Защищаем сайт от взломов

  • 16.07.2006
  • Fon

По сообщению AndyR, автора популярных русских сборок Joomla Paranoia, за последние 2 суток только ему стало известно о восьми случаях взлома сайтов на Joomla!. Однако, во всех случаях причиной взлома стали не уязвимости Joomla, а невыполнение администраторами этих сайтов простейших правил безопасности.

Причина №1: файл конфигурации доступен по записи

Вся «левая» информация помещается прямо в файл configuration.php, который, как известно, загружается всегда по include перед любыми данными. В результате вместо сайта стартует та информация, которая помещается в этот файл.

Исправления: восстановить файл configuration.php

Защита: снять права на запись с этого файла.

Причина №2: открытые по записи директории

В папку /administrator (если она доступна на запись!!!) записывается файл .htaccess (если он там отсутствует!!!) в котором переопределяется стартовый файл каталога: вместо index.php указывается другой файл, который тоже записывается в эту же папку. В результате, при запуске админки по пути (без явного указания имени файла), запускается «левый» файл, как правило, с турецкими или чеченскими национальными символами.

Исправление: удалить или восстановить файл .htaccess

Защита: следить за правами доступа или поместить в защищаемые папки файл .htaccess нулевой длины, прмещенный туда через FTP.

ПРИМЕЧАНИЕ: Описанные методы не являются недостатками Joomla, а скорее результат русского «авось», когда пользователь на следит на правами на имеющиеся файлы и папки.

Заключение

Еще раз хочется обратить внимание, на то, что после успешной установки и настройки Joomla и ее расширений, нет никакой необходимости оставлять права на запись в директории сайта (за исключением папок cache и images). Поэтому, сразу после завершения настройки сайта, рекомендуется провести ревизию прав на файлы и папки, и закрыть по записи все папки, кроме двух перечисленных. И уж конечно, нет никакого смысла оставлять доступным по записи файл конфигурации Joomla.

Это интересно:

Добавить комментарий

Обновить
Защитный код

Joomla!® CMS — пожалуй, лучшая система управления контентом с открытым исходным кодом

Joomla! — это больше, чем просто программное обеспечение, это люди, включающие разработчиков, дизайнеров, системных администраторов, переводчиков, копирайтеров, и, что самое главное — простых пользователей.

Мы рады пригласить вас в ряды нашего сообщества!

Скачать Joomla! 3 Документация Joomla! CMS Свернуть

Новости портала

Новое в блогах

Видео