Защита

• Тип – защита админки Joomla от несанкционированного доступа.

• Базовая конфигурация.
• Расширенная конфигурация.
• Русификатор jSecure Authentication.

В статье «Обзор Siteguard. Проверка сайта на вирусы» я уже затрагивал тему повышения безопасности сайтов от несанкционированного доступа. В этой статье я хочу рассмотреть компонент (и плагин) для защиты админки сайта Joomla jSecure Authentication. Рассмотрение этого компонента будет проходить на примере системы управления контентом с открытым кодом Joomla версии 1.5.23. Версия jSecure Authentication 2.1.8. Сайт находится на локальном сервере (MySQL 5.1.4, PHP 5.3.3, Apache/2.2.4 (Win32) mod_ssl/2.2.4 OpenSSL/0.9.8k).

Хочу сразу отметить, что плагин Joomla jSecure Authentication, как и любое другое отдельно взятое средство, не защитит Вас на 100% от всех способов взлома сайта. Но это маленький шаг к повышению общей устойчивости сайта к атакам. Он просто помогает скрыть админку Joomla.

Возможно, у Вас может возникнуть вопрос: «А зачем вообще скрывать доступ к административной зоне сайта, если для входа в неё всё равно потребуется ввести логин и пароль?». С одной стороны, установка любого компонента, модуля и\или плагина добавляет в Ваш сайт код, в котором могут содержаться ошибки, открывающие новые способы для атаки, замедляющие Ваш сайт, увеличивающие нагрузку на сервер и время загрузки страниц сайта у пользователя в браузере. Так же есть вероятность возникновения конфликтов с уже существующими компонентами и с вновь устанавливаемыми. Для опытных веб-мастеров, возможно будет проще самостоятельно скрыть доступ к административной зоне. Например, при помощи .htaccess и\или правки исходного кода самой системы управления контентом. Однако это может оказаться несколько трудозатратным делом. Но в любом случае «стандартный» доступ ко входу в администраторскую зону сайта необходимо скрыть. Ведь не для кого не секрет, что для входа в администраторскую зону сайта Joomla необходимо просто дописать в конце имени сайта в строке адреса слово administrator. И перед вами откроется окно с полями ввода логина и пароля. Злоумышленник сразу увидит, что это Joomla (а скорее всего поймёт и какая версия 1.0, 1.5 и так далее), и начнёт применять скрипты, направленные на известные уязвимости в безопасности конкретно этой системы управления контентом. Можно сразу приступить к подбору логина и пароля (хотя есть куда более эффективные методы получения доступа к административной зоне сайта). Даже если лично Вы используете надёжные логин и пароль, то другой человек, имеющий доступ к административной зоне сайта может использовать что-то типа 123456 в качестве пароля. А увидеть логин можно, например, на форуме, где он в качестве администратора модерирует ту или иную ветвь. При использовании .htaccess Вы заставите вводить дополнительные логин и пароль для доступа к административной зоне сайта, что повысит безопасность. Однако это не всегда возможно и\или удобно и jSecure Authentication обладает ещё несколькими полезными функциями.

• Тип – компонент для комплексной защиты и защиты от SQL инъекций.
• Купить RSFirewall. Обновление и техническая поддержка на 12 месяцев для одного сайта.
• Купить RSFirewall. Обновление и техническая поддержка на 6 месяцев для нескольких сайтов.
• Купить RSFirewall. Обновление и техническая поддержка на 12 месяцев для нескольких сайтов.

• Обзор системы.
• Проверка системы.
• Проверка базы данных.
• Системный журнал.
• Блокировка системы.
• Русификатор RSFirewall.

В статье «Защита Joomla (часть 6). Файл configuration.php» был рассмотрен вопрос повышения защищённости сайта Joomla от взлома при помощи специальных расширений. В статьях «Защита Joomla (10, 11, 12)» были кратко рассмотрены различные расширения по обеспечению безопасности. В данной статье мы детальнее познакомимся с многофункциональным расширением (компонент, модуль, плагин) для защиты сайта от взлома Joomla RSFirewall. К его основным возможностям относится:

• защита от SQL инъекций, PHP, LFI и XSS инъекций и атак в режиме реального времени.
• Анализатор сайта по двадцати четырём параметрам, влияющим на безопасность Joomla.
• Расширенный системный журнал.
• Защита административной зоны сайта при помощи пароля и дополнительных контуров безопасности. Помимо этого рекомендую ознакомиться с описанием компонента защиты админки Joomla jSecure Authentication.
• Блокировка сайта от изменений.
• Анализатор базы данных сайта.
• Блокировка доступа к настройкам самого RSFirewall при помощи пароля.
• Чёрный список IP адресов, которым запрещён доступ к сайту.
• Разграничения прав доступа администраторам сайта к административной зоне и к отдельным компонентам.
• Базовая защита от DoS атак.
• Фильтрация загружаемых на сайт файлов.
• Защита от сканирования сайта на наличие уязвимостей.
• Защита учётной записи администратора от любых изменений.
• И многое другое.

• Тип – компонент для защита от SQL инъекций сайта Joomla.
• Купить RSFirewall. Обновление и техническая поддержка на 12 месяцев для одного сайта.
• Купить RSFirewall. Обновление и техническая поддержка на 6 месяцев для нескольких сайтов.
• Купить RSFirewall. Обновление и техническая поддержка на 12 месяцев для нескольких сайтов.

• Основные настройки.
  • Доступ к RSFirewall.
  • Чёрный список.
  • Административный пароль.
  • Доступ в админ панель.
  • Проверка системы.
  • Активный сканер.
  • Журнал событий.
• Настройки RSS-каналов и обновления.
• Примечания по работе с RSFirewall.

Учитывая, что XSS инъекция является серьёзной угрозой для сайтов, защита от неё так же важна как и защита от SQL инъекций. RSFirewall поможет Вам минимизировать вероятность XSS инъекции.

Основные настройки

Настройки Joomla RSFirewall разделены на семь вкладок.

1. Доступ к RSFirewall.
2. Чёрный список.
3. Административный пароль.
4. Доступ в админ панель.
5. Проверка системы.
6. Активный сканер.
7. Журнал событий.

Рассмотрим их более детально.

• Тип – капча для Joomla 1.7 1.5.

 В стать «Защита Joomla (часть 5). Спам на сайте» была рассмотрена тема защиты от спама на сайте. Одним из таких способов является установка капчи для различных форм (регистрации, отправки письма, комментариев и так далее). В статье «Защита Joomla (часть 12)» были рассмотрены расширения, которые позволяют это сделать. Одно из таких расширений капча для Joomla 1.7 1.5 -­osolCaptcha. Безусловно, установка данного расширения не избавит Вас полностью от спама, но поможет повысить защищённость от «роботов» (ботов), которые оставляют спам-сообщения автоматически. В общем, капча - это защита от спама.

• Тип – платный компонент защиты админки Joomla 1.5 – 3.0.

• Базовые настройки.
• Аварийное отключение защиты jSecure Authentication.
• IP.
• Мастер-пароль.
• Контроль входа.
• Защита админки сайта паролем при помощи .htaccess и .htpasswd.
• Список директорий.
• Письма.
• Главная почта.
• Журнал.
• Показать журнал.
• Управление мета тегами.
• Завершить сессии.
• Справка.
• Русификатор jSecure Authentication Joomla 2.5 – 3.0.

В предыдущей статье «Обзор jSecure Authentication. Защита админки Joomla» была рассмотрена версия jSecure Authentication 2.1.8 на базе Joomla 1.5.23. С тех пор (30.07.2011) изменилось достаточно многое. В данном обзоре участвует последняя на момент написания статьи (28.01.2013) стабильная версия jSecure Authentication 3.0 (русский язык для jSecure Authentication можно скачать на странице «Русификатор jSecure Authentication») на примере работы с Joomla 3.0.2. К основным возможностям jSecure Joomla следует отнести следующие:

• Тип – бесплатный компонент защиты админки Joomla.

• Сравнение jSecure Authentication и Joomla jSecure Lite.
• Базовая конфигурация Joomla jSecureLite.
• Справка.
• Настройки.
• Joomla jSecure плагин.
• Аварийное отключение защиты Joomla jSecureLite.
• Русификатор Joomla jSecure Lite.

В предыдущих статьях «Обзор jSecure Authentication 3. Защита админки Joomla» и «Обзор jSecure Authentication. Защита админки Joomla» были рассмотрены платные версии компонента. В этой статье мы рассмотрим бесплатный компонент Jooml jSecure Lite. Это очень урезанный, по сравнению с jSecure Authentication, вариант. Но он выполняет свою главную роль – меняет «стандартный» путь доступа к админке Joomla или добавляет дополнительную форму авторизации. По сути, этим его функции и исчерпываются.

Обзор будет проходить в последней на момент написания статьи (13.03.2013) версии jSecure Lite 1.0, Joomla 3.0.3.

• Тип – компонент резервного копирования сайта Joomla, ранее известного как JoomlaPack.
• Akeeba Backup Core – бесплатно.

• Системные требования Akeeba Backup (JoomlaPack).
• Сравнение Akeeba Backup Pro и Akeeba Backup Core.
• Установка Akeeba Backup Pro.
• Настройки Akeeba Backup Pro.
• Менеджер профилей.

Akeeba Backup Pro, ранее известный как JoomlaPack – это многофункциональный компонент, который позволяет осуществлять резервное копирование Joomla (файлов и базы данных). Данное расширение обладает большим количеством настроек и позволит архивировать сайты целиком или их отдельные части (выбранные файлы, папки, таблицы базы данных и так далее). Это можно сделать даже в том случае, если Ваш хостинг провайдер не предоставляет возможности архивации или эти возможности Вас не устраивают в полной мере.

• Тип – компонент, который позволит создать бэкап Joomla 1.5 – 3.2.
• Akeeba Backup Core – бесплатно.

• Настройка Akeeba Backup.
  • Расширенная конфигурация.
• Бэкап Joomla 3.
• Включить данные в архив.
• Извлечь данные из архива.
• Управление резервными копиями.
• Отладчик ALICE.
• Мастер перемещения сайта.
• Данные расписания.
• Часто задаваемые вопросы.
  • Как работают точки восстановления и как их отключить.
  • Ошибка «JFTP::chmod: Bad response» в административной части Akeeba Backup.
  • Ошибка T_OBJECT или белая страница при доступе к Akeeba Backup.
  • Где расположены архивные файлы.

В предыдущей статье «Обзор Akeeba Backup Pro, Core» мы рассмотрели основные возможности Joomla Akeeba Backup, системные требования и разницу между платной и бесплатной версиями компонентов. Стоит отметить, что на сайте разработчика есть очень много справочной информации по компоненту. К сожалению, она вся на английском языке. Скорость и качество технической поддержки (при наличии актуальной подписки) весьма органично дополняет качественный программный продукт.

Отмечу, что после установки компонента, его автоматической самонастройки, по большому счёту, он сразу готов к архивации. Но исходя из собственного опыта хочу сказать, что лучше внести изменения в настройки исходя из особенностей каждого конкретного сайта. С течением времени, возможно, может понадобиться корректировка этих настроек.

• Тип – компонент для копирования сайта CMS Joomla 2.5 - 3.2.
• Akeeba Backup Core – бесплатно.

• Резервное копирование Joomla.
• Восстановление сайта.
• Akeeba SiteDiff и Akeeba eXtract Wizard.
• Ошибки в работе Akeeba Backup.

В предыдущей статье «Обзор Akeeba Backup Joomla 3» мы рассмотрели возможности компонента для резервного копирования Joomla сайта. В этой части статьи мы коснёмся практических вопросов по работе с Akeeba Backup Professional. Часть из них будет актуальна и для бесплатной версии компонента.

• Тип – плагин Joomla captcha без необходимости ввода символов.

• eKerner Captcha - NoCaptcha.
• Настройка плагина.
• Русификатор eKerner Captcha - NoCaptcha.

eKerner Captcha – NoCaptcha – это плагин Joomla для защиты от спама формы регистрации без необходимости ввода символов. В принципе, защита от спама возможна не только для регистрации, но и для формы контактов и везде, где можно подключить стандартный плагин капчи Joomla. Защита происходит в автоматическом режиме на основании поведения пользователей (или ботов) и не требует от людей ввода никаких символов, выбора картинок, отметки о том, что «Я не робот» и так далее. А это, очень сильно влияет на удобство пользования сайтом – юзабилити.

• Тип – компонент Джумла для защиты сайта от взлома.
• Купить RSFirewall. Обновление и техническая поддержка на 12 месяцев для одного сайта.
• Купить RSFirewall. Обновление и техническая поддержка на 6 месяцев для нескольких сайтов.
• Купить RSFirewall. Обновление и техническая поддержка на 12 месяцев для нескольких сайтов.

• Основные возможности и особенности.
• Проверка Joomla.
• Проверка базы данных.
• Системный журнал.
• Чёрный/Белый списки.
• Исключения.
• Настройки фаервола.
• Русификатор RSFirewall.

RSFirewall – комплексный компонент для защиты Joomla от SQL, PHP, LFI, XSS инъекций (RCE – удалённое выполнение кода), спама, DoS атак, подбора паролей (brute-force) и доступа к админке сайта в режиме реального времени. Также расширение укомплектовано специализированным антивирусом и анализатором целостности файлов самой CMS Joomla. В его арсенале есть журнал попыток атак, модуль проверки защищённости сайта от взлома и чёрный/белый списки. RSFirewall весьма гибко настраивается в плане исключений компонентов, URL адресов и браузеров (user agent). Плюс, он позволяет блокировать доступ к сайту по IP, странам/континентам или по юзер агентам (user agent). И это не исчерпывающий список возможностей компонента по защите сайта от взлома. Бонусом является наличие хорошей технической поддержки и документации на английском языке. Сам компонент, его плагины и модуль переведены на русский язык.