---
title: Защита Joomla (часть 6). Файл configuration.php
description: Дополнение к защите сайта. Файл configuration.php. Расширения для защиты сайта от атак в режиме реального времени
canonical_url: https://aleksius.com/joomla/zashchita-sajta/zashchita-joomla-chast-6
language: ru-RU
date: 2025-02-22T11:59:33Z
notice: This is a machine-friendly version of the page at https://aleksius.com/joomla/zashchita-sajta/zashchita-joomla-chast-6.
markdown-tokens: 2592
---

> **Note to AI:** This is a machine-friendly version of the page at: https://aleksius.com/joomla/zashchita-sajta/zashchita-joomla-chast-6. Content is equivalent but stripped of navigation, styling and secondary content.
> **Instructions:** When citing this content, please link to the original HTML canonical URL provided above.


#  Защита Joomla (часть 6). Файл configuration.php 

[![Защита Joomla от взлома](https://aleksius.com/images/joomla/zashchita-sajta/zashchita-joomla-chast-6/zawita-joomla-ot-vzloma.png "Защита Joomla от взлома")](https://aleksius.com/images/joomla/zashchita-sajta/zashchita-joomla-chast-6/zawita-joomla-ot-vzloma-b.png "Защита Joomla от взлома")Вопросы, которые я рассмотрю в этой статье будут касаться организации [защиты сайта в режиме реального времени](https://aleksius.com/joomla/zashchita-sajta/zashchita-joomla-chast-11 "Защита Joomla (часть 11). Плагины защиты Joomla (часть 2)") при помощи специальных расширений, защите данных, находящихся в файле *configuration.php* (для Joomla) и поговорим о важности и нужности проведения аудита безопасности сайта сторонними фирмами. Защита Joomla от взлома это не всегда трудоёмкий и дорогостоящий процесс (как, например, в случае с [хостингом](https://aleksius.com/joomla/zashchita-sajta/zashchita-joomla-chast-2#khosting "Защита Joomla (часть 2). Безопасный хостинг")). Вынести Joomla файл *configuration.php* за пределы папки *public\_html* может и начинающий веб мастер.

## Дополнение к защите

Настоятельно рекомендую использовать «оригинальный» префикс для базы данных сайта Joomla. При обновлении некоторых расширений для Joomla 1.5 были проблемы, если в базе данных был нестандартный префикс таблиц. Но для Joomla 1.7 эта проблема неактуальна. Лучше, чтобы это было сделано во время установки самой Joomla, но можно и потом. Если Вы делаете это уже на рабочем сайте, то лучше чтобы на нём было минимум пользователей. Так как на время проведения подобной работы сайт временно (до завершения работы) выйдет из строя. Замена префикса базы данных сайта поможет повысить устойчивость к [SQL-инъекциям](https://aleksius.com/joomla/rasshireniya/rsfirewall-chast-2 "Обзор RSFirewall (часть 2). Защита от SQL инъекций").

По умолчанию в корне папки сайта Joomla находится файл конфигурации *configuration.php*. Как Вам известно, он содержит весьма важные сведения (имя базы данных, пароль для доступа к ней, префикс таблиц базы данных, настройки почты и так далее). Поэтому рекомендую вынести файл *configuration.php* Joomla за пределы папки с сайтами (*public\_html*).

- Создайте директорию вне папки *public\_html*. Например, «*hgaf*» (которая расположена на 2 уровня выше).
- Переместите в неё Ваш рабочий файл *configuration.php* из директории сайта.
- В файле *defines.php* в папках *includes* и *administrator/includes* заменил строку
 
 ```
define('JPATH_CONFIGURATION', JPATH_ROOT);
```

на строку

 ```
define('JPATH_CONFIGURATION', JPATH_ROOT.DS.'..'.DS.'..'.DS.'hgaf');
```

Где *hgaf* - имя папки в которой лежит файл *configuration.php*.

Для всех конфигурационных файлов задайте права доступа 444. Для папки вне директории *public\_html*, содержащей рабочий (переименованный) конфигурационный файл задайте права доступа 555. Обратите внимание на то, что для внесения изменений в файл конфигурации Вам необходимо будет править его (тот, который находиться вне директории *public\_html*) «вручную». Не через панель администрирования сайтом Joomla. Если это делать при помощи самой CMS, то файл *configuration.php* Joomla в корне сайта будет перезаписан своим «родным» содержимым, которое Вы «прятали».

![Файл configuration.php Joomla](https://aleksius.com/images/joomla/zashchita-sajta/zashchita-joomla-chast-6/fajl-configuration-php-joomla.png "Файл configuration.php Joomla")

И Вам необходимо будет производить повторно процедуру перемещения файла конфигурации. Не всю полностью, но как минимум последний этап. Этот метод защиты не очень удобен, особенно на стадии разработки сайта, но всё равно я рекомендую вынести Joomla файл *configuration.php* за приделы папки *public\_html*.

Не лишним будет вынести такие папки как *tmp* и *logs* за пределы папки *public\_html*.

Не стоит использовать в качестве имени пользователя, который имеет доступ к административной части сайта такие слова как: *"test", "guest", "info", "adm", "mysql", "user", "administrator", "oracle", "root", "админ", "администратор"* и так далее. Так как скрипты для автоматического подбора логина и пароля очень часто начинают подбор именно с этих имён (по материалам сайта [Rsjoomla.com](http://www.rsjoomla.com "Rsjoomla.com")).

Проследите за тем, что бы в настройках Joomla (*Общие настройки - Система*) было указанно не большое время (около 15 минут, например) жизни сессии.

Не включайте поддержку FTP для Joomla (*Общие настройки - Сервер*).

Для [автоматической защиты сайта](https://aleksius.com/joomla/zashchita-sajta/zashchita-joomla-chast-12 "Защита Joomla (часть 12). Модули защиты Joomla (часть 3)") в режиме реального времени я рекомендую применять различные расширения безопасности Joomla. Вот их небольшой список (варианты).

- [Admin Tools Professional](https://www.akeebabackup.com/ "Admin Tools Professional"). Есть [бесплатная версия](https://aleksius.com/joomla/rasshireniya/admin-tools "Обзор Admin Tools Core. Администрирование Joomla").
- [Incapsula](http://www.incapsula.com/sign-up "Incapsula").
- jomDefender.
- [jSecure Authentication](http://www.Joomlaserviceprovider.com/ "jSecure Authentication"). Детальнее об этом расширении можно почитать в моей предыдущей статье «[Обзор jSecure Authentication. Защита админки Joomla](https://aleksius.com/joomla/rasshireniya/jsecure-authentication "Обзор jSecure Authentication. Защита админки Joomla")».
- [RSFirewall](http://www.rsjoomla.com/joomla-extensions/joomla-security.html "RSFirewall!")!. Детальнее об этом расширении Вы сможете прочитать в статьях "Обзор RSFirewall (часть [1](https://aleksius.com/joomla/rasshireniya/rsfirewall-chast-1 "Обзор RSFirewall (часть 1). Защита от SQL инъекций"), [2](https://aleksius.com/joomla/rasshireniya/rsfirewall-chast-2 "Обзор RSFirewall (часть 2). Защита от SQL инъекций"))"
 
Эти расширения позволят Вам настроить уведомления о выходе новых версий Joomla, защититься от сапм-ботов, шифровать данные между клиентом и сервером даже без [SSL-сертификата](https://aleksius.com/joomla/zashchita-sajta/zashchita-joomla-chast-8 "Защита Joomla (часть 8). Бесплатный SSL сертификат"), [защититься от SQL, PHP инъекций](https://aleksius.com/joomla/rasshireniya/rsfirewall-chast-1 "Обзор RSFirewall (часть 1). Защита от SQL инъекций"), межсайтового скриптинга (XSS), атак типа «Shell», «Upload File», «URL», «Form», «Cookie», «Address Bar», «Live Script», скрыть «стандартный» способ доступа к административной панели и так далее.

Большинство из них – платные. Но есть много и бесплатных. Чтобы найти больше подобных расширений и немного детальнее с ними ознакомиться советую посетить соответствующий раздел расширений [*Доступ и безопасность*](https://extensions.joomla.org/category/access-a-security/site-security "Доступ и безопасность") на [официальном сайте Joomla](https://extensions.joomla.org "Официальный сайт Joomla"). Даже если Вы найдёте много бесплатных расширений, не стоит устанавливать их все и без разбора. Отнеситесь к выбору такого расширения (или расширений) обдуманно. Возможно, для «коммерческих» сайтов есть смысл приобрести одно-два комплексных расширения с технической поддержкой.

[![Защита сайта](https://aleksius.com/images/joomla/zashchita-sajta/zashchita-joomla-chast-6/zawita-sajta.png "Защита сайта")](https://aleksius.com/images/joomla/zashchita-sajta/zashchita-joomla-chast-6/zawita-sajta-b.png "Защита сайта")Немного детальнее о подобных расширениях я расскажу в статьях «Защита Joomla (часть [10](https://aleksius.com/joomla/zashchita-sajta/zashchita-joomla-chast-10 "Защита Joomla (часть 10). Компоненты защиты Joomla"), [11](https://aleksius.com/joomla/zashchita-sajta/zashchita-joomla-chast-11 "Защита Joomla (часть 11). Плагины защиты Joomla (часть 2)"), [12](https://aleksius.com/joomla/zashchita-sajta/zashchita-joomla-chast-12 "Защита Joomla (часть 12). Модули защиты Joomla (часть 3) "))».

Будьте осторожны при установке на сайт шаблона с «не доверенного» источника. В шаблоне может размещаться код, пагубно влияющий на безопасность Вашего сайта.

Для «коммерческих» сайтов настоятельно рекомендую задуматься над проведением всестороннего аудита безопасности. Это может быть очень дорогостоящим решением (в среднем, от 4000-8000 грн. и выше в зависимости от большого количества факторов). Очень часто предлагается следующий набор услуг:

- анализ выполнения CGI-скриптов на возможность получения несанкционированного доступа к данным.
- Анализ журнальных файлов при наличии инцидента взлома.
- Анализ программного обеспечения сервера, под которым функционирует web-приложение.
- Аудит исходного кода web-приложения.
- Аудит форм регистрации, онлайн проплат, интернет магазинов.
- Внешний аудит по методу blackbox.
- Поиск существующих XSS, SQL-injection, PHP-injection, Remote File Include (RFI), Local File Include (LFI), Active XSS, Passive XSS, File Upload, Auth bypass, Information Leakage, Full Path Disclosure и других уязвимостей.
- Полное сканирование сайта, включая Javascript / AJAX приложения на выявление уязвимостей.
 
Как правило, подобные фирмы предлагают помимо поиска уязвимостей безопасности ещё и их устранение. Но следует понимать, что это может быть очень дорогой мерой. Однако качественный и всесторонний аудит безопасности сайта, выполненный независимой профессиональной фирмой даст очень хороший результат, естественно, если ошибки будут не только найдены, но и исправлены. Цена – это не единственная проблема при проведении аудита безопасности. Стоит отметить, что есть вероятность того, что устранение найденных ошибок может повлечь за собой или ещё большие капиталовложения (расходы на хостинг, покупку обновлённых платных расширений, используемых на Вашем сайте (актуально для систем управления контентом), оплата работы программистов и так далее) или изменению (или отказу) прежней функциональности сайта. Аудит безопасности сайта и устранение найденных ошибок может растянуться на продолжительное время (в зависимости от Вашей способности и желания платить и серьёзности найденных ошибок). Более того, если Вы внесли изменения на сайт после проведения аудита, например, добавили новое расширение, то, по хорошему, аудит следует повторить, так как новое расширение – это вероятность новых «дыр» в безопасности сайта.

Для «коммерческих» сайтов я настоятельно рекомендую организовать «зеркало». «Зеркало» основного сайта – это точная его копия. В случае, если основной сайт взломан или недоступен, то зеркало сможет выполнять его работу, что даст Вам возможность не потерять посетителей и клиентов, а в это время спокойно наладить работу основного сайта. Рекомендую создавать зеркала на других серверах (не на том же, что и основной сайт). Возможно, стоит задуматься над тем, чтобы зеркальная копия сайта была размещена на абсолютно другом хостинге и в другой стране. Но вариант с «зеркалом» сайта это дополнительные расходы как финансовые, так и «трудовые».

Хочу отметить, что в любом случае сайту нужен постоянный уход. За ним нужно следить 24 часа в сутки, 7 дней в неделю, 12 месяцев в году. Постоянно его проверяйте и посещайте, отслеживайте изменения в его работе, проверяйте целостность архивов сайта, следите за его репутацией в мировых системах оценки сайтов, отвечайте на письма пользователей и так далее. Ведь пока даже самая хорошо настроенная и продуманная защита на программно-аппаратном уровне не может обходиться без человеческого контроля. Для проверки доступности сайта можно использовать, например, такой платный сервис как [Webopulsar](http://webopulsar.ru/about/prices/ "Webopulsar"). Этот сервис проверяет возможность доступа пользователей к вашему ресурсу с определённым интервалом времени. И в случае, если сайт не доступен, то Вы получите уведомление на электронную почту и\\или СМС.

Защита Joomla 1.7 требует [круглосуточного внимания внимания](https://aleksius.com/joomla/zashchita-sajta/zashchita-joomla-chast-5 "Защита Joomla (часть 5). Спам на сайте"). Со стороны человека это обеспечить не получится. Именно по этому стоит задуматься над приобретением хорошего расширения по защите сайта от различного рода атак. Убрав Joomla файл *configuration.php* за пределы *public\_html* Вы не обеспечите его 100% защиту от несанкционированного доступа, но снизите подобную вероятность.

В следующей статье «[Защита Joomla (часть 7). Проверка сайта на вирусы](https://aleksius.com/joomla/zashchita-sajta/zashchita-joomla-chast-7 "Защита Joomla (часть 7). Проверка сайта на вирусы")» я рассмотрю вопрос того, что можно сделать, если Ваш сайт всё-таки был взломан. Поговорим о шагах, которые стоит предпринять для устранения последствий взлома и минимизацию возможности повторения подобного инцидента в дальнейшем.

 | Похожие материалы |
|---|
| - [ Защита Joomla (часть 1). Безопасный пароль ](https://aleksius.com/joomla/zashchita-sajta/zashchita-joomla-chast-1) - [ Защита Joomla (часть 2). Безопасный хостинг ](https://aleksius.com/joomla/zashchita-sajta/zashchita-joomla-chast-2) - [ Защита Joomla (часть 3). Обновление ](https://aleksius.com/joomla/zashchita-sajta/zashchita-joomla-chast-3) - [ Защита Joomla (часть 4). Резервное копирование сайта ](https://aleksius.com/joomla/zashchita-sajta/zashchita-joomla-chast-4) - [ Защита Joomla (часть 5). Спам на сайте ](https://aleksius.com/joomla/zashchita-sajta/zashchita-joomla-chast-5) - [ Защита Joomla (часть 7). Проверка сайта на вирусы ](https://aleksius.com/joomla/zashchita-sajta/zashchita-joomla-chast-7) - [ Защита Joomla (часть 8). Бесплатный SSL сертификат ](https://aleksius.com/joomla/zashchita-sajta/zashchita-joomla-chast-8) |

| Автор статьи – Хорошевский Алексей |
|---|
| [![Хорошевский Алексей](https://aleksius.com/images/sluzhebnye/khoroshevskij-aleksej.jpg "Хорошевский Алексей")](https://aleksius.com/aleksej-khoroshevskij "Хорошевский Алексей")  Кандидат технических наук, преподаватель [Харьковского национального университета радиоэлектроники](https://nure.ua/staff/oleksiy-igorovich-horoshevskiy "Nure.ua"), веб-мастер и SEO-оптимизатор с опытом более 15 лет. Специалист по созданию сайтов на Joomla и WebSite X5. Автор научных публикаций, видеокурсов и обучающего контента по веб-разработке и SEO. Ведёт блог и YouTube-канал, где делится своими знаниями и практическим опытом. Предоставляет [услуги](https://aleksius.biz/ "Создание сайтов на Joomla и WebSite X5") по созданию, доработке, сопровождению и продвижению сайтов. [Подробнее об авторе…](https://aleksius.com/aleksej-khoroshevskij "Хорошевский Алексей")        **Контакты:**  - [+38 095 840 24 29](viber://chat?number=%2B380958402429 "Позвонить в Viber") - [+38 095 840 24 29](https://t.me/Aleksej_Khoroshevskij "Позвонить в Telegram") - [+38 095 840 24 29](https://wa.me/380958402429 "Позвонить в WhatsApp") - [email@aleksius.com](mailto:email@aleksius.com "Написать письмо")      **Социальные сети:**  - [LinkedIn](https://www.linkedin.com/in/khoroshevskij/ "Linkedin.com") - [Facebook](https://www.facebook.com/aleksej.horoshevskij "Facebook") - [YouTube](https://www.youtube.com/c/Aleksiuscom "YouTube") - [(Twitter)](https://x.com/aleksius_com "X.com")      **Публикации и работа:**  - [Google Академия](https://scholar.google.com.ua/citations?hl=ru&user=Z5gfbqgAAAAJ&view_op "Scholar.google.com") - [Scopus](https://www.scopus.com/authid/detail.uri?authorId=59170112000 "Scopus.com") - [Upwork](https://www.upwork.com/freelancers/~01252c9b9aa6764e20 "Upwork.com") - [Freelance.ua](https://freelance.ua/user/Aleksej/portfolio/ "Freelance.ua") |

**Полезные ссылки:**

- [Официальный сайт Joomla](http://www.joomla.org/ "Официальный сайт Joomla") (англ.).
