// //

2.1 Joomla

Защита Joomla 2.5от взлома

0

Что нужно делать если сломали сайт на Joomla 2.5 ?

1.   Обновить CMS до последней версии
2.   Обновить все расширения до актуальных версий
3.   Создать файл .htaccess

##
# @version $Id: htaccess.txt 21064 2011-04-03 22:12:19Z dextercowley $
# @package Joomla RE
# @localized Авторские права (C) 2005 — 2011 Joom.Ru — Русский дом Joomla! Все права защищены.
# @copyright Copyright (C) 2005 — 2010 Open Source Matters. All rights reserved.
# @license http://www.gnu.org/copyleft/gpl.html GNU/GPL
# Joomla! — свободное программное обеспечение.
# Последнее изменение этого файла — 09.04.2011
##
# Установка кодировки сайта по умолчанию. При необходимости, закомментируйте.
# Строка решает проблему с «крякозябрами» в редакторе TinyMCE и текста лицензии при установке
# на Денвере и некоторых серверах с жестко прописанной кодировкой. Это на 99,9% работающее решение.
# После переименования этого файла htaccess.txt в .htaccess проблема решится.
# Если проблема осталась — перечитайте предыдущее предложение (возможно неправильно переименовали).
AddDefaultCharset utf-8
# Следующие строки — попытка исправить настройки PHP
# для полного соответствия системным требованиям Joomla.
# Раскомментируйте (символ комментария — #) нужные строки,
# если настройки вашего хоста не соответствуют рекомендациям
# системных требований Joomla.
# При возникновении 500 ошибки сервера, закомментируйте строку, вызывающую
# ошибку, или все строки с php_flag.
# php_flag register_globals Off
# php_flag display_errors Off
# php_flag file_uploads On
# php_flag allow_url_fopen off
# php_flag magic_quotes_gpc On
# php_flag magic_quotes_runtime Off
# Пример явного указания каталога для записи сессий:
# Для Windows — c:/temp
# для UNIX — /tmp
# Указанный каталог должен физически существовать и быть доступен для записи
# При необходимости, раскомментируйте строку ниже этой
# php_value session.save_path c:/temp
#####################################################
# ПРОЧТИТЕ ПОЛНОСТЬЮ, ЕСЛИ БУДЕТЕ ИСПОЛЬЗОВАТЬ ЭТОТ ФАЙЛ
#
# Строка ниже этого раздела: ‘Options +FollowSymLinks’ может вызвать проблему
# при некоторых конфигурациях сервера. Она необходима для использования модуля
# Apache mod_rewrite, но может быть уже настроена администратором вашего
# сервера и изменение этого параметра в .htaccess может быть запрещено.
# Если эта директива вызывает ошибку сервера, то закомментируйте строку
# (добавьте символ # в начало строки), перезагрузите в браузере сайт и
# протестируйте работу SEF-ссылок. Если они работают, то вам не надо ничего
# менять здесь, т.к. всё уже настроено администратором сервера.
#
# Строки, которые можно раскомментирвать (и использовать) имеют только один #.
# Строки с двумя символами ## раскомментировать не надо. В разделах, которые вы
# не используете, все строки должны начинаться с символа #
#
#####################################################
## Может быть закомментировано, если вызывает ошибку сервера. Смотрите примечания выше.
Options +FollowSymLinks
#
# Включение mod_rewrite
RewriteEngine On
## Начало — Запрет на выполнение php-скриптов — не работает
#<IfModule mod_php5.c>
#php_flag engine 0
#</IfModule>
## Конец — Запрет на выполнение php-скриптов
## Начало — Запрет на выполнение php-скриптов в корне сайта
<Filesmatch «.(php)$»>
order deny,allow
deny from all
</Filesmatch>
<Filesmatch «^index.php»>
order allow,deny
allow from all
</Filesmatch>
<Filesmatch «^index2.php»>
order deny,allow
allow from all
</Filesmatch>
## Конец — Запрет на выполнение php-скриптов в корне сайта
########## Начало — Правила обработки запросов для блокировки распространенных эксплоитов
## Если у вас возникли проблемы с вашим сайтом, используйте ниже описанные операции
## Они пытаются заблокировать самые распространенные эксплоиты Joomla!
#
## Код запрета доступа к xml-файлам расширений (раскомментируйте для активации)
<Files ~ «\.xml$»>
Order allow,deny
Deny from all
Satisfy all
</Files>
## Конец кода запрета доступа к xml-файлам
# Блокировать любой запрос, пытающийся установить значение mosConfig через URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Блокировать любой запрос, пытающийся испортить base64_encode через URL
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
# Блокировать любой запрос, содержащий тег <script> в URL
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
# Блокировать любой запрос, пытающийся установить значение глобальных переменных PHP через URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Блокировать любой запрос, пытающийся изменить _REQUEST переменную через URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Перенаправлять заблокированные запросы на страницу 403 с запрещенными ошибками!
RewriteRule .* index.php [F]
#
########## Конец правил обработки для блокировки распространенных эксплоитов
# Раскомментируйте следующую строку, если URL вашего web-сервера
# не связаны напрямую с физическими путями файлов.
# Обновите ваш каталог Joomla (используйте «/» для обозначения корня сервера)
# RewriteBase /
########## Начало раздела SEF ядра Joomla!
#
RewriteRule .* — [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
#
# Если запрошенный путь и файл не содержат /index.php и запрос еще
# не был перенаправлен на скрипт index.php
RewriteCond %{REQUEST_URI} !^/index\.php
# и запрашивается URL корня или расширения, или
# запрашиваемый URL оканчивается на одно из перечисленных расширений
RewriteCond %{REQUEST_URI} (/[^.]*|\.(php|html?|feed|pdf|raw))$ [NC]
# и запрошенный путь не соответствует пути к физическому файлу
RewriteCond %{REQUEST_FILENAME} !-f
# и запрошенный путь не соответствует пути к физической папке
RewriteCond %{REQUEST_FILENAME} !-d
# то перенаправить запрос на скрипт index.php
RewriteRule .* index.php [L]
#
########## Конец раздела SEF ядра Joomla!

Отличается от стандартного. Добавлены строки 69-88
4.   Включить стандартный SEF, либо стороннее ЧПУ
5.   —
6.   Удалить признаки Joomla:
В версии 2.5 идем по пути: ВАШ_САЙТ/libraries/ Joomla /document/html/renderer/ и в файле head.php находим 99 стр.:
$buffer .= $tab . ‘<meta name=»generator» content=»‘ . htmlspecialchars($generator). ‘» />’ . $lnEnd;  комментируем или удаляем.
7.   Сменить префиксы в БД и файле configuration.php
8.   Удалить не нужные шаблоны, модули, компоненты и плагины (а также их папки и языковые файлы в админке и корне, ну и оставшиеся таблицы в БД, если остались)
9.   Заменить JCE (плагины, компоненты), удалить папки и файлы (admin/languages/Ru-ru – 5 файлов JCE +файлы шаблонов админики) и (languages – файлы JCE + файлы шаблонов)
10.   Создать файл .htaccess (папка-2), запрещающий выполнение скриптов и добавить его во все папки в корне сайта (защита от Бекдора).  Содержимое файла:
<Files ~ «.(php)$»>
Deny from all
</Files>
11.   Вынести файл configuration.php за пределы www-директории (у некоторых она называется public_html). Для этого копируем его за ее пределы, возможно рядом с ней, переименовываем например его в «joomla.conf» (это к примеру), а в том, что должен быть в корне Joomla (он будет называться все также — configuration.php) пишем нечто вроде этого:
require( dirname( __FILE__ ). ‘/../joomla.conf’ );
?>
12.   Установить компонент Admin Tools – сменить ID администратора, с его помощью или в ручную очистить содержимое папки tmp (в корне сайта). С его же помощью можно изменить префиксы таблиц и с помощью сервера закрыть прямой доступ к панели администратора.
13.   Создать сложный логин и пароль доступа (Super User) в панели доступа администратора.
14.   Если не на сайте используется модуль регистрации пользователей, то лучше удалить файлы, которые отвечают за восстановление пароля и его сброс. Можно удалить или всю папку com_user (которая находится по пути ВАШ_САЙТ/components) или отдельный файл, отвечающий за сброс — reset.php. Этот файл находится по пути ВАШ_САЙТ/components/com_user/models.
15.   Установить права на файлы и папки: на файлы, которые находятся в корневой директории 444, на папки в корневой директории ставят 755, на папки tmp и logs ставят 705, на папку своего шаблона поставьте 555, на папку image/stories можно поставить 755, на папку Cache 777.
16.   В настройках PHP вашего хостинга нужно запретить работать с удаленными файлами как с ссылками (allow_url_fopen = Off), содержимое файла которое пытались загрузить ни что иное как Shell при помощи которого взломщики получают доступ к вашему сайту через удаленный шелл, даже не загружая его на ваш сайт.
17.   Читал, что есть вариант запрета выполнения скриптов в корне сайта (но у меня не работает тогда админка). Добавить в файл .htaccess код:
<IfModule mod_php5.c>
php_flag engine 0
</IfModule>
18.   Еще есть вопросы по защите таких директорий как images, media и templates.

Joomla 3.0–не работает XML карта сайта — 500 Internal Server Error

0

Перестала работать карта сайта на Joomla 3.0. В админке всё как будто бы работает, но созданый пункт меню и XML карта сайта не открываются. Выдает ошибку: “500 Internal Server Error”.

Помогла тема на форуме. Причина была в лишней строчке в компоненте карты.

components/com_xmap/helpers/xmap.php on line 12 стоит:

Код:

require_once(JPATH_SITE .'/includes/application.php');

Если закомментировать 12 строку то компонент заводится.

pass.jpg

Как защитить Joomla 3 от взлома?

0

Бесплатность, простота установки и использования CMS Joomla, делает ее достаточно популярной среди пользователей. Как следствие, в сети появляется все больше и больше сайтов на данном движке, а следовательно возрастает и количество хакеров, которые их взламывают. Некоторые делают это для развлечения, другие — за деньги(например, по заказу конкурента), ну а большинство — чтобы скрытно вставить на Ваш сайт какую-то гадость 🙂 . Это может быть ссылка на другой сайт или еще что-то… (далее…)

joomla-url-01.jpg

Как удалить исходящую ссылку в шаблоне Joomla?

0

Что такое вредные внешние ссылки и зачем их удалять?

Внешняя ссылка — это ссылка, которая ведет с вашего сайта на другой ресурс. Каждая и любая внешняя ссылка передает часть веса странички, на которой расположена, той, на которую она направляет пользователя. С точки зрения поисковой оптимизации это не есть хорошо, особенно для молодого сайта.

В шаблонах сайтов эти ссылки встроенны по умолчанию на каждой странице. Для поисковой оптимизации лучше всего их удалить.

(далее…)

Joomla-3.x.-How-to-work-with-Redirect-Manager-component-1.jpg

Joomla 3.x. Как работать с компонентом «Менеджер переадресации»

0

«Менеджер переадресации» позволяет Вам отследить ссылки, которые не существуют на вашем сайте.

В некоторых случаях, Вам в первую очередь необходимо включить «Менеджер переадресации» в Менеджере плагинов. Вы можете сделать это, перейдя на вкладку Расширения (Extensions) > Менеджер плагинов (Plugin Manager) в вашей админ панели Joomla. (далее…)

01.jpg

Шаблон joomla 3 — ah-68 — Изменение ориентации меню в шаблоне

0

Шаблон joomla - ah-68 - Изменение ориентации меню в шаблоне

(далее…)

01.jpg

Просмотр позиций модулей в Joomla 3

0

Продолжаем разбираться в Joomla 3. Раньше в блоге уже были статьи: Карта сайта в Joomla 3, Как вставить iFrame в статью на joomla 3.0, Настройка htaccess для удаления дублей в Joomla 3. Да, давно это было, но пришло время вернуться.

Для просмотра позиций модулей на сайте под управлением Joomla 3, необходимо в настройках разрешить данную возможность. На сайте уже была статья про Joomla 2.5.

Заходите в Админпанель. Щелкаете в верхнем меню пункт «Расширения» и в списке выбираете «Менеджер шаблонов». (Можно выбрать «Менеджер шаблонов» в списке ссылок для быстрого доступа справа). Откроется окно:

01

Щелкаете по кнопке «Настройки». Откроется окно:

02

03

Параметр «Просмотр позиций модулей» выбираете «Включено» и щелкаете по кнопке «Сохранить и закрыть». Теперь можно просматривать позиции модулей. Это можно сделать следующими способами.

В браузере открываете ваш сайт и в адресной строке добавляете «?tp=1». Полностью адрес должен выглядеть так: имя_сайта/?tp=1

Переходите по такому адресу и на странице сайта начинают отображаться позиции модулей.

04

ссылку «Предварительный просмотр. В отдельном окне откроется шаблон с указанием позиций.

kak-udalit-lishnie-shablony-4.jpg

Не могу удалить шаблон "Нельзя удалять стиль шаблона, если он только один"

0

Появилась проблема. Joomla 3 — есть несколько стандартных шаблонов. Установил новый шаблон. Теперь пытаюсь его удалить — пишет «Нельзя удалять стиль шаблона, если он только один».

Не могу удалить шаблон "Нельзя удалять стиль шаблона, если он только один"

(далее…)

03.jpg

Виджет социальных сетей для Joomla

0

03

Сейчас практически каждый серьезный интернет проект имеет свою группу или страницу в популярных социальных сетях.

Теперь есть довольно удобный модуль для Joomla, который позволяет очень легко добавить виджет вашей группы в социальной сети. Поддерживаются следующие: Одноклассники, Вконтакте, Фейсбук, Гугл +.

Это действительно удобно и имеет ряд преимуществ:

  • Пользователи могут отслеживать обновление сайта гораздо быстрее (оповещаются через группу);
  • Посетители вашего проекта могут общаться между собой;
  • Позволяет собрать более-менее постоянную аудиторию и пр.

Важной особенностью этого дополнения является то, что оно интегрирует страницы сообществ в одном блоке. Т.е. переход между ними осуществляется через вкладки и не занимает много места на сайте. Это удобство обеспечивается благодаря Bootstrap.

Особенности модуля социальных сетей

  • Поддерживает Joomla 2.5 и 3.x
  • Бесплатен в использовании
  • Возможно менять порядок вкладок
  • Можно изменять размер формы (ширину / высоту, рекомендуемая — 300px)
  • Поддержка API всех социальных сетей
  • Удобная интеграция, легкая настройка
  • Автоматически подстраивается под размер блока

Скачать модуль | 10kb

02.jpg

Комментарии для Joomla — JComments

0

(далее…)

Вверх