.
Так мало того: теперь rsfirewall заваливает меня письмами о перманентных попытках кого-то залогиниться. Т.е там все еще сидит какая-то дрянь, и гадит?

Яндекс медлителен; для начала неплохо бы избавиться от большинства проблем на сайте, а потом уже выяснять отношения с ним и его тех. поддержкой. Поисковики ведь имеют дело не напрямую с твоим сайтом; в режиме, так сказать, онлайн... а - со своей базой. Необходимо время, чтобы сайт был проиндексирован вновь и изменения повлияли бы на выдачу в поиске.

Кто-то упорно пытается залогиниться? Хм, прикольно. Прикройся вторым паролем, уже от RSFirewall, выставь в настройках "автоматически добавлять в blacklist после двух-трех неудачных попыток авторизации" для начала. Все ip из системного журнала, кроме твоего - в жбан.

Попался вот такой субъет американской национальности. Был забанен. И долбежка прекратилась. Занятно!
Спасибо,!

fluffy пишет: Попался вот такой субъект американской национальности. Был забанен.

Аминь. Но подозреваю, что это далеко еще не третья часть Мерлезонского балета. Все те файлы, где гнездилась завернутая в base64 дрянь - пропиши после очистки в RSFirewall, чтоб отслеживал на изменения и сразу отписывался на e-mail, если что.

P.S. RSFirewall -> Проверка системы -> Action - все permissions в порядке? - исправляются одним нажатием кнопки, там же.

И еще на один-два момента хотелось бы обратить твое внимание.

А именно; взлом Joomla происходит, как правило, через расширения Joomla. У тебя где-то дырка зияет громадная... совершенно необходимо обновить все расширения, установленные на сайте - до самой что ни на есть последней версии. Это, как правило, одно из лучших лекарств для атакованного тем либо иным способом сайта.

Далее. Даже через посредство уязвимых компонентов Joomla - атака возможна, чаще всего, только если


Поэтому рекомендациями RSFirewall в контексте php.ini пренебрегать не следует (клик, чтобы увеличить изображение):





75 баллов - это немного, хотя бы 90 нужно постараться набрать по версии RSFirewall (максимальная оценка у него, если не ошибаюсь, 96).

Со свежим списком уязвимостей расширений Joomla можно ознакомиться здесь, клик по ссылке .

Сам себе сотворил проблему - поставил в RSFierwall autobann ip адреса после 3х ошибок + доступ к админ панели только с 1-ip адреса. Я то думал что ошибки в наборе пароля считаются если подряд 3 раза ошибся, а оказалось, что суммарно. В течении какого-то времени я эти ошибки сделал и теперь мой IP в черном списке. Доступ по FTP есть. Можно ли как то решить проблему без восстановления из BackUp?? Если знаете что можно сделать - очень прошу помочь!!!

Dallex пишет: Я то думал что ошибки в наборе пароля считаются если подряд 3 раза ошибся, а оказалось, что суммарно. В течении какого-то времени я эти ошибки сделал и теперь мой IP в черном списке. Доступ по FTP есть.

Да нет здесь никаких особых проблем.
Переименуйте (все равно как) по ftp каталог RSFirewall, и заходите себе на здоровье. Обычно так делают. Войдете - удалите свой ip из блэклиста - переименуете обратно. Либо просто через web-proxy либо tor зайдите (если не успели выставить блокировку proxy в соответствующих настройках).

Спасибо за совет, но проблема все же есть : доступ в админку разрешен с одного ip и он заблокирован. Если я переименовываю com_rsfierwall и mod_rsfierwall в админке и в корне - доступ к сайту и к админке открывается (с сообщением об ошибке RSF), но саму панель фаервола в админке запустить для редактирования блэклиста невозможно. Скорее всего придется копаться в базе...Может быть знаете, в какие таблицы rsfierwall пишет данные по blacklist?

Dallex пишет: Спасибо за совет, но проблема все же есть : доступ в админку разрешен с одного ip и он заблокирован.

Посмотрел документацию; все гораздо проще. Просто переименуйте этот файл (выделено) -

I accidently locked myself out
I can't access my site anymore.

This could happen for various reasons, such as:

• your IP address was automatically added to the Blacklist area
• you accidentally added your own country to the Country block area
• you haven't allowed your user to access any component from within the Joomla! administrator area
• forgot the additional backend password

To overcome these restrictions, you will simply have to open your FTP account, head to plugins/system/ and rename rsfirewall.php. This will automatically disable the RSFirewall! System plugin, thus the firewall restrictions won't be applied.

Once you have completed the above step, you will be able to access your Joomla! administrator panel as you would normally do and revert your RSFirewall! settings. After you are done, remember to rename the file back.