Рейтинг:  4 / 5

Звезда активнаЗвезда активнаЗвезда активнаЗвезда активнаЗвезда не активна
 

Расширения, которые помогают защитить сайт от взлома и других неприятностей.

расширения для защиты сайта на joomla 3

Хочу обратить ваше внимание на то что не нужно устанавливать все расширения подряд и сразу.
Каждое расширение нужно тестировать, особенно на коммерческих сайтах, и там где принимается онлайн оплата.

Защита админки Joomla

В этой категории расскажу о 2-х расширениях.

AdminExile

Это простой плагин, который прячет админку Joomla. Рекомендую!

Официальный сайт разработчика >>

Настройки плагина выглядят так:

настройки adminexile

Your URL - здесь сразу указывается адрес по которму будет доступна админка Joomla, его можно скопировать и сохранить где-то у себя на компьютере.

URL Access Key - указывается секретный ключ

Use Key+Value - эта функция позволяет добавить к секретному ключу ещё и значение. 
Выглядеть будет так:

administrator/index.php?ключ=значение.

Если включить "Да", то появится поле в котором нужно ввести значение для ключа.

Allow Re-Entry - включить функцию входа без ключа, в секундах. По умолчанию стоит 60 секунд. Т.е. если вы вышли из админки, то в течении 60 секунд, можете зайти обратно без ключа. 

Redirect URL - адрес для перенаправления, при попытке войти без ключа.
Поддерживается значения в скобках: {HOME} - главная страница, {404} - страница ошибки 404 или полный путь с http:// до определённой страницы.

 

Jsecure Lite

Это целый компонент + плагин, хотя функционал не такой уж и большой.

Страница описания компонента на JED >>

Принцип работы такой же - прячет админку от посторонних глаз, добавляя к administrator/index.php?keyword

Сначала устанавливается компонент, потом плагин. Плагин не забудьте включить. Настроек там нет.
Все настройки находятся в компоненте.

настройки jsecure lite

Enable - включить/выключить защиту админки

Pass Key - метод использования секретного ключа. Url - это подстановка ключа к url адресу, Form - будет выводиться дополнительное поле в форме авторизации. На мой взгляд лучше использовать значение url, чтобы админку не смогли найти.

Redirect Option - вариант перенаправления при обращении к админке без секретного ключа.
Redirect to index page - перенаправлять на главную страницу сайта, Custom Path - перенаправлять на указанный адрес. Появится поле, в которое можно подставить нужный адрес.

В принципе, всё))

 

Инструменты безопасности

Security Check

Компонент фаервола с возможностью проверки вашего сайта на уязвимости.

Страница компонента >>

Существует бесплатная версия и версия Pro (от ~30 Евро или ~2200 руб.). В Pro версии доступны расширенные функции. Но и бесплатная версия достаточно функциональна.

При переходе в компонент вверху нас встречает панель с уведомлениями:

  • статус фаервола включен/выключен
  • статус журналов (прочтённые/не прочтённые)
  • статус обновления базы данных (работает для Pro версии)
  • общий статус безопасности системы

статус безопасности системы

90% в принципе не плохо!
Кнопка Check status - запускает функцию проверки безопасности системы, при котором компонент покажет вам слабые места и варианты их усиления. Некоторые функции доступны только в Pro версии.

Ниже идут опции и настройки.

 

настройки компонента security check

Check vulnerabilities - проверить расширения системы на известные уязвимости.

После проверки система покажет примерно следующее:

проверка joomla на уязвимости

Здесь список расширений, их версий и наличие у них известных уязвимостей. Кстати, система скажет вам что не установлен плагин, который показывает информацию об уязвимостях в реальном времени. Он доступен только для Pro версии. Это конечно, не критично, можно работать и в таком режиме.

File Manager - опция показывает файлы с неправильными правами.

View Web Firewall Logs - посмотреть журнал фаервола.

.htaccess Protect - включает защиту сайта при помощи своего файла .htaccess, с набором своих инструкций.
Компонент создаёт новый файл .htaccess, а у старого, если он был, изменяет название на .htaccess.backup

На мой взгляд стандартный файл .htaccess вполне работоспособен. А если вы хотите усилить защиту через него, то лучше всё таки знать как это делается, и не доверять эту работу компоненту. Т.е. делать ручками.

Дополнительно в этом разделе можно включить защиту админки. Это делается по тому же принципу что и в расширениях описанных выше.

Конфигурация компонента.

В большинстве случаев можно всё оставить по-умолчанию.

Глобальные настройки - здесь настройки использования оперативной памяти, длина секретного ключа и включение функции удаления мета тегов из шаблона Joomla. На соседней вкладке настройка Файлового менеджера: корневая папка и какие папки с файлами нужно исключить при анализе.

Web Firewall Configuration - это настройки системного плагина, рассмотрим ниже.

System info - информация о слабых местах вашего сайта на Joomla.

Control Center Configuration - настройка для Центра контроля, используется в версии Pro.

TASKS (задачи) - это последний блок, в котором расположены следующие задачи:

  • Initialize Data - очистить информацию о неверных правах и целостности файлов, которую собрал компонент.
  • Проверка версии компонента.
  • Экспорт и импорт настроек компонента. Полезно когда вы добились идеальных настроек и хотите экспортировать их на другой сайт.

Системный плагин Security Check, который собственно и работает как фаервол, то есть отслеживает атаки и угрозы в реальном времени. Протестирован на более чем 90 шаблонах XSS, SQL и LFI атак.

Почти все настройки установлены в значение по-умолчанию, и изменить их нельзя:

  • Списки IP белый/чёрный (можно изменять)
  • Методы (GET, POST, REQUEST) - это типы обращений к вашему сайту, которые компонент будет отслеживать.
  • Режим - всегда строгий.
  • Журнал - всегда вести журнал атак.
  • Перенаправление - страница переадресации при обнаружении атаки (не меняется, возможно в версии Pro можно изменить)
  • Второй уровень защиты (вкл/выкл)
  • Исключения для фильтров фаервола (для продвинутых пользователей)
  • Защита сессии пользователя - разрешает иметь пользователям только одну активную сессию.

Компонент довольно функционален даже в бесплатной версии, но а версия Pro даёт ещё больше возможностей.

После установки компонента, обязательно проверяйте все функции вашего сайта на работоспособность.

 

AdminTools

Широко известный компонент для администратора, позволяет получать важную информацию о системе, проверять права, защищать админку Joomla и имеет ряд других полезных функций.
Также рекомендую для использования на всех проектах!

Также есть обычная версия и версия Pro с более широким набором функций.

Ссылка на разработчика и документацию >>
Страница русской локализации >>

Вот так выглядит панель компонента AdminTools:

настройки admintools

Пойдём оп порядку:

Аварийный режим - позволяет запретить доступ к вашему сайту со всех IP кроме вашего.

Главный пароль - пароль для доступа к функциям компонента AdminTools. Главный администратор может дать доступ другим админам, только к определённому списку функций компонента, а другие закрыть паролем.

Защита администратора паролем - по другому называется basic авторизация. Это когда при входе в админку всплывает небольшое окошко с просьбой ввести дополнительный логин и пароль. Работает через .htaccess и .htpasswd
После ввода правильных логина и пароля, откроется страница входа в админку.

Настройка прав - здесь можно изменить права доступа к папкам и файлам.

Отладка прав доступа - автоматическая настройка и восстановление прав доступа к папкам и файлам.

Инструменты SEO и ссылки - включает редирект со старых адресов, а также даёт возможность переключить все ссылки в режим SSL, т.е. с http на https

Очистить папку tmp - очищает временную папку tmp

Изменить кодировку БД - изменяет кодировку знаков в базе данных на UTF-8

Отремонтировать и оптимизировать таблицы - по сути стандартная Джумловская функция которая исправляет ошибки в базе данных, она уже есть в Joomla и запускается из "Расширения - Менеджер Расширений - База Данных".

Очистить сессии - очищает сессии всех пользователей, вошедших на ваш сайт, и вашу в том числе. Т.е. всем придётся заново вводить логин и пароль.

Экспортировать и импортировать настройки - тут я думаю понятно, можно переносить настройки от сайта к сайту.

В профессиональной версии AdminTools имеет сканер php файлов и может уведомлять об изменениях файлов.

 

И ещё парочка расширений:

Marco's SQL Injection

Компонент защиты от SQL инъекций с уведомлением по эл.почте, тоже можно попробовать.

jHackGuard

Комопнент защиты от SQL инъекций, хакерских атак, XSS.

 

Резервное копирование Joomla

Akeeba Backup

Старый добрый компонент резервного копирования, которым пользуется большая часть веб-мастеров.

Сайт разработчика и описание >>

Есть две версии: платная и бесплатная.
В платной версии (которая стоит около 2.800 рублей), можно настроить автоматические бекапы по расписанию, и также можно запускать бекапы со смартфона.

В бесплатной версии функционал стандартный - резервное копирование файлов и баз данных. В akeeba Backup существуют профили бекапов. Каждый профиль можно настраивать по своему.
Например основной профиль можно настроить так, чтобы бекапился весь сайт полностью + БД.
А второй профиль можно настроить чтобы бекапилась только база, либо база + основная папка с изображениями.

Вот так можно исключать папки и файлы из резервной копии, это значения по умолчанию. Акиба не включает в бекап папки cache, tmp и logs:

исключение папок в Akeeba Backup

Такой подход позволяет сократить размер резервной копии.

Auto Backup Master

Это новый скрипт автоматического резервного копирования сайта в облако. Работает с Яндекс.Диском, DropBox и также позволяет отправлять бекапы на удалённый сервер по FTP.
Рекомендую!

AutoBackupMaster - скрипт автоматического резервного копирования

Настраивается один раз и больше к нему можно не возвращаться, поскольку ведётся цикличная запись резервных копий на Я.Диск/Dropbox. В настройках скрипта можно указать количество хранимых бекапов. Если кол-во превышено, то удаляется самый старый бекап.
Также можно указывать какие папки исключать из бекапа, чтобы делать его меньшего размера.

Страница презентации скрипта >>

 

Другие полезные сервисы

Мониторинг сайта 

http://find-xss.net/monitoring/ - простой мониторинг файлов сайта на изменение, удаление, а также на доступность сайта.

http://monitorus.pro - продвинутый мониторинг сайта, отслеживание в Роскомнадзоре и другие функции.

Сканер уязвимостей скриптов

http://find-xss.net/scanner/

Проверка устойчивости пароля

https://howsecureismypassword.net/

 

На этом всё, желаю вам удачи и успехов!

С уважением, Олег Касьянов.

X

Инструкция по планированию сайта
С чего начать создание сайта?

Инструкция по созданию сайта

  • Инструкция по созданию сайта
  • Шаблон для составления плана сайта
  • Чек-лист по этапам создания сайта

* Никакого спама. Гарантирую!