Обсуждение Защита сайтов на Joomla

[makia]

А каким образом они могут узнать какой пароль от фтп, не понимаю...

Хранить пароли в FTP-клиентах, в браузерах, действительно, зло.
Многие юзают Strong DC и тп клиенты. Случайно расшаривают доступ к "ненужным" папкам. А вообще, слить пассы может и трой какой-нить, которого подцепить можно откуда угодно, если антивирусы во-время не оповестят..

Если по теме ТС, то я вижу безопасность, прежде всего:
- надежный и проверенный хостер,
- минимум лишних компонентов,
- сложные пароли
- актуальные обновления

 

[MetaSpirit]

RSFirewall! v1.0.0 Rev20 by RSjoomla!

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

 

[printsprint]

"Пока гром не грянет.." не задумываешься. Обязательно займусь безопасностью своих сайтов не откладывая. Спасибо всем за советы.

 

[nikhotin]

Как то обошли вниманием компонент Для просмотра ссылки Войди или Зарегистрируйся
Который по крону мониторит каталог с сайтом на сервере на наличие новых/измененных файлов.

Для просмотра ссылки Войди или Зарегистрируйся

 

[roof]

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

Добавлено через 2 минуты

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

 

[ukrmedshpora]

Если у вас стаический ІР, на котором сидите только вы (а не полгорода),то удобней

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

если не используете никаких других вспомогательных скриптов - то можно и не разрешать для вашего IP.

 

[1eandy]

Эксперименты с .htaccess

Прочёл статью буржуя по этой ссыле:

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

он предлагает изменить .хтаксесс таким образом:

########## Begin - Rewrite rules to block out some common exploits
#
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR]
# Block out any script that includes a < script> tag in URL
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2}) [OR]
# Block out any script that tries to set CONFIG_EXT (com_extcal2 issue)
RewriteCond %{QUERY_STRING} CONFIG_EXT([|%20|%5B).*= [NC,OR]
# Block out any script that tries to set sbp or sb_authorname via URL (simpleboard)
RewriteCond %{QUERY_STRING} sbp(=|%20|%3D) [OR]
RewriteCond %{QUERY_STRING} sb_authorname(=|%20|%3D)
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## End - Rewrite rules to block out some common exploits

По моему всё кроме последней инструкции ставит сайт раком Какие мысли по этому поводу?

 

[ukrmedshpora]

Ну почему? стандартная жумла со стандартными компонентами имхо должна чувствовать себя нормально, а вот со скриптами сторонних разработчиков могут быть проблемы.

 

[Polosat]

RS firewall - до того как поставил и настроил, от клиента были постоянные жалобы что ломают сайт и базу, делают дефейс и всё такое. Сайт специфической тематики поэтому стандартная Joomla 1.5 долго не жила. После того как поставил RS firewall жалобы от клиента прекратились.

 

[onyx1337]

Отключаем поиски всякие, сторонние возможности заливки контента пользователем, если это возможно. Подобные простые меры существенно снизят шансы на заливку к вам левых скриптов и взлома.