Системата Joomla! е безплатна, с отворен код и е една от най-използваните в Интернет пространството и долу-описаните методи не могат да гарантират 100% сигурност и неприкосновеност за вашия сайт. Това е така тъй като пробив в сигурността може да се осъществи чрез новооткрита и неизвестна досега слабост в кода на системата – или най-често използвания метод за злонамерен достъп – слабост в сигурността на инсталиран към Joomla! плъгин, компонент, модул или тема.
В тази статия са описани основните и най-често използвани методи за защита и повишаване на сигурността на системата.
1. Защита на административния панел
Първи вариант: Ограничаване на достъпа до администрацията само за определени IP адреси
Ако желаете администрацията да се достъпва само от вашия IP адрес е необходимо във файл с име .htaccess, разположен в директорията administrator, да се поставят редовете:
Deny from All
Allow from xxx.xxx.xxx.xxx
Бележка: Необходимо е да заместите xxx.xxx.xxx.xxx с вашия IP адрес.
Ако достъпвате администрацията от още един IP адрес, можете да активирате достъпа и до него, като добавите още един ред:
Allow from xxx.xxx.xxx.xxx
Втори вариант: Защита на достъпа с допълнително потребителско име и парола
За този вариант може да използвате опцията от контролния панел cPanel -> „Директории защитени с парола / Password Protect Directories„
Помощна информация за това как да извършите настройката, може да намерите в статията: Защита на дадена директория с потребителско име и парола
2. Променете паролата за достъп до системата
Редовно променяйте паролата за достъп до администрацията. Ползвайте силни пароли, които съдържат малки и големи букви, цифри и специални символи.
- Не използвайте поредни цифри или букви.
Пример: 123456, abcdef и др. - Не използвайте личното си име, фамилия, телефонен номер, ЕГН, прякор, както и всяка друга информация, която е или би могла да стане публично достъпна, вследствие на което паролата да бъде налучкана от недоброжелатели.
- Не използвайте често срещани комбинации.
Пример: 13579, asdasd, 1q2w3e4r, qwertyuiop, admin, password, administrator и т.н. - При избора на парола, можете в избраната дума да заместите някои от символите в паролата по схемата букви = цифри.
Пример:
I=1, L=1, A=4, T=7, E=3, g=9, о=0, и т.н. По тази схема, примерно думата ‘hosting’ може да се изпише като ‘Hos71n9′. - Използвайте комбинации от цифри, малки и главни букви. Дългите пароли (над 7 или 8 символа) дават по-голяма сигурност за вашия акаунт.
Няколко съвета при избора на подходяща парола
3. Променете потребителя за администрацията
В базата данни административният потребител за Joomla! по подразбиране е с ID 62. Това може да се ползва от недобронамерени лица за опит за злоупотреба. Може да бъде променен по следния начин:
- Необходимо е да създадете нов потребител с права „Супер администратор“, който потребител да е с ново име и сложна парола.
- След това излизате и влизате с новия потребител.
- Тъй като няма възможност да се изтрие потребител с права „Супер администратор“, променяте оригиналния администратор да бъде с права „Мениджър“ и запазвате настройката.
- Сега можете да изтриете оригиналния потребител (с ID 62).
Важно: Преди да правите промени препоръчително е да направите архив на базата данни. Можете да направите експорт на базата данни от phpMyAdmin и да запазите локално копие при вас.
4. Абонирайте се за новини от разработчиците на системата
Когато за системата бъде пуснато обновление/нова версия или поправка на пропуск/дупка в сигурността на системата, то тези новини ще бъдат публикувани на адрес:
https://www.joomla.org/announcements/release-news/
При версиите на системата има основни версии, например 1.5, 2.5, 3.0 и т.н. и под-версии, например 1.5.27, 2.5.9, 3.0.3 и т.н. В под-версиите са извършени поправки на кода и пропуските/дупките в сигурността, пропуснати в основната версия.
Силно препоръчително е възможно най-скоро, след като излезе нова под-версия (например 3.0.3) да се извърши обновяване на системата. Също така, може, когато излезе нова основна версия (например 3.1) да не извършвате веднага обновяването, а да изчакате докато бъде публикувана нейна под-версия (например 3.1.2, 3.1.3 и т.н.).
По този начин възможно най-ефективно ще се предпазвате от опити за злонамерен достъп. От голямо значение е да се извършва ъпдейт и на инсталираните към системата плъгини, модули и компоненти.
Необходимо е възможно най-скоро при наличието на обновление/ъпдейт, да извършвате обновяване и на всички допълнителни приложения, които ползвате към системата.
5. Резервен архив
Препоръчително е редовно да извършвате бекъп на файловете и базата данни. Съществуват плъгини, които могат да ви помогнат да извършвате бекъп – директно през администрацията на системата. Ако не ползвате плъгин, може да направите бекъп на сайта през контролният панел на хостинг акаунта.
Пълен бекъп можете да генерирате през контролния панел cPanel от меню „Бекъпи/Backups“.
Генериране на пълен бекъп (full backup)
6. Допълнителна защита
Налични са и много разширения за допълнителна защита на системата, като например промяна на URL адреса на администрацията, добавяне за брой неуспешни опити за достъп, след което се блокира възможността за достъп до администрацията на сайта и др.
Такива могат да се намерят на адрес:
https://extensions.joomla.org/category/access-a-security/site-security
Част от тези разширения имат включени и функционалности за изброените по-горе препоръки.
При ползването на подобни разширения трябва да имате предвид, че може да възникне конфликт с някой конкретен плъгин, модул, компонент или тема на вашия сайт. Затова преди да инсталирате и активирате разширение, препоръчително е да направите архив на сайта.
