Як убезпечити сайт на joomla
налаштування Apache
Використання локального .htaccess файлу
В установці Joomla! існує вже сконфігурованих файл .htaccess, але за замовчуванням його використання відключено. Файл називається htaccess.txt. Його необхідно перейменувати в .htaccess і розмістити в кореневому каталозі сайту.
Ось докладна інструкція про захист сайту за допомогою файлу .htaccess на прикладі wordpress support.abcname.net/support/polzovatelyam/249.html
налаштування безпеки
Для забезпечення безпеки рекомендується встановити і налаштувати модулі Apache mod_security і mod_rewrite.
налаштування MySQL
Сервер баз даних повинен бути налаштований таким чином, щоб доступ через поза був обмежений. На жаль дані настройки можна зробити тільки для власного сервера, так як хостери самостійно налаштовують сервера для хостингу.
налаштування PHP
Використання локальних php.ini
Редагування файлу налаштувань php.ini навряд чи буде дозволено хостером. Однак (за умови включення такої можливості з боку хостера) можливе використання локальних файлів настройки. Для цього необхідно створити файл php.ini з власними настройками і скопіювати його в усі каталоги, звідки можуть завантажуватися файли * .php.
Для Joomla! 1.5 це два каталогу: кореневий каталог сайту і каталог administrator /.
Відключення небезпечних функцій
Для відключення функцій PHP, які можуть привести до атаки на сайт необхідно прописати в локальних php.ini:
Використання open_basedir
Режим open_basedir потрібно включити і правильно налаштований. Цей режим обмежує набір файлів, що відкриваються за допомогою PHP, визначеними каталогами. Як значення директиви open_basedir вказується префіксних значення, тобто, якщо вказано / dir / incl, то дозволяється відкриття файлів з каталогів / dir / include, / dir / inclusion і т.д. У разі, якщо необхідно вказати конкретний каталог, то його назва треба завершити косою рисою.
Іноді це може привести до помилок при роботі Joomla. зокрема, якщо каталог для тимчасових файлів виявиться поза доступу для PHP. В цьому випадку в список шляхів треба додати кілька каталогів. наприклад:
Використання безпечного режиму PHP
По можливості використання безпечного режиму не рекомендується.
Використання register_globals
Автоматична реєстрація глобальних змінних використовується дуже часто. Включення даного режиму дозволяє бачити змінні, передані за допомогою POST або GET, як глобальні і безпосередньо використовувати їх в програмі.
Рекомендується відключати цю можливість, так як її включення вкрай небезпечно.
Використання allow_url_fopen
Ця опція включає підтримку обгорток (wrappers), які дозволяють працювати з об'єктами URL, як зі звичайними файлами. Обгортки, доступні за умовчанням, служать для роботи з віддаленими файлами по протоколу ftp або http.
Ця можливість включена за замовчуванням і відключити її можна тільки за допомогою локального файлу php.ini.
Для роботи Joomla! Рекомендується відключати цю опцію.