1. Приветствуем Вас на нашем закрытом форуме для складчиков сайта cmsheaven.org. Если Вы частный вебмастер, фрилансер, владелец малого или среднего бизнеса, представитель студии по разработке сайтов - будем рады видеть Вас в наших рядах экономных людей.
    Регистрация на форуме возможна только после вступления в складчину

Решено Безопасность сайта на Joomla

Тема в разделе "Вопросы по Joomla CMS [тех. поддержка]", создана пользователем BMan13, 26 фев 2015.

Статус темы:
Закрыта.
  1. BMan13

    BMan13 Опытный складчик

    Регистрация:
    21 ноя 2014
    Сообщения:
    54
    Симпатии:
    6
    Уважаемые! Буквально на днях мой сайт пережил свою первую атаку! Хостер чуть не заблочил. Вот и хотелось бы узнать у более опытных товарищей кто какими расширениями пользуется чтобы защитить свой сайт.
    #1
  2. Modi34

    Modi34 Свой человек

    Регистрация:
    31 окт 2014
    Сообщения:
    2.033
    Симпатии:
    720
    Лично я настроил несколько серверов прямо на рабочем компьютере (один открытый и несколько закрытых с разными настройками и версиями php) и в первую очередь закрыл доступ ко всем портам кроме кроме нескольких необходимых (80 52 итп) настроил в публичной дириктории права на папки 755 и на файлы 644 + на конфиги 444 и отдельный bash скриптик следит за тем чтобы нигде в этой папке не были права 777. Так же тк я использую сайтик только для работы с заказчиками (пока что чуть позже будет блог и опенсерсики) я настроил прикольный bash скриптик который регексом парсит логи при изменении и посылает мне уведомления через grawl https://www.dropbox.com/s/3w4mblafff8pm3e/Скриншот 2015-02-26 08.11.11.png?dl=0
    я еще все время мониторю трафик https://www.dropbox.com/s/051b7k64yrhgw63/Скриншот 2015-02-26 08.26.12.png?dl=0
    что-то подозрительное замечу сразу https://www.dropbox.com/s/a18vkwwq2fzfdbc/Скриншот 2015-02-26 08.28.05.png?dl=0
    в разработке толковая защита от типичных атак - их у меня было множество... более 170 -ти https://www.dropbox.com/s/4g6nd1zbz9dnmq2/Скриншот 2015-02-26 08.21.40.png?dl=0 тем же скриптом при обнаружении в ошибке апатча типичные подозрительные запросы типо (/cgi-bin/test-cgi или phpmyadmin или wp-admin или administrator итп или подозрительные клиенты типо the beast итп) будут баниться по ip временным правилом требующим подтверждением в конце дня...
    Так же скоро я подготовлю продвинутое шифрование - оно 40$ стоит и меня пока жаба душит))) а что касательно софта я с недавнего времени всегда покупаю лицензии....


    что касательно защиты сайтов на хостинге - это немного неадекватная позиция хостинга - они обязаны сами оказывать вам услуги по защите сайта...
    например раньше я пользовался услугами siteground - шикарный хостинг и если у меня что-то в безопасности было не так они сообщали мне по email и даже звонили спрашивая не нужна ли помощь... и это только в случае если они не могут что-то сами настроить тк это настройки joomla/// все остальное они делали сами... а тут после атаки на ваш сайт от вас в ультимативном порядке требуется что-то сделать))))


    а из расширений
    • jHackGuard
    • Akeeba Admin Tools
    • jomDefender
    • jSecure
    • RSfirewall

    желательно доступ к админке закрыть по ip через httaccess и еще паролем можно через httaccess....
    есть еще различные ip blacklists например http://www.ip-finder.me/ip-full-list/ - у них крутой api который позволяет создавать расширения - например на сайте что я скинул можно скачать расширение для wordpress с базами ip которым явно не следует давать доступ к вашему сайту...

    ну а вообще топик ооочень обширный... и я думаю что я многое упустил.... и возможно другие складчики меня дополнят ;)
    Последнее редактирование: 26 фев 2015
    #2
    modern.po и BMan13 нравится это.
  3. BMan13

    BMan13 Опытный складчик

    Регистрация:
    21 ноя 2014
    Сообщения:
    54
    Симпатии:
    6
    Спасибо! Много для себя почерпнул!
    #3
    Modi34 нравится это.
  4. Саня

    Саня Матерый складчик

    Регистрация:
    19 фев 2015
    Сообщения:
    227
    Симпатии:
    30
    хотел спросить, а в связке Akeeba Admin Tools и RSfirewall работать будут. а то я вчера только Akeeba Admin Tools поставил, там есть сетевой экран, они Akeeba Admin Tools и RSfirewall конфликтовать между собой не будут, или стоит ставить только одно расширение, или просто отключить сетевой экран в админтулзе ? как вообще лучше обороняться то ?
    #4
  5. Modi34

    Modi34 Свой человек

    Регистрация:
    31 окт 2014
    Сообщения:
    2.033
    Симпатии:
    720
    я бы рекомендовал бы ставить только одно из этих двух расширений... для своего сайта я бы поставил бы Akeeba тк можно авто backup на дропбокс настроить... хотя backup это тоже головная боль хостинга должна быть.....
    ставить 2 не пробовал иии если честно я в основном решаю все на уровне сервера, а расширениям не сильно доверяю... но по идее ничего конфликтовать не должно - попробуйте если видите в этом смысл (вроде функционал почти один и тот же)
    #5
    modern.po нравится это.
  6. Lordboy

    Lordboy Мастодонт Команда форума

    Регистрация:
    17 ноя 2014
    Сообщения:
    597
    Симпатии:
    366
    Если пользуетесь ISP (не CPanel) на хостинге, то там есть замечательная вкладочка World Wide Web в которой существует пункт "ограничение доступа". Он дает возможность настроить доступ на уровне хостинга. Так вот через него можно поставить логин и пароль на любой файл и папку. Нас в данном случае интересует папка administrator. После того, как сделаете эту процедуру - RSFirewall заткнется))) Поставил полгода назад и с тех пор никакого беспокойства связанного с бесконечными домоганиями с брутом)) Для вас это будет выглядеть так: сайт/administrator - окошко от ISP с логином и паролем - затем стандартный вход в админку. Там же есть возможность задать доступ по IP и т.д. (хотя это можно сделать способ, описанным выше, через dany from all ), это не главное - главное, что на уровне ХОСТА.
    #6
    BMan13 и webstudia нравится это.
  7. alwhite

    alwhite Матерый складчик

    Регистрация:
    9 окт 2014
    Сообщения:
    237
    Симпатии:
    31
    интересует еще возможность закрытия админу на фронте сайта изменять параметры... может быть вообще админу закрыть доступ к фронту сайта... как это делается?
    #7
  8. Lordboy

    Lordboy Мастодонт Команда форума

    Регистрация:
    17 ноя 2014
    Сообщения:
    597
    Симпатии:
    366
    Через настройки безопасности в админке Джумлы. Вкладка "Общие настройки"
    #8
    BMan13 нравится это.
  9. webstudia

    webstudia Свой человек

    Регистрация:
    10 окт 2014
    Сообщения:
    1.130
    Симпатии:
    220
    Это делается на любом нормальном хостинге. можно руками легко сделать двумя файлами.
    Делается так:
    1) Создаём файл .htaccess и добавляем в него эти строки.
    Код:
    AuthType Basic
    AuthName "ADMINISTRATOR"
    AuthUserFile  /home/srv53995/password.txt
    require valid-user
    AuthUserFile /home/srv53995/password.txt (это путь до файла с паролями. путь полный а не просто от корня сайта. файл класть в папку не доступную с интернета!!!) Название файла может быть любым.
    2) Теперь заполняем файл с паролями.
    Создаём файл с паролями. Например passwords.txt и идём на любой из онлайн генераторов htpasswd:
    http://seriyps.ru/crypt/htpasswd/
    http://www.htaccesstools.com/htpasswd-generator/
    https://htmlweb.ru/service/htpasswd.php
    http://eddnet.org/?page_id=232
    Генерируем имена и пароли и сохраняем их в файл с паролями.

    3) Теперь если положить в любую папку созданный нами файл .htaccess или добавить эту информацию в уже существующий .htaccess, то мы запаролим ту папку в которой он лежит.
    #9
    BMan13 нравится это.
  10. alwhite

    alwhite Матерый складчик

    Регистрация:
    9 окт 2014
    Сообщения:
    237
    Симпатии:
    31
    А они не влияют на настройки с бакенда?
    #10
  11. BMan13

    BMan13 Опытный складчик

    Регистрация:
    21 ноя 2014
    Сообщения:
    54
    Симпатии:
    6
    Смотря какую папку вы собираетесь паролить. В принципе, я думаю, будет достаточно поставить пароль на папку /administrator. Таким образом, как уже писали:
    #11
  12. webstudia

    webstudia Свой человек

    Регистрация:
    10 окт 2014
    Сообщения:
    1.130
    Симпатии:
    220
    Нет таких настроек там!!!
    #12
  13. Lordboy

    Lordboy Мастодонт Команда форума

    Регистрация:
    17 ноя 2014
    Сообщения:
    597
    Симпатии:
    366
    А это что? Категоричный ты наш... Или придрался к слову "безопасность"? Так, я думаю, все поняли о чем речь..
    [​IMG]
    Вопрос то прочти, который задали...
    #13
  14. webstudia

    webstudia Свой человек

    Регистрация:
    10 окт 2014
    Сообщения:
    1.130
    Симпатии:
    220
    :D:p:D:p:D:p:D:p
    #14
  15. Lordboy

    Lordboy Мастодонт Команда форума

    Регистрация:
    17 ноя 2014
    Сообщения:
    597
    Симпатии:
    366
    :D
    #15
Статус темы:
Закрыта.