Защита сайта на CMS Joomla 1.5

Решил вот поговорить о защите сайта на Joomla.  Дело в том, что наши и ваши сайты, которые делаются на основе CMS Джумла, отличаются только содержимым, шаблоном. Но внутри наши сайты подобны, главные файлы, которые отвечают за работу сайта такие же. Они имеют одинаковые имена, одинаковые расширения. Мы создаем сайт на шаблоне, который дублируется тысячами каждый день.

После принятия решения — создать сайт, нужно также подумать, как максимально защитить сайт. Нет, непопулярный сайт никто не будет трогать, разве что для интереса и и для наработки навыков.

Но все равно нужно подумать заблаговременно — как защитить сайт, что бы если и взломали, то помучились.

С другой стороны сильно преувеличены возможности хакеров и прочих проблемных лиц. В основном опасность представляют люди, которые участвовали  в создании движка вашего сайта, работали в сфере, ну вы поняли. Но для чего им мой сайт, я же тайны мадридского двора не разглашаю, и Пентагон не ругаю, и все подобные другие лица. Так что профи меня обойдут стороной. А вот от самопала, таких как я, только любящих ломать то, что я создаю, нужно уберечь созданный сайт.

Первое.

Создать сайт, установить сайт. При установке сайта на хост я выполняю запуск установщика и прохожу этапы установки. Я должен в панели управления создать базу данных для сайта — MYSQL.  Здесь все просто — пароль и логин, должны быть длинными, довольно непонятными, без ассоциаций. Там не должно быль имени, фамилий, и любой другой информации, что с Вами ассоциируется. Почему?

Я недавно читал статью, в России, какой-то блогер по интернету вычислил бандитов, которые напали на машину. Он видел фото машины, знал местность, область, где оно произошло. И дал указания милиции со своего блога, где преступники прячутся. Вот и был повод для размышления. Но чаще всего работают ребята по схеме Митника — что-то подглядел, подслушал, использовал дружбу, да и хакером может быть сосед по площадке.

Второе.

Пароль и логин доступа храниться в файле на моем хосте, и я их туда вписывал, имя файла известно. Потому нужно только проникнуть в мой аккаунт на TimeWeb, можно через браузер, а можно используя FTP-агент. Там нужно знать логин и пароль к моему аккаунту. Логин выбирается на всю жизнь аккаунта, логин меняется. Потому выбираете логин предельно сложный, запишите его. Пароль меняется, меняйте его часто, не реже раза в неделю. Когда закончили работу с Вашим FTP-агентом, проследите, чтобы он не сохранил ваш логин и пароль.

Третье.

Когда дойдете до этого шага создания сайта на Джумле, при конфигурации базы данных, обратите внимание на строку префикса таблиц БД. Вот его то и стоит поменять на любой другой. В этом окошке будет указан префикс в таком формате: jos_. А я его поменял, ну например, rod_. Стоим ограничится тремя буквами, там есть масса вариантов. Но, обязательно напишите вот этот символ: _, его называют земля. Он должен присутствовать в префиксе таблиц БД.

Четвертое.

Когда зайдете в администраторский раздел сделанного сайта, нужно сразу пользователя admin заменить на другого пользователя, с правами главного администратора. А вот мой новый пользователь, под которым я и захожу в админку моего сайта имеет длинный логин, без ассоциации со мной, не такой логин, как к админке на TimeWeb. Пароль дело такое, можно менять часто. Все дело в осторожности. Главное, чтобы осторожность не перешла в паранойю.

Пятое.

Путь к вашей и моей админке. Создать сайт и привязать к домену. Все сделали, а потом как добраться к моей администраторской панели. Просто после домена набирать слеш и слово администратор. И попадает человек в окно, где нужно указать логин и пароль.  Он может находиться в здесь столько времени, сколько пожелает. И подбирать логин и пароль, вот почему, когда создали сайт, пользователя admin я сразу же удалил.

Потому нужно осложнить задачу взломщику. Я предлагаю установить плагин, что даст возможность кроме слова администратор, писать еще контрольное слово. И если это слово не совпадает с Вашим, допуск в входу в администраторской панели не выдаётся. Вся сложность в том, что при каждой ошибке, плагин перекидает взломщика на любую страницу вашего сайта. Хоть статистику просмотров созданного сайта подымет. Минус этого плагина — пароль и логин можно получить после взлома моего аккаунта на TimeWeb. Имя этому плагину plgSystemJSecure на момент написания статьи доступна 1.0.9 версия.

Вот в принципе и все о защите сайта на движке Joomla, если вы имеете информацию о других возможностях создать защищенный сайт от взлома, поделитесь информацией, думаю она будет полезна читателям блога.

Скачать плагин систем джумла секьюрити- plgSystemJSecure Скачано: 2064 раз.