10 заблуждений, угрожающих безопасности вашего сайта на Joomla

Никто не хочет, чтобы его сайт взломали. Тем не менее, до сих пор многие игнорируют необходимые меры безопасности.  В статье пойдет речь о наиболее частых заблуждениях веб-мастеров, которые угрожают безопасности их сайтов.

1. «Меры безопасности необходимы только для крупных сайтов».

Мой сайт представляет из себя довольно небольшой ресурс с маленьким количеством посетителей. Это не интернет-магазин, обрабатывающий транзакции по картам. Поэтому для хакеров он не интересен.

К сожалению, вы заблуждаетесь. Любой веб-сайт и любой веб-сервер представляют интерес для хакеров. Для проникновения на сайт используются автоматические скрипты, которые не видят разницы между крупным и небольшим ресурсом. Хакеры взламывают сайт по нескольким причинам:

• Defacing – подмена главной страницы сайта вызывающими граффити или политически ориентированными посланиями;
• Phishing – получение конфиденциальных данных пользователей – логинов и паролей, а также номеров кредитных карт;
• Spamming –рассылка спама;
• Распространение вирусов и «троянских коней»
• Включение сайта в botnet (сеть взломанных компьютеров, администрируемых удаленно) для DDOS-атак.

Вывод: каждый сайт привлекателен для хакеров.

2. «Обновлять?».

Я не обновляю сайт, потому что:

• это не нужно из-за причин, указанных в первом заблуждении;
• не могу сделать это сам;
• я внес изменение в код ядра сайта и поэтому не могу обновить его;
• ..(по каким-то своим соображениям).

Все программное обеспечение может содержать ошибки (баги), причем не важно где оно функционирует – на компьютере или на сервере и что это: CMS типа Joomla! или расширение. Разработчики программного обеспечения регулярно выпускают обновления. Обновления, касающиеся безопасности, должны быть установлены незаметлительно. К тому же, начиная с Joomla 2.5, установливать обновления стало намного проще, в один клик. Многие расширения можно обновить из панели управления.

Вывод: важно обновлятьJoomla! и ее расширения.

3. «Я скачал это программное обеспечение/программу в Интернете».

Я скачал расширение илишаблон Joomla! с полезного ресурса. Или мне приглянулось платное расширение, и я хочу  сначала его протестировать и поэтому скачиваю сначала бесплатную версию с какого-нибудь файлбоменника. Если тестирование пройдет успешно, то я обязательно куплю оригинальную версию. Обещаю!

1. Всегда скачивайте программы только с сайтов разработчиков. Это единственная возможность хоть как-то минимизировать риск от скачивания подделок.
2. Платные шаблоны и расширения, загруженные с файлообменников почти всегда содержат спрятанные поправки (adjustments). К примеру, добавлены нежелательные спам-ссылки, которые  не любит Google или скрипты, которые помогут взломать ваш сайт. Не используйте для тестирования коммерческий софт, скачанный с бесплатного ресурса. Хакеры не будут ждать, пока вы все оттестируете и будете готовы купить коммерческую версию.

Вывод: скачивайте программное обеспечение непосредственно у разработчиков.

4. «Мой хостинг провайдер всегда делает бэкапы».

Они делают это регулярно, так зачем же мне напрягаться и делать бэк-апы самому?

1. Хороший бэкап – хорошо протестированный бэкап (через установку на локальный веб-сервер). Вы когда-нибудь тестировали бэкап от своего хостинг провайдера?
2. Что будете делать, если ваш хостинг обанкротится? Или всю информацию изымут правоохранительные органы на предмет запрещенного контента одного из ресурсов хостинга?

Вывод: создавайте свои бэкапы независимо от хостинг-провайдера (например при помощи Akeeba).

5. «Я нашел дешевый хостинг».

Реально найти такого хостинг-провайдера, который бы обеспечивал своих клиентов большим объемом пространства за один доллар/евро/фунт в месяц.

1. При выборе хостинга обращайте внимание не только на цену, но и на качество, особенно в отношении безопасности. Это очень важно.  Посоветуйтесь с другими разработчиками на форумах и в сообществах.
2. Выбирайте хостинг, который уделяет внимание на безопасности, в частности использует в своей работе suPHP.
3. Убедитесь, что можете обновлять Joomla и ее расширения из административной панели.

Вывод: Скупой платит дважды, так что лучше убедитесь, что ваш хостинг предоставляет качественные услуги.

6. «Я скоро буду использовать это расширение».

Функционал Joomla  легко дополнить расширениями. Почему бы не установить как можно больше расширений, тем более они скоро мне пригодятся. Может, уже в следующем месяце.

1. Установка всевозможных расширений наносит вред безопасности вашего сайта, ведь все эти расширения необходимо обновлять (об этом говорилось выше).
2. Устанавливайте только то, что вам необходимо, без чего ваше ресурс не будет работать как вам хотелось бы. Удаляйте ненужные расширения (естественно только после создания бэкапа);

Вывод: устанавливайте только те расширения, которые вам необходимы в работе.

7. «Кажется, это нужное расширение».

Но я узнаю об этом только после установки и тестирования.

1. Не делайте из сайта среду для тестирования;
2. Тестируйте расширение сначала на копии сайта на локальном веб-сервере (к примеру, при помощи XAMPP).

Вывод: тестируйте сайт в специально подготовленной для этого среде, не на настоящем ресурсе.

8. Установка возможна только с правами 777.

Установка расширений или загрузка изображений возможно только с разрешениями 777. Знаю, что это небезопасно, но я же сразу после установки исправлю разрешения на 755.

1. Разрешение 777 очень небезопасно, даже если сделать их временно. Вы будете не первым и не последним, кто забудет их изменить.
2. Перечитайте пятое заблуждение и поищите хостинг-провайдера получше.

Вывод: небезопасные разрешения даже на время небезопасны.

9. «Голова идет кругом от большого количества паролей».

Хорошо, я  понимаю необходимость использования разных паролей для разных сайтов. Я прилежно следую этому принципу, но пароли хранятся у меня в браузере или на FTP-клиенте.

Конфигурационный файл FTP-клиента типа FileZilla – это обычный текст,  и пароли хранятся там в незашифрованном виде. Хорошо известный вирус в Windows Троян ищет этот самый конфигурационный файл и посылает его злоумышленникам, чтобы те потом с успехом взломали ваш сайт.

Вывод: не храните пароли в незашифрованном виде.

10. «Я уже позаботился обо всем, что здесь указано».

Я уже выполнил все, что здесь упомянуто. Прекрасно! Но как-то не задумывался о HTTP, FTP и email-трафиках? Эти трафики незашифрованы, а значит логины и пароли передаются обычным текстом.

1. Не используйте в работе открытую wi-fi несмотря на то, что это очень удобно. Помните, что все, что вы делаете, может быть отслежено другими пользователями этой сети.
2. Даже если вы клиент защищенной сети ethernet, ваш траффик также незашифрован, а стало быть уязвим.  В сети ethernet все подключенные устройства «слушают» сеть и принимают только те пакеты с информацией, которые адресованы конкретно им. Поэтому существует вероятность того, что кто-нибудь начнет принимать все пакеты в сети.
3. Форма входа Joomla уязвима, при входе передает незашифрованные данные, не использует в работе https.
4. Используйте безопасные протоколы HTTPS (для браузеров), SFTP (для FTP) and TLS (для e-mail), а также SSH.

Вывод: интернет-трафик обычно не шифруется, поэтому логины и пароли могут быть перехвачены заинтересованными лицами.