Решено Безопасность сайта на Joomla

Уважаемые! Буквально на днях мой сайт пережил свою первую атаку! Хостер чуть не заблочил. Вот и хотелось бы узнать у более опытных товарищей кто какими расширениями пользуется чтобы защитить свой сайт.

Лично я настроил несколько серверов прямо на рабочем компьютере (один открытый и несколько закрытых с разными настройками и версиями php) и в первую очередь закрыл доступ ко всем портам кроме кроме нескольких необходимых (80 52 итп) настроил в публичной дириктории права на папки 755 и на файлы 644 + на конфиги 444 и отдельный bash скриптик следит за тем чтобы нигде в этой папке не были права 777. Так же тк я использую сайтик только для работы с заказчиками (пока что чуть позже будет блог и опенсерсики) я настроил прикольный bash скриптик который регексом парсит логи при изменении и посылает мне уведомления через grawl https://www.dropbox.com/s/3w4mblafff8pm3e/Скриншот 2015-02-26 08.11.11.png?dl=0
я еще все время мониторю трафик https://www.dropbox.com/s/051b7k64yrhgw63/Скриншот 2015-02-26 08.26.12.png?dl=0
что-то подозрительное замечу сразу https://www.dropbox.com/s/a18vkwwq2fzfdbc/Скриншот 2015-02-26 08.28.05.png?dl=0
в разработке толковая защита от типичных атак - их у меня было множество... более 170 -ти https://www.dropbox.com/s/4g6nd1zbz9dnmq2/Скриншот 2015-02-26 08.21.40.png?dl=0 тем же скриптом при обнаружении в ошибке апатча типичные подозрительные запросы типо (/cgi-bin/test-cgi или phpmyadmin или wp-admin или administrator итп или подозрительные клиенты типо the beast итп) будут баниться по ip временным правилом требующим подтверждением в конце дня...
Так же скоро я подготовлю продвинутое шифрование - оно 40$ стоит и меня пока жаба душит))) а что касательно софта я с недавнего времени всегда покупаю лицензии....


что касательно защиты сайтов на хостинге - это немного неадекватная позиция хостинга - они обязаны сами оказывать вам услуги по защите сайта...
например раньше я пользовался услугами siteground - шикарный хостинг и если у меня что-то в безопасности было не так они сообщали мне по email и даже звонили спрашивая не нужна ли помощь... и это только в случае если они не могут что-то сами настроить тк это настройки joomla/// все остальное они делали сами... а тут после атаки на ваш сайт от вас в ультимативном порядке требуется что-то сделать))))


а из расширений

• jHackGuard
• Akeeba Admin Tools
• jomDefender
• jSecure
• RSfirewall

желательно доступ к админке закрыть по ip через httaccess и еще паролем можно через httaccess....
есть еще различные ip blacklists например http://www.ip-finder.me/ip-full-list/ - у них крутой api который позволяет создавать расширения - например на сайте что я скинул можно скачать расширение для wordpress с базами ip которым явно не следует давать доступ к вашему сайту...

ну а вообще топик ооочень обширный... и я думаю что я многое упустил.... и возможно другие складчики меня дополнят

Спасибо! Много для себя почерпнул!

хотел спросить, а в связке Akeeba Admin Tools и RSfirewall работать будут. а то я вчера только Akeeba Admin Tools поставил, там есть сетевой экран, они Akeeba Admin Tools и RSfirewall конфликтовать между собой не будут, или стоит ставить только одно расширение, или просто отключить сетевой экран в админтулзе ? как вообще лучше обороняться то ?

я бы рекомендовал бы ставить только одно из этих двух расширений... для своего сайта я бы поставил бы Akeeba тк можно авто backup на дропбокс настроить... хотя backup это тоже головная боль хостинга должна быть.....
ставить 2 не пробовал иии если честно я в основном решаю все на уровне сервера, а расширениям не сильно доверяю... но по идее ничего конфликтовать не должно - попробуйте если видите в этом смысл (вроде функционал почти один и тот же)

интересует еще возможность закрытия админу на фронте сайта изменять параметры... может быть вообще админу закрыть доступ к фронту сайта... как это делается?

Это делается на любом нормальном хостинге. можно руками легко сделать двумя файлами.
Делается так:
1) Создаём файл .htaccess и добавляем в него эти строки.

Код:

AuthType Basic
AuthName "ADMINISTRATOR"
AuthUserFile  /home/srv53995/password.txt
require valid-user

AuthUserFile /home/srv53995/password.txt (это путь до файла с паролями. путь полный а не просто от корня сайта. файл класть в папку не доступную с интернета!!!) Название файла может быть любым.
2) Теперь заполняем файл с паролями.
Создаём файл с паролями. Например passwords.txt и идём на любой из онлайн генераторов htpasswd:
http://seriyps.ru/crypt/htpasswd/
http://www.htaccesstools.com/htpasswd-generator/
https://htmlweb.ru/service/htpasswd.php
http://eddnet.org/?page_id=232
Генерируем имена и пароли и сохраняем их в файл с паролями.

3) Теперь если положить в любую папку созданный нами файл .htaccess или добавить эту информацию в уже существующий .htaccess, то мы запаролим ту папку в которой он лежит.

А они не влияют на настройки с бакенда?

Смотря какую папку вы собираетесь паролить. В принципе, я думаю, будет достаточно поставить пароль на папку /administrator. Таким образом, как уже писали:

Нет таких настроек там!!!