Войти Регистрация
Закрыть Авторизация

     

Часто задаваемые вопросы

Введите ключевые слова о проблеме:
Как добавить нового пользователя
Как восстановить пароль пользователя
Как изменить права (группу) пользователя
Как прочитать личные сообщения от пользователей
Как заблокировать "плохих" пользователей
Как получить доступ к Менеджеру шаблонов?

С чего начать?

Дополнительная литература
1. Что такое Joomla?
2. Скачивание и установка Joomla
3. Joomla на вашем языке
4. Дизайн, Макет, Цвета
5. Пользователи и их статьи
6. Руководство по созданию контента
7. Отображение контента
8. Расширения
9. Интеграция с социальными сетями
10. Общие задачи
Главная / Руководства / Администратору / Восстановление взломанного сайта Joomla / 7. Как сохранить сайт Joomla защищенным

7. Как сохранить сайт Joomla защищенным

Две наиболее распространенных причины взлома сайта:

1.    Устарело программное обеспечение.

2.    Легко взломать/подобрать пароли.

Эти направления являются наиболее приоритетными для поддержания высокого уровня безопасности Joomla и ее защиты от хакеров.

Защита от устаревшего программного обеспечения

Существуют веб-сайты, созданные достичь определенных целей, а после создания требуют меньших затрат (времени и труда) для продолжения выполнения основных функций (это может быть сайт со статичными материалами). Из-за этого, кажется, что можно просто оставить их работать и забыть о них, но они требуют регулярного обслуживания и обновления. Программное обеспечение с открытым кодом, такое как Joomla (или WordPress или Drupal), имеют огромное преимущество в том, что сообщество постоянно анализирует код на уязвимость. Когда дефект обнаружен - выходит обновление, которое исправляет данные ошибки. Установка обновлений значительно повышает безопасность вашего сайта. Если вы игнорируете обновления, либо просто не знаете о них - вы понижаете безопасность вашего сайта. Но есть нюанс. После каждого обновления вы одновременно становитесь более защищенным и менее защищенным. С одной стороны вы защищены от известных ошибок сайта, а с другой исправлены не все ошибки, либо появились новые. Это вполне нормально, поскольку о новых еще точно не знают. Если вы хотите сохранить свой сайт от взлома, содержите программное обеспечение сайта актуальным.

Вы должны проявлять инициативу в том, что касается актуальности и безопасности. Я рекомендую вам назначить конкретное лицо в вашей организации, которое будет нести ответственность за проверку обновлений для расширений и ядра Joomla вашего сайта, а также обновлять все, что возможно и устанавливать патчи по мере их выхода. Если это ложится на ваши плечи, лучший способ убедиться, что это делается - назначить встречу в календаре, чтобы выделять для этого  несколько часов ежемесячно. Если вы не хотите выходить за срок в месяц, а это, действительно, было бы намного лучше, то проверяйте обновления каждые две недели.

Вам будут сообщать, когда будут происходить изменения в безопасности Joomla

Помимо регулярного обновления, сообщество предоставляет два сервиса уведомлений по электронной почте, когда уязвимости обнаруживаются ядре или основных расширениях Joomla. Вы можете подписаться на эти письма здесь:

·         Joomla Vulnerable Extensions

·         Joomla Core Security Notifications

Вы должны знать, какие расширения установлены на вашем сайте для того, чтобы знать, что пришло время обновить расширение по мере того, как будут поступать эти сообщения.

Защита от слабых паролей

Один из наиболее распространенных вариантов атак - подбор паролей. Люди ленивы и всегда заняты, им попросту некогда думать над паролями. Поэтому они выбирают плохие пароли. Пароли, которые легко запомнить и легко взломать. Используйте этот инструмент для анализа сложности вашего пароля:

Насколько безопасен мой пароль?

Если время для подбора измеряется в днях, то пришло время для более сильного пароля.

Я предлагаю использовать короткие номера и бессмысленные группировки слов. Например, "phonecloud8gomersimpson". Безопасный и легкий для запоминания.

В частности, я не советую компаниям, занимающимся веб-дизайном и сайтами, хранить пароли в FTP-клиентах, если вы не знаете наверняка, что эти пароли шифруются при сохранении. Коллега по работе моего друга прочуствовал это на собственном опыте, поскольку его компьютер был заражен вредоносным ПО, и все 16 сайтов компании были взломаны, потому что они сохранили пароли в FileZilla (они не были зашифрованы).

Чтобы избавиться от постоянной потребности в безопасных паролях и нашей неспособности их вспомнить, я рекомендую использовать LastPass. Это адаптивное, совместимое со всеми устройствами и операционными системами приложение, с которым вы должны будете помнить всего один сложный пароль. Это делает заходы на сайты и заполнение паролей невероятно простым. Кроме того, если вам регулярно приходится делиться паролями с клиентами, сотрудниками или субподрядчиками, то для этого существует специальный защищенный механизм. Это важно, потому что хранение ваших паролей в вашей электронной почте - один из наиболее сложных способов хранения паролей. Стоит только одному получателю паролей или отправителю был взломанным, как каждый пароль, переданный по электронной почте, будет доступен злоумышленнику.

LastPass

(Я также рекомендую использовать LastPass для хранения всех ваших паролей, а не только паролей веб-сервисов. Это сделает жизнь проще для вас и людей, с которыми вы работаете, не снижая безопасности).

Взлом может быть очень дорогим, не только из-за стоимости, но и из-за необходимости большого количества работы для защиты и восстановления вашего сайт, а также ущерба вашему бизнесу и вашим посетителям. Поддержание вашего сайта в актуальном состоянии, а также создание безопасных паролей администратора отлично помогут вам в деле поддержки безопасности вашего сайта Joomla. Создание сложного пароля - дело нескольких минут, что несложно само по себе, обновление сайта - это несколько часов в месяц. И эти несколько часов защитят вас от больших проблем и трат.

Защита от хакерских изменений в систему управления версиями

Наконец, еще один хороший инструмент для того чтобы предотвратить повреждение сайта взломом, а именно контроль версий. Хранение своего сайта в соответствии с Git или другими популярными инструментами такого рода позволит определять изменения в файлах быстро, легко и со 100% точностью. Это сделает восстановление сайта от нападения делом не нескольких дней, а 15 минут. Кроме того, контроль версий, вместе с резервными копиями, может помочь вам предотвратить любое случайное повреждение вашего сайта неудачным обновлением и т.п.

Управления версиями Git

Заключение

В связи с постоянно меняющимися типа и видами нападений, нет инструмента, который может волшебным образом исправить и восстановить сайт, но я надеюсь, что эта информация поможет в выявлении и фиксации успешных атак. А главное, я надеюсь, что это подарит вам знания об инструментах и методах, чтобы оставаться в безопасности в будущем.

Взлом является сложной задачей, но безопасность требует минимальных усилий и много людей не делают абсолютно ничего до тех пор, пока не произойдет несчастье.

 

 

Подпишись!