Обезопасить сайт, сделанный на joomla

Как обезопасить сайт на joomla

Настройки Apache

Использование локального .htaccess файла

При помощи .htaccess файла возможно защитить часть каталогов паролем, ограничить к ним доступ, в том числе по IP-адресу.

В установке Joomla! существует уже сконфигурированный файл .htaccess, но по умолчанию его использование отключено. Файл называется htaccess.txt. Его необходимо переименовать в .htaccess и разместить в корневом каталоге сайта.

Вот подробная инструкция о защите сайта с помощью файла .htaccess на примере wordpress support.abcname.net/support/polzovatelyam/249.html

Настройки безопасности

Для обеспечения безопасности рекомендуется установить и настроить модули Apache mod_security и mod_rewrite.

Настройки MySQL

Сервер баз данных должен быть настроен таким образом, чтобы доступ из-вне был ограничен. К сожалению данные настройки можно сделать только для собственного сервера, так как хостеры самостоятельно настраивают сервера для хостинга.

Настройки PHP

Использование локальных php.ini

Редактирование файла настроек php.ini вряд ли будет разрешено хостером. Однако (при условии включения такой возможности со стороны хостера) возможно использование локальных файлов настройки. Для этого необходимо создать файл php.ini с собственными настройками и скопировать его во все каталоги, откуда могут загружаться файлы *.php.

Для Joomla! 1.5 это два каталога: корневой каталог сайта и каталог administrator/.

Отключение небезопасных функций

Для отключения функций PHP, которые могут привести к атаке на сайт необходимо прописать в локальных php.ini:

Использование open_basedir

Режим open_basedir должен быть включен и правильно сконфигурирован. Этот режим ограничивает набор файлов, открываемых при помощи PHP, определенными каталогами. В качестве значения директивы open_basedir указывается префиксное значение, то есть, если указано /dir/incl, то разрешается открытие файлов из каталогов /dir/include, /dir/inclusion и т.д. В случае, если необходимо указать конкретный каталог, то его название надо завершить косой чертой.

Иногда это может привести к ошибкам при работе Joomla!, в частности, если каталог для временных файлов окажется вне доступа для PHP. В этом случае в список путей надо добавить несколько каталогов. Например:

Использование безопасного режима PHP

По возможности использование безопасного режима не рекомендуется.

Использование register_globals

Автоматическая регистрация глобальных переменных используется очень часто. Включение данного режима позволяет видеть переменные, переданные при помощи POST или GET, как глобальные и непосредственно использовать их в программе.

Рекомендуется отключать данную возможность, так как ее включение крайне небезопасно.

Использование allow_url_fopen

Эта опция включает поддержку оберток (wrappers), которые позволяют работать с объектами URL, как с обычными файлами. Обертки, доступные по умолчанию, служат для работы с удаленными файлами по протоколу ftp или http.

Эта возможность включена по умолчанию и отключить ее можно только при помощи локального файла php.ini.

Для работы Joomla! Рекомендуется отключать данную опцию.