Форма заявки
Click to refresh

Важно вовремя защитить свой сайт Joomla от взлома. Обратитесь к профессионалам в этой области.

Многие думают, что данная проблема не коснется их, с полной уверенностью заявляют, что хакерам не интересны маленькие интернет-магазины или блог неизвестного автора. В действительности хакеру, в большинстве случаев, не важна специфика сайта, он не проводит анализ содержимого, он произведет атаку лишь потому, что он может это сделать: уничтожить или поменять контент, добавить скрытую ссылку или настроить переадресацию.

Любой врач скажет, что профилактика лучше, чем лечение. Нижеописанные советы помогут увеличить безопасность сайта и предотвратить взлом.

1. Выполните обновления

Многих удивит насколько много сайтов используют устаревшую версию CMS. Причины по которым обновления не выполняются своевременно могут быть разные: нет времени или ресурсов, но чаще всего пользователи не видят в этом необходимости, что является большим заблуждением. Несколько раз в году обнаруживаются уязвимости в безопасности и команда Joomla, как и другие разработчики, выпускают обновления, которые исправляют данные проблемы. Владельцы сайтов не следят за данными новостями, но злоумышленники совершенно точно знают какие старые версии CMS имеют проблемы с безопасностью и несомненно воспользуются данной возможностью, чтобы реализовать свой коварный замысел.

Обновите ядро Joomla, а так же компоненты, плагины, модули и шаблоны до актуальных версий. Тысячи сайтов взламываются из-за использования устаревшего программного обеспечения, хотя требуется выполнить несколько простых действий, чтобы выйти из группы риска.

2. Проверьте сайт и сделайте резервную копию

Не следует планировать мероприятия по повышению уровня защиты сайта, если нет уверенности, что он уже не заражен. Если сайт работает исправно и не дает поводов для беспокойства, это не значит, что атак на него не было. Во-первых необходимо сделать полный анализ, есть вероятность, что удастся обнаружить вредоносный код и удалить его. Вторая проблема заключается в том, что большинство владельцев сайтов Joomla не меняют конфигурацию, которая настроена по-умолчанию, например переименование файла htaccess.txt в .htaccess, отключение регистрации в менеджере пользователей (User Manager), включение коротких ссылок и выполнение других действий, которые рекомендуется сделать после успешной инсталляции системы.

Когда есть уверенность, что сайт не содержит вредоносного кода и текущие настройки близки к идеальным, выполните полный резервное копирование (бэкап) файлов сайта и базы данных. Идеальным решением будет настройка бэкапа на постоянной основе, например автоматическое выполнение раз в неделю. Наличие постоянного бэкапа за разные периоды времени застрахует от многих сюрпризов, например можно с легкостью восстановить случайно удаленную статью или откатиться на предыдущую версию после неудачного обновления.

Важно понимать, что бэкап должен храниться отдельно от основного сайта, так как, если злоумышленник получает доступ к серверу, то резервные копию могут быть так же заражены, либо просто стерты. Можно копировать файлы с резервной копией на свой компьютер, но правильным решение будет хранение на стороннем хостинге, лучше в нескольких экземплярах.

3. Безопасен ли хостинг?

Для информации: более четверти взломов происходит через уязвимости серверной части. Это как правило устаревшие версии PHP, открытые права доступа на папки в файловой системе, небезопасные настройки web-сервера… много мелких нюансов могут привести к печальным последствиям. Многие хостинги размещают множество сайтов на общем сервере и, фактически, если заражен один сайт, то все остальные находятся под угрозой, вне зависимости от того, какие меры безопасности были предприняты владельцами.

Дешевые хостинги, как правило не предоставляют встроенный сетевой экран, услугу резервного копирования и другие инструменты, которые призваны защитить работу сайта. Помните, что первая линия защиты это не Joomla, а оборудование хостинг-провайдера.

4. Замаскируйтесь

Первое, что необходимо знать хакеру, чтобы выполнить успешную атаку, это тип CMS на которой работает сайт. Конечно, владелец никому не скажет, что у него Joomla, но существует множество признаков, как явных, так и косвенных, по которым можно определить CMS. Автоматизированные боты, в том числе и поисковые, регулярно опрашивают сайт и на основе полученной информации могут совершенно точно определить не только, что сайт работает на Joomla, но и версию ядра.

Помогает удаление метатегов, которые генерирует Joomla. Еще один действенный способ, дать инструкции web-серверу на блокировку запросов, которые генерируют боты или приложения для взлома.

5. Ограничения на авторизацию

Один из распространенных способов взлома - это подбор пароля. Боты и специальные программы используют грубый метод подбора до тех пор, пока не будут определены верные реквизиты доступа. Причем половина дела сделано, если злоумышленник наверняка знает логин, который имеет права администратора. Возможен подбор по словарю или перечисление букв в слове из простых символов алфавита, так же распространен гибридный способ подбора. Подобные способы взлома очень частно называют "метод грубой силы" (brute-force). Если атаки грубой силы происходят на регулярной основе, полезно собрать некоторую информацию и провести анализ. Как правило, подобные попытки - это угадывания пароля типа "qwerty". Если запросы продолжаются, то IP-адреса могут быть заблокированы через файл .htaccess или фаервол.

Аналогичным способом возможно заблокировать трафик из определенный страны, например когда среди посетителей нет жителей Китая, но из этой страны постоянно приходят запросы от ботов.

6. Удаление неиспользуемых расширений и шаблонов

Важно, чтобы в инсталляции Joomla присутствовали только те расширения и шаблоны, которые действительно нужны и используются. Удаляйте компоненты, которые больше не нужны. Не рекомендуется устанавливать шаблоны, плагины и компоненты из ненадежных источников или от сомнительного автора. Силы хакера могут быть направлены именно на конкретное расширение, будьте бдительны и с осторожностью относитесь к установке дополнений.

7. Установка фаервола

Для предотвращение взлома и атак возможно использовать компоненты, которые обеспечат меры безопасности. Есть несколько популярных решений, которые реализуют функции сетевого экрана (firewall).

Фаервол - компонент безопасности для сайта. Очень популярная служба безопасности, которая способна защитить Ваш сайт от вторжений и атак хакеров.

Компонент позволяет предотвратить sql инъекции, защитить сервер от различных атак, проверяет файлы на сервере на наличие изменений, а также может блокировать вход в административную панель сайта.

Имеется поддержка оповещения администратора по электронной почте об атаке или взломе сайта и многое другое.

Данная система защиты способна защитить сайт любой структуры и сложности.

Огромный набор инструментов позволяет выполнять полное сканирование веб-сайтов, которое обнаруживает и показывает администратору слабые места и способы их устранения.

Мы устанавливаем профессиональный фаервол для защиты вашего сайта.

К его основным возможностям относится:

  • защита от SQL инъекций, PHP, LFI и XSS инъекций и атак в режиме реального времени.
  • Анализатор сайта по двадцати четырём параметрам, влияющим на безопасность Joomla.
  • Расширенный системный журнал.
  • Защита административной зоны сайта при помощи пароля и дополнительных контуров безопасности.
  • Блокировка сайта от изменений.
  • Анализатор базы данных сайта.
  • Чёрный список IP адресов, которым запрещён доступ к сайту.
  • Разграничения прав доступа администраторам сайта к административной зоне и к отдельным компонентам.
  • Базовая защита от DoS атак.
  • Фильтрация загружаемых на сайт файлов.
  • Защита от сканирования сайта на наличие уязвимостей.
  • Защита учётной записи администратора от любых изменений.
  • Черный список – блокирование нежелательных (одиночные или многожественные групповые символы *.*.*. *) IP-адресов.
  • Белый список – методы обхода защиты для выбранных адресов.
  • Защита от перебора символов пароля - попытки захвата логина (а также неправильные пароли).
  • База данных Malware - Обнаруживает запутываемые, закодированные, а также потенциально опасные файлы (например, base64_encode, оценка, gzinflate, preg_replace/e);
  • Автоматическое отсеивание опасных файлов, когда они будут загружены - такие как .php, .js, .exe, .com, .bat, .cmd.
  • Отключение создания новых учетных записей администраторов.
  • Защита выбранный учетных записей администраторов от любых изменений - включая изменение пароля.
  • Регистрация всех событий безопасности и рассылка сообщений в указанный адрес (а) электронной почты.
  • Мощная система исключения - отключает меры защиты, основанные на пользовательском агенте, ссылках или компоненте (регулярные выражения).
  • Проверка базы данных - оптимизирует и восстанавливает Ваши таблицы базы данных.
  • Отображение кодового ключа в части администрирования после предопределенного числа неудавшихся попыток входа.

Обращайтесь к нам для профессиональной диагностики, лечения и защиты вашего сайты всеми вышеуказанными методами: Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра. или Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.