Защита
Обзоры платных и бесплатных расширений для защиты сайтов Joomla от взлома. Защита админки; защита от DoS атак, SQL, PHP, LFI и XSS инъекций. Проверка сайта на вирусы, ограничение по IP. Запрет на создание учётных записей администраторов.
Обзор jSecure Authentication. Защита админки Joomla
- Тип – защита админки Joomla от несанкционированного доступа.
В статье «Обзор Siteguard. Проверка сайта на вирусы» я уже затрагивал тему повышения безопасности сайтов от несанкционированного доступа. В этой статье я хочу рассмотреть компонент (и плагин) для защиты админки сайта Joomla jSecure Authentication. Рассмотрение этого компонента будет проходить на примере системы управления контентом с открытым кодом Joomla версии 1.5.23. Версия jSecure Authentication 2.1.8. Сайт находится на локальном сервере (MySQL 5.1.4, PHP 5.3.3, Apache/2.2.4 (Win32) mod_ssl/2.2.4 OpenSSL/0.9.8k).
Хочу сразу отметить, что плагин Joomla jSecure Authentication, как и любое другое отдельно взятое средство, не защитит Вас на 100% от всех способов взлома сайта. Но это маленький шаг к повышению общей устойчивости сайта к атакам. Он просто помогает скрыть админку Joomla.
Возможно, у Вас может возникнуть вопрос: «А зачем вообще скрывать доступ к административной зоне сайта, если для входа в неё всё равно потребуется ввести логин и пароль?». С одной стороны, установка любого компонента, модуля и\или плагина добавляет в Ваш сайт код, в котором могут содержаться ошибки, открывающие новые способы для атаки, замедляющие Ваш сайт, увеличивающие нагрузку на сервер и время загрузки страниц сайта у пользователя в браузере. Так же есть вероятность возникновения конфликтов с уже существующими компонентами и с вновь устанавливаемыми. Для опытных веб-мастеров, возможно будет проще самостоятельно скрыть доступ к административной зоне. Например, при помощи .htaccess и\или правки исходного кода самой системы управления контентом. Однако это может оказаться несколько трудозатратным делом. Но в любом случае «стандартный» доступ ко входу в администраторскую зону сайта необходимо скрыть. Ведь не для кого не секрет, что для входа в администраторскую зону сайта Joomla необходимо просто дописать в конце имени сайта в строке адреса слово administrator. И перед вами откроется окно с полями ввода логина и пароля. Злоумышленник сразу увидит, что это Joomla (а скорее всего поймёт и какая версия 1.0, 1.5 и так далее), и начнёт применять скрипты, направленные на известные уязвимости в безопасности конкретно этой системы управления контентом. Можно сразу приступить к подбору логина и пароля (хотя есть куда более эффективные методы получения доступа к административной зоне сайта). Даже если лично Вы используете надёжные логин и пароль, то другой человек, имеющий доступ к административной зоне сайта может использовать что-то типа 123456 в качестве пароля. А увидеть логин можно, например, на форуме, где он в качестве администратора модерирует ту или иную ветвь. При использовании .htaccess Вы заставите вводить дополнительные логин и пароль для доступа к административной зоне сайта, что повысит безопасность. Однако это не всегда возможно и\или удобно и jSecure Authentication обладает ещё несколькими полезными функциями.
Обзор RSFirewall (часть 1). Защита от SQL инъекций
- Тип – компонент для комплексной защиты и защиты от SQL инъекций.
- Купить RSFirewall. Обновление и техническая поддержка на 12 месяцев для одного сайта.
- Купить RSFirewall. Обновление и техническая поддержка на 6 месяцев для нескольких сайтов.
- Купить RSFirewall. Обновление и техническая поддержка на 12 месяцев для нескольких сайтов.
- Обзор системы.
- Проверка системы.
- Проверка базы данных.
- Системный журнал.
- Блокировка системы.
- Русификатор RSFirewall.
В статье «Защита Joomla (часть 6). Файл configuration.php» был рассмотрен вопрос повышения защищённости сайта Joomla от взлома при помощи специальных расширений. В статьях «Защита Joomla (10, 11, 12)» были кратко рассмотрены различные расширения по обеспечению безопасности. В данной статье мы детальнее познакомимся с многофункциональным расширением (компонент, модуль, плагин) для защиты сайта от взлома Joomla RSFirewall. К его основным возможностям относится:
- защита от SQL инъекций, PHP, LFI и XSS инъекций и атак в режиме реального времени.
- Анализатор сайта по двадцати четырём параметрам, влияющим на безопасность Joomla.
- Расширенный системный журнал.
- Защита административной зоны сайта при помощи пароля и дополнительных контуров безопасности. Помимо этого рекомендую ознакомиться с описанием компонента защиты админки Joomla jSecure Authentication.
- Блокировка сайта от изменений.
- Анализатор базы данных сайта.
- Блокировка доступа к настройкам самого RSFirewall при помощи пароля.
- Чёрный список IP адресов, которым запрещён доступ к сайту.
- Разграничения прав доступа администраторам сайта к административной зоне и к отдельным компонентам.
- Базовая защита от DoS атак.
- Фильтрация загружаемых на сайт файлов.
- Защита от сканирования сайта на наличие уязвимостей.
- Защита учётной записи администратора от любых изменений.
- И многое другое.
Обзор RSFirewall (часть 2). Защита от SQL инъекций
- Тип – компонент для защита от SQL инъекций сайта Joomla.
- Купить RSFirewall. Обновление и техническая поддержка на 12 месяцев для одного сайта.
- Купить RSFirewall. Обновление и техническая поддержка на 6 месяцев для нескольких сайтов.
- Купить RSFirewall. Обновление и техническая поддержка на 12 месяцев для нескольких сайтов.
Учитывая, что XSS инъекция является серьёзной угрозой для сайтов, защита от неё так же важна как и защита от SQL инъекций. RSFirewall поможет Вам минимизировать вероятность XSS инъекции.
Основные настройки
Настройки Joomla RSFirewall разделены на семь вкладок.
- Доступ к RSFirewall.
- Чёрный список.
- Административный пароль.
- Доступ в админ панель.
- Проверка системы.
- Активный сканер.
- Журнал событий.
Рассмотрим их более детально.
Обзор osolCaptcha. Капча для Joomla
- Тип – капча для Joomla 1.7 1.5.
В стать «Защита Joomla (часть 5). Спам на сайте» была рассмотрена тема защиты от спама на сайте. Одним из таких способов является установка капчи для различных форм (регистрации, отправки письма, комментариев и так далее). В статье «Защита Joomla (часть 12)» были рассмотрены расширения, которые позволяют это сделать. Одно из таких расширений капча для Joomla 1.7 1.5 -osolCaptcha. Безусловно, установка данного расширения не избавит Вас полностью от спама, но поможет повысить защищённость от «роботов» (ботов), которые оставляют спам-сообщения автоматически. В общем, капча - это защита от спама.
Обзор jSecure Authentication 3. Защита админки Joomla
- Тип – платный компонент защиты админки Joomla 1.5 – 3.0.
- Базовые настройки.
- Аварийное отключение защиты jSecure Authentication.
- IP.
- Мастер-пароль.
- Контроль входа.
- Защита админки сайта паролем при помощи .htaccess и .htpasswd.
- Список директорий.
- Письма.
- Главная почта.
- Журнал.
- Показать журнал.
- Управление мета тегами.
- Завершить сессии.
- Справка.
- Русификатор jSecure Authentication Joomla 2.5 – 3.0.
В предыдущей статье «Обзор jSecure Authentication. Защита админки Joomla» была рассмотрена версия jSecure Authentication 2.1.8 на базе Joomla 1.5.23. С тех пор (30.07.2011) изменилось достаточно многое. В данном обзоре участвует последняя на момент написания статьи (28.01.2013) стабильная версия jSecure Authentication 3.0 (русский язык для jSecure Authentication можно скачать на странице «Русификатор jSecure Authentication») на примере работы с Joomla 3.0.2. К основным возможностям jSecure Joomla следует отнести следующие:
Обзор jSecure Lite. Защита админки Joomla
- Тип – бесплатный компонент защиты админки Joomla.
- Сравнение jSecure Authentication и Joomla jSecure Lite.
- Базовая конфигурация Joomla jSecureLite.
- Справка.
- Настройки.
- Joomla jSecure плагин.
- Аварийное отключение защиты Joomla jSecureLite.
- Русификатор Joomla jSecure Lite.
В предыдущих статьях «Обзор jSecure Authentication 3. Защита админки Joomla» и «Обзор jSecure Authentication. Защита админки Joomla» были рассмотрены платные версии компонента. В этой статье мы рассмотрим бесплатный компонент Jooml jSecure Lite. Это очень урезанный, по сравнению с jSecure Authentication, вариант. Но он выполняет свою главную роль – меняет «стандартный» путь доступа к админке Joomla или добавляет дополнительную форму авторизации. По сути, этим его функции и исчерпываются.
Обзор будет проходить в последней на момент написания статьи (13.03.2013) версии jSecure Lite 1.0, Joomla 3.0.3.
Обзор Akeeba Backup Pro, Core
- Тип – компонент резервного копирования сайта Joomla, ранее известного как JoomlaPack.
- Akeeba Backup Core – бесплатно.
- Системные требования Akeeba Backup (JoomlaPack).
- Сравнение Akeeba Backup Pro и Akeeba Backup Core.
- Установка Akeeba Backup Pro.
- Настройки Akeeba Backup Pro.
- Менеджер профилей.
Akeeba Backup Pro, ранее известный как JoomlaPack – это многофункциональный компонент, который позволяет осуществлять резервное копирование Joomla (файлов и базы данных). Данное расширение обладает большим количеством настроек и позволит архивировать сайты целиком или их отдельные части (выбранные файлы, папки, таблицы базы данных и так далее). Это можно сделать даже в том случае, если Ваш хостинг провайдер не предоставляет возможности архивации или эти возможности Вас не устраивают в полной мере.
Обзор Akeeba Backup Joomla 3
- Тип – компонент, который позволит создать бэкап Joomla 1.5 – 3.2.
- Akeeba Backup Core – бесплатно.
- Настройка Akeeba Backup.
- Бэкап Joomla 3.
- Включить данные в архив.
- Извлечь данные из архива.
- Управление резервными копиями.
- Отладчик ALICE.
- Мастер перемещения сайта.
- Данные расписания.
- Часто задаваемые вопросы.
В предыдущей статье «Обзор Akeeba Backup Pro, Core» мы рассмотрели основные возможности Joomla Akeeba Backup, системные требования и разницу между платной и бесплатной версиями компонентов. Стоит отметить, что на сайте разработчика есть очень много справочной информации по компоненту. К сожалению, она вся на английском языке. Скорость и качество технической поддержки (при наличии актуальной подписки) весьма органично дополняет качественный программный продукт.
Отмечу, что после установки компонента, его автоматической самонастройки, по большому счёту, он сразу готов к архивации. Но исходя из собственного опыта хочу сказать, что лучше внести изменения в настройки исходя из особенностей каждого конкретного сайта. С течением времени, возможно, может понадобиться корректировка этих настроек.
Обзор Akeeba Backup Professional. Резервное копирование Joomla
- Тип – компонент для копирования сайта CMS Joomla 2.5 - 3.2.
- Akeeba Backup Core – бесплатно.
- Резервное копирование Joomla.
- Восстановление сайта.
- Akeeba SiteDiff и Akeeba eXtract Wizard.
- Ошибки в работе Akeeba Backup.
В предыдущей статье «Обзор Akeeba Backup Joomla 3» мы рассмотрели возможности компонента для резервного копирования Joomla сайта. В этой части статьи мы коснёмся практических вопросов по работе с Akeeba Backup Professional. Часть из них будет актуальна и для бесплатной версии компонента.
Обзор eKerner Captcha – NoCaptcha. Joomla капча
- Тип – плагин Joomla captcha без необходимости ввода символов.
eKerner Captcha – NoCaptcha – это плагин Joomla для защиты от спама формы регистрации без необходимости ввода символов. В принципе, защита от спама возможна не только для регистрации, но и для формы контактов и везде, где можно подключить стандартный плагин капчи Joomla. Защита происходит в автоматическом режиме на основании поведения пользователей (или ботов) и не требует от людей ввода никаких символов, выбора картинок, отметки о том, что «Я не робот» и так далее. А это, очень сильно влияет на удобство пользования сайтом – юзабилити.
Обзор RSFirewall. Компонент безопасности и антивирус для Joomla
- Тип – компонент Джумла для защиты сайта от взлома.
- Купить RSFirewall. Обновление и техническая поддержка на 12 месяцев для одного сайта.
- Купить RSFirewall. Обновление и техническая поддержка на 6 месяцев для нескольких сайтов.
- Купить RSFirewall. Обновление и техническая поддержка на 12 месяцев для нескольких сайтов.
- Основные возможности и особенности.
- Проверка Joomla.
- Проверка базы данных.
- Системный журнал.
- Чёрный/Белый списки.
- Исключения.
- Настройки фаервола.
- Русификатор RSFirewall.
RSFirewall – комплексный компонент для защиты Joomla от SQL, PHP, LFI, XSS инъекций (RCE – удалённое выполнение кода), спама, DoS атак, подбора паролей (brute-force) и доступа к админке сайта в режиме реального времени. Также расширение укомплектовано специализированным антивирусом и анализатором целостности файлов самой CMS Joomla. В его арсенале есть журнал попыток атак, модуль проверки защищённости сайта от взлома и чёрный/белый списки. RSFirewall весьма гибко настраивается в плане исключений компонентов, URL адресов и браузеров (user agent). Плюс, он позволяет блокировать доступ к сайту по IP, странам/континентам или по юзер агентам (user agent). И это не исчерпывающий список возможностей компонента по защите сайта от взлома. Бонусом является наличие хорошей технической поддержки и документации на английском языке. Сам компонент, его плагины и модуль переведены на русский язык.
Обзор Admin Tools Core. Администрирование Joomla
- Тип – компонент Джумла.
Admin Tools Core – бесплатный русскоязычный компонент Joomla для упрощения администрирования: защита админки паролем, очистка папки «tmp», изменение кодировки базы данных, починка и оптимизация таблиц базы данных, создание перенаправлений и другие полезные опции. Это можно сделать и без дополнительного расширения, но оно упрощает выполнение таких задач и сводит их в один интерфейс (рисунок ниже).
Обзор ECC EasyCalcCheck Plus. Капча для защиты Joomla от спама
- Тип – плагин капчи в Джумла.
- Видео обзор.
- Основные возможности и особенности.
- Настройки плагина.
- Русификатор ECC EasyCalcCheck Plus.
ECC+ - EasyCalcCheck Plus – это бесплатный русскоязычный плагин капчи для Joomla. Он защищает встроенные и сторонние расширения при помощи собственных методов проверки и при помощи интеграции с антиспам сервисами: reCaptcha, Akismet, Honeypot Project, StopForumSpam и Botscout. Встроенные методы включают в себя: арифметические задачи, ответ на заданный вопрос, скрытое поле, блокировку по времени и защиту от SQL-инъекций и включения локальных файлов. При помощи ECC+ - EasyCalcCheck Plus можно защитить от спама формы таких расширений: Community Builder, JomSocial, Kunena, Phoca Guestbook, VirtueMart и другие. При помощи настраиваемого вызова плагин можно загрузить в любую форму Joomla. ECC+ также позволяет защитить админку при помощи токена.
Обзор Easy Joomla Backup. Резервное копирование Joomla
- Тип – компонент Джумла.
- Видео обзор.
- Основные возможности и особенности.
- Настройки.
- Плагин Easy Joomla Backup Cronjob.
- Создание резервной копии Joomla.
- Как восстановить сайт Джумла из резервной копии.
EJB - Easy Joomla Backup Free – русскоязычный бесплатный компонент для резервного копирования сайта Joomla. Позволяет создавать три вида копий: полная, только база данных, только файлы. Можно запускать копирование по расписанию при помощи планировщика CRON. Можно исключать файлы и папки. Также Вы можете настроить количество копий, которое должно храниться на хостинге.
В предыдущей статье «Обзор Akeeba Backup Pro, Core» мы уже рассматривали компонент для резервного копирования сайта. Несмотря на то, что Easy Joomla Backup менее функциональный чем Akeeba Backup Core, он вполне справляется со своей задачей. Особенно если учесть наличие автоматического резервного копирования по расписанию в бесплатной версии.