Відключаємо потенційно небезпечні директиви рнр
Якщо ви ще не зробили цього після установки Joomla, зробіть це зараз. Ранні версії Joomla не запускати, якщо каталог installation не видалений. Версія 1.5 запускається, але на панелі управління ви побачите відповідне повідомлення.
Зловмисник може "перевстановити" систему без вашого відома, якщо ви не видалили каталог інсталятора. Тому саме час це зробити.
Відключаємо директиву register_globals
Найпримітивніша в реалізації, але і одна з найефективніших захистів Joomla полягає в виключенні директиви register_globals. Якщо у вас є доступ до файлу конфігурації php .ini, відкрийте його і вимкніть цю директиву:
Директива register_globals - це не дірка в РНР, просто деякі розробники, в тому числі і розробники Joomla, не вміють правильно писати код з включеною директивою registerglobals. Це я заявляю відкрито, оскільки, якби код був написаний правильно, про цю проблему не було б згадок в кожному посібнику з Joomla-безпеки. У будь-якому випадку цю директиву краще вимкнути.
Якщо у вас немає доступу до файлу php.ini, попросіть адміністратора хостингу вимкнути її або ж створіть файл .htaccess і помістіть його в кореневий каталог Joomla. Файл .htaccess повинен бути такого змісту:
php_value register_globals 0
Відключаємо інші потенційно небезпечні директиви РНР
Директива disable_functions містить список заборонених РНР-функцій. На добре захищеному хостингу цей список виглядає так:
disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open
Також потрібно вимкнути директиви safe_mode і allow_url_fopen:
safe_mode = 0 allow_url_fopen = 0
Останні дві директиви, якщо немає можливості редагувати файл php. ini, можна додати в файл. htaccess:
php_value safe_mode 0 php_value allow_url_fopen 0
Встановлюємо правильні права доступу
Встановіть до файлу конфігурації configuration.php права доступу у вигляді значення 444. Правда, після цього ви не зможете змінювати параметри Joomla (буде потрібно заново встановити права 666, потім змінити файл і знову встановити права 444):
chmod 444 configuration.php
На всі файли встановіть права доступу у вигляді значення 644 (крім configuration, php), а на все каталоги - у вигляді значення 755. Але це потрібно зробити вже після того, як налаштували сайт і встановили всі необхідні розширення. Права зі значенням 777 потрібно встановити тільки на наступні каталоги:
administrator / backups /;
cache /;
images /;
images / banners /;
images / stories /.
Бажано захистити каталог administrator паролем. У багатьох панелях управління хостингу є така можливість, і реалізувати захист паролем можна за лічені секунди. За детальною консультацією можна звернутися до служби технічної підтримки хостера.
Мал. 8.1. Вибір каталогу для захисту паролем
Мал. 8.1. Вибір каталогу для захисту паролем
Мал. 8.2. установка пароля
Я допоможу вам хіба що з панеллю DirectAdmin, яку використовую сам. На головній сторінці виберіть команду Захист папок паролем, потім - команду Вибрати папку для захисту, після чого перейдіть в каталог, в який ви встановили Joomla, і навпаки каталогу administrator клацніть на посиланні Protect (рис. 8.1), щоб ввести пароль доступу (рис. 8.2). Повний шлях до свого каталогу administrator на рис. 8.2 я затер з міркувань безпеки.