У стандартній установці Joomla 3 є плагін захисту від спам-ботів- ReCaptcha. Не секрет, що ця капча дуже відлякує відвідувачів, дуже знижуючи конверсію. І це зрозуміло – російськомовному користувачеві дуже важко розібрати написи. Є ще один момент - цей плагін звертається до api google і якщо щось на сайті google піде не так (хакери, землетрус, повінь, годзил або просто висока завантаженість каналу), то ваша капча, а відповідно і форма, на якій капча встановлена теж перестануть працювати. Що ж робити, якщо хочеться з одного боку захистити свій сайт від ботів, а з іншого - не злякати клієнтів і не звертатися до сторонніх сайтів? Ви здивуєтеся, але рішення є. За цілком адекватною ціною.

Розповідаю, як це виглядатиме з боку клієнта. Припустимо, наша супер-капча встановлена ​​на формі реєстрації користувача.

Як видно зі скріншоту, відвідувачеві, щоб довести, що він не робот, не потрібно нічого вводити – потрібно просто поставити галочку. А чому робот не може поставити галочку? Цілком резонне питання. Тому що він не має ручок! Тобто робот не запускає браузер, не кликає на поля введення та на галочки. Всі роботи діють однаково - вони отримують дані з сайту, розшифровують капчу, і надсилають дані форми назад серверу. У нашому випадку система захисту діє наступним чином. При натисканні на чекбокс запускається JavaScript, який формує додаткове приховане поле з випадковим вмістом (на кшталт джумлівського токена). Це поле буде порівняно з аналогічним вмістом, попередньо збереженим на сервері. Сам скрипт теж зашифрований, тому його логіку роботу відстежити не вдасться. Теоретично це можливо, але довго та дорого. Я не взявся б за таку роботу.

Привіт, друзі! Радий бачити вас на сторінках мого блогу! Сьогодні ми поговоримо про капчу Joomla. Раніше ми вже стикалися зі стандартним плагіном reCAPTCHA, який реалізує однойменну капчу від Google. Сьогодні ми підемо далі і розглянемо інший інструмент захисту від спаму Joomla - плагін EasyCalcCheck PLUS. Він відрізняється своєю гнучкістю — здатний створити як простий математичний захист, так і глибоко ешелонований, що включає ReCAPTCHA, Akismet, Botscout та інші пастки для ботів-спамерів.

Установка EasyCalcCheck PLUS

Завантажити свіжу версію плагіна EasyCalcCheck PLUS можна з сайту розробників, тільки не забувайте, що вона повинна підходити до вашої версії Joomla.

Плагін встановлюється стандартно через . Після завершення встановлення переходимо в Менеджер Плагінів, знаходимо System — EasyCalcCheck PLUS — ECC+ і заходимо до його налаштувань. Приємно, що за умовчанням всі його налаштування російською. Ще такий момент, плагін спочатку вимкнений, тому після налаштування не забудьте його включити.

Налаштування плагіна EasyCalcCheck PLUS

Усі налаштування плагіна зосереджені на закладках праворуч. Розберемо кожну з них по черзі.

1. Основні параметри

EasyCalcCheck PLUS надає на вибір три види капчі:

1. математична - користувачеві необхідно запровадити результат простої арифметичної дії;
2. вже знайома нам reCAPTCHA - надійна, але досить складна для користувачів;
3. текстова - читач повинен ввести відповідь на поставлене вами питання.

Налаштування математичної капчі.

• Перевіряти відповідь — увімкнути/вимкнути математичну капчу.
• Вибір оператора — на вибір два арифмітські оператори «-» та «+». Можна використовувати як один із них, так і обидва.
• Кількість знаків – визначаємо кількість операндів (аргументів) арифметичної операції. Капча не повинна дратувати та напружувати користувачів, тому двох аргументів цілком вистачить, щоб мозок не закипів.
• Негативні? - Дозволити отримання негативного результату при відніманні.
• Цифри словами - це на любителя. Може дещо збентежити читачів, буде не зрозуміло, в якому вигляді запроваджувати результат — словами чи цифрами.
• Максимуми - задається максимальне значення для аргументів математичної капчі.
• Приховане поле - область, прихована від людини, але здатна обдурити спам-бота та заблокувати надсилання повідомлення.
• Час блокування — використання цієї опції запобігає занадто швидкому введенню даних, характерному для ботів-спамерів.
• Скільки секунд? — час, який має пройти, перш ніж форму буде прийнято.

Настойки ReCaptcha.

• ReCaptcha — увімкнути/вимкнути.
• ReCaptcha Theme – вибираємо візуальне оформлення.
• Public Key та Private Key — реєструємось на сервісі reCAPTCHA від Google та отримуємо публічний та приватний ключі.

Подивитися наявні стилі для ReCaptcha і докладну інструкцію щодо отримання Public Key та Private Key можна.

Налаштування текстової капчі в Joomla.

2. Додаткова інформація

У першій частині налаштувань розділу «додаткова інформація» необхідно вибрати розширення Joomla, в яких використовуватиметься капча плагіна EasyCalcCheck PLUS. Жодного додаткового коду в ці розширення додавати не треба, капча з'явиться в них автоматично, що є безперечним плюсом.

• Куди можна додати капчу:
• Реєстрація – форми Реєстрації та Відновлення Логіну/Паролю.
• User login - форма входу (авторизації). Max. incorrect login attempts – максимальна кількість спроб авторизації.
• Зворотній зв'язок – стандартна форма зворотного зв'язку.
• ALFContact - невеликий компонент, який дозволяє організувати відправлення повідомлень користувачів сайту на email.
• Community Builder та JomSocial - компоненти для створення соціальної мережі на базі Joomla.
• DFContact – простий компонент для створення сторінки з контактною інформацією.
• Easybook Reloaded та Phoca Guestbook – компоненти для гостьової книги Joomla.
• FoxContact та FlexiContact — компоненти для створення форми зворотного зв'язку.
• Kunena Forum - форум на Joomla.
• Virtuemart – компонент для інтернет магазину.
• Зберігати дані? — якщо увімкнути цю опцію, то при невдалій спробі відправити форму, дані в ній збережуться і їх не доведеться знову вводити.
• Попередження – показувати попередження під капчею.
• Шифрувати поля введення? - Для безпеки варто залишити так.
• Spam protection only for guests – показувати капчу лише для гостей.
• Alternative search string - перекладається як "альтернативний рядок пошуку", але для мене ця опція залишилася загадкою.
• Show a link to the author – показувати посилання на сайт автора плагіна. Дуже благородно з боку авторів дати можливість користувачам самостійно вирішувати, залишати зовнішнє посилання на сайт чи ні.

Якщо ви використовуєте EasyCalcCheck PLUS, то обов'язково відключіть стандартний плагін reCAPTCHA, бо може вийде так, що на сторінці будуть відображатися відразу дві капчі.

3. Botstop

Через цей розділ налаштувань можна використовувати додаткові сторонні сервіси для захисту Joomla від спаму.

На StopForumSpam.com представлений глобальний спам-лист, до якого заносяться дані з усього інтернету про боти спамерів - їх IP, ім'я та email. Щоб задіяти сервіс, просто поставте "Так" напроти опції StopForumSpam.com. Коментарі користувачів, чиє ім'я, IP та email співпадаю із занесеними в цей спам-лист, будуть відсіяні.

SQL-ін'єкції - включає захист від SQL-ін'єкцій.

Honeypot (у перекладі "пастка") - додає на ваш сайт пастки для ботів спамерів. Усі дані з них стікаються до розробників, де аналізуються. Для роботи Honeypot Project необхідно зареєструватися на www.projecthoneypot.org та отримати ключ активації.

- Одна з найпопулярніших систем захисту від спаму. Для її активації потрібно отримати API key. Переходимо на сайт і тиснемо на кнопку "Get started and say goodbay o cpam".

Платити за Akismet бажання немає, тому вибираємо версію Personal.

Повзунок праворуч WHAT IS AKISMET WORTH TO YOU? ставимо в ліве положення і отримуємо безкоштовну версію - free. Заповнюємо такі поля:

• First name – ім'я.
• Last name – прізвище.
• Email та Confirm email — двічі вводимо адресу електронної пошти.

Залишається тільки натиснути кнопку Continue. На вказаний email прийде лист, у тексті якого вказано Akismet API key. Його слід скопіювати та вставити в налаштування плагіна EasyCalcCheck PLUS.

Mollom - сервіс, який аналізує зміст інформації, що надсилається на сайт. Для його роботи потрібно отримати публічні та приватні ключі. Заходимо на офіційний сайт mollom.com і починаємо реєстрацію, натиснувши «GET STARTED».

Грошей зайвих немає, тому вибираємо безкоштовну версію продукту.

Потрапляємо у форму реєстрації. Необхідно заповнити всі поля та натиснути "Greate new account". На вказаний email прийде лист з логіном та паролями, а також посилання для активації створеного вами облікового запису. Перейдіть по ній та пройдіть авторизацію на mollom.com.

Тепер необхідно додати інформацію про сайт, на якому mollom буде використовуватись. Введіть адресу сайту, виберіть тип (персональний або корпоративний), мову (Russia — російська) та програмне забезпечення (у нашому випадку це Joomla). Не забудьте поставити галочку поруч із «I have read and accept...».

Коли ввели всю інформацію, натискаємо NEXT і потрапляємо в site manager. Щоб отримати приватні та публічні ключі, переходимо за посиланням «view keys».

Копіюємо їх та вставляємо у відповідні поля налаштувань EasyCalcCheck PLUS.

- Сервіс аналогічний StopForumSpam.com, так само відстежує бридких роботів по використовуваних ними IP, email та імені. Для його роботи потрібно Botscout API Key, який можна отримати на офіційному сайті -.

Заходимо в розділ "API INFO" - "Get An API Key".

Потрапляємо у форму реєстрації, у якій слід заповнити всі поля. Одне обмеження: пошта не повинна розміщуватись на доменах.biz, .ru. .info, .ia, .fm, .pl.

Коли всі поля заповнені, натисніть кнопку Get API Key. На вказану пошту прийде лист із згенерованим для вас Botscout API Key.

4. Захист із bot-trap

Дозволяє задіяти ще один спам-лист, тепер уже від сервісу bot-trap.de. На цьому сайті необхідно зареєструватися та отримати файл page.restriction.php, який слід завантажити на сервер у директорію plugins/system/easycalccheckplus/bottrap. Завдання може ускладнити той факт, що даний інтернет ресурс німецькою мовою.

5. Захист Адмінки

Для захисту можна змінити її URL-адресу зі стандартної http://vash_sayt.ru/administrator на http://vash_sayt.ru/administrator/index.php?token= xxx або http://vash_sayt.ru/administrator/?token= xxx , де xxx це маркер, який ви самі задаєте у відповідній опції. Фактично, тільки ви знатимете нову адресу адмінки joomla, що значно ускладнить її злом. Головне – не забудьте маркер!

У третій опції можна задати URL-адресу сторінки, на яку буде перекидатися користувач у разі введення неправильного маркера.

Модулі захисту Joomla (частина 3)

Модулі захисту Joomla, розглянуті в цій статті, не захистять Ваш сайт від спроб злому. Але допоможуть захиститися від різного роду спаму, що може підвищити рівень довіри користувачів до Вашого сайту.

Капча

Не можна сказати, що капча на пряму допоможе підвищити захищеність Вашого сайту від злому (крім випадків, коли її застосовують від спроб «грубого» підбору паролів), але капча допоможе знизити рівень спаму на сайті.

EasyCalcCheck PLUS дозволить захистити сайт від спаму шляхом додавання «арифметичної капчі», прихованого поля та затримки за часом. Підтримка таких розширень як: ALFContact, AlphaRegistration, CBE, Community Builder, DFContact, Easybook Reloaded, Flexi Contact, Job Board, Jom Social, Kunena Forum, Phoca Guestbook, QContacts та Virtuemart. Інтеграція з ReCaptcha, Akismet, Bot-Trap, Honeypot Project, Mollom, StopForumSpam, BotScout. Захист доступу до адміністративної частини сайту шляхом додавання ключа до адреси. Перекладено наступними мовами: німецька, англійська, італійська, іспанська, російська, угорська, нідерландська, грецька, французька, сербська та чеська.

Додає Googles reCaptcha. Сумісний з JForm.

KeyCAPTCHA – інноваційне рішення проти спаму. На відміну від більшості інших капч, KeyCAPTCHA не вимагає введення символів. особливості:

У каталозі розширень Joomla це розширення зазначено як «Популярен». Більш детально про цю плагін Ви зможете прочитати у статті «Огляд osolCaptcha. Капча для Joomla».

Плагін OSOLCaptcha додає капч до форм Joomla з реєстрації, відновлення пароля або логіну і до форм зворотного зв'язку. особливості:

Три різні види капч: PHP SecurImage, ReCAPTCHA, MathGuard.

Core Design Captcha plugin - це розширення, що дозволяє встановити капч для входу на сайт, реєстрації, відновлення забутого логіну та пароля. Підтримка наступних розширень: Core Design Login module, Core Design «Tasty» Monials plugin, Core Design Article Supporters plugin, Core Design Petitions plugin, K2, VirtueMart, Community Builder, Phoca Guestbook, Joomla Comment, AdsManager, Chrono Comments, RS , ЗОО, JoomGallery, EasyBook Reloaded.

Enmask Captcha дає можливість встановлення капча для входу на сайт, реєстрації, відновлення забутого логіну та паролю і для форми зворотного зв'язку. Існує можливість налаштування з адміністративної панелі.

Можливість встановлення ReCaptcha для входу на сайт, реєстрації, відновлення забутого логіну та паролю і для форми зворотного зв'язку. особливості:

VouchSafe - капча для входу на сайт, реєстрації, відновлення забутого логіну і пароля і для форми зворотного зв'язку, що вимагає від користувача вирішення логічних завдань. Наприклад, обвести в гурток один із об'єктів на малюнку, який випадає зі смислового ряду. Або провести лінію від одного об'єкта малюнку до іншого (пов'язаним з ним за змістом), не перетинаючи інші об'єкти. Є можливість озвучення завдання. Є можливість налаштування колірного оформлення капчі.

Вважаю, що вона є надто складною для користувачів і потребує надто багато, порівняно з іншими капчами, часу, що в свою чергу може відлякати Ваших відвідувачів. Також слід зазначити, що вона розрахована на англомовну аудиторію. Однак вона дає, на мій погляд, стовідсоткову гарантію підтвердження того, що дії виконує людина. І спамери можуть не захотіти з нею возитися.

Можливість встановлення капча для входу на сайт, реєстрації, відновлення забутого логіну та пароля, для форми зворотного зв'язку, форумів і так далі. Не вимагає введення символів із зображення. Користувачеві слід зазначити кілька картинок зі списку, на яких показані певні об'єкти. Розрахована на англомовну аудиторію.

Менеджер паролів

Менеджер паролів, як і капча, безпосередньо не впливає на захист Вашого сайту від злому. У попередніх статтях «Захист Joomla (частина , )» я вже торкався теми безпеки паролів. Але сподіватися на те, що користувачі самостійно створюватимуть безпечні паролі (детальніше про це Ви можете прочитати у статті «Безпечний пароль») і періодично їх змінювати, не можна. Менеджери паролів служать для автоматизації контролю за створюваними паролями і автоматичної генерації безпечних паролів.

Модуль створення пароля. особливості:

p align="justify"> Плагін Password Control дозволяє Вам вивести повідомлення про необхідність зміни пароля після входу користувача на сайт. Наприклад, після закінчення певного терміну. Є можливість вказати користувачів, для яких цей плагін не працюватиме. При зміні пароля перевіряється його збіг із попереднім. Якщо це той самий пароль, то користувачеві необхідно буде його змінити.

Захист від спаму

Навіщо потрібно захищати сайт від спаму було розглянуто у статті «Захист Joomla (частина 5). Спам на сайті». Спеціально для цього є розширення, які в режимі реального часу не дають спамерам творити свою «брудну» справу.

SpamFighter – антиспам компонент для форумів. Підтримка Kunena, NinjaBoard та ccBoard. Використовується алгоритм Bayesian.

Захист реєстрації на сайті від спам-реєстрації (роботів). Під час реєстрації відбувається перевірка введених (імені користувача, адреси електронної пошти та IP адреси) даних за такими антиспам базами як: projecthoneypot.org, sorbs.net, undisposable.net, stopforumspam.com та spamcop.net. особливості:

Захист реєстрації на сайті від спам-реєстрації (роботів). Під час реєстрації відбувається перевірка введених (імені користувача, адреси електронної пошти та IP адреси) даних щодо антиспам бази spambusted.com.

Цей плагін дозволить Вам заблокувати «Підроблені» адреси електронної пошти, «загальні» імена користувачів та «спільні» паролі.

Дозволяє приховувати адреси електронної пошти на Вашому сайті від «роботів». На відміну від вбудованого в Joomla розширення Spam Blocker захищає адреси електронної пошти не тільки у статтях, а й скрізь на сайті (у шаблоні, модулях тощо). Плагін має низку налаштувань.

Моніторинг сайту

Будь-якому сайту необхідно приділяти увагу, якщо Ви хочете, щоб він процвітав або хоча б просто стабільно працював. Але не завжди є можливість і необхідність постійного відстеження ресурсу. Найчастіше необхідно просто оперативно реагувати на ті чи інші події на сайті. Наприклад, поява помилок, реєстрація користувачів, вихід нових оновлень для розширень і так далі. А з урахуванням того, що у Вас може бути не один, а кілька сайтів, це завдання стає дуже важким. Розширення моніторингу сайту допоможуть налаштувати відправлення повідомлень на Вашу електронну адресу при виникненні будь-яких проблем або просто подій, які вимагають Вашого безпосереднього втручання.

JMonitoring стежить і передає інформацію про спроби злому та помилки на сайті. Дуже зручно, якщо у Вас є декілька сайтів і ви не можете перевіряти їх «вручну» щодня. особливості:

Плагін, що дозволяє настроїти надсилання повідомлення на електронну пошту адміністраторів та модераторів під час реєстрації нового користувача на сайті.

Компонент дозволяє проаналізувати встановлені на сайті розширення та їх версії, порівняти отримані дані з базою даних та видати докладний звіт про те, в якому з розширень знайдено та не закрито вразливість безпеки та якого рівня. Ви можете налаштувати частоту перевірки розширень та адресу електронної пошти, на яку необхідно надсилати листи зі звітом.

Підіб'ємо деякі підсумки. Отже, у каталозі розширень Joomla в період написання статті (з 14.01.2012 по 23.01.2012) у категорії Безпека сайту налічується понад 101 розширення. Усі вони поділені на вісім підкатегорій. З них 4 розширення удостоєно «звання» «Популярний» та одне з них удостоєно «звання» «Вибір редакції».

Akeeba Backup – резервне копіювання. «Вибір редакції» та «Популярний».

XCloner-Backup and Restore – резервне копіювання. "Популярний".

Admin Tools – захист сайту. "Популярний".

OSOLCaptcha - капча. "Популярний".

Для більшої зручності я наведу такі дані: рейтинг, кількість людей, що проголосували, і кількість переглядів у вигляді таблиць і діаграм.

Резервні копії

XCloner-Backup and Restore
jBackup System Plugin

Захист входу

Encrypt configuration
Secure Authentication
OSE Anti-BruteForce™ plugin
yKhoon Block Failed Login
yKhoon Lock Account
yKhoon Advanced Lock Account

Захист сайту

OSE Anti-Hacker™ для Joomla!
Marco"s SQL Injection
Admin Tools Professional
OSE Anti-Virus™ для Joomla!
OSE Secure™ plugin
RVS PasswordChecker

EasyCalcCheck PLUS
Ajax Math Captcha
Captcha by Ideal
Ajax Math Captcha

Менеджер паролів

Password Control

Захист від спаму

Захист електронної пошти

Моніторинг сайту

На підставі цих даних, відсіявши розширення, за які проголосувало менше 16 осіб, збудовано наступні діаграми з відображенням рейтингу кожного з розширень. Для зручності вони наведені окремо для кожної підкатегорії. Для таких підкатегорій як «Менеджер паролів», «Захист від спаму», «Захист електронної пошти» та «Моніторинг сайту» будувати діаграми немає сенсу через малу кількість розширень у цих підкатегоріях.

Модулі захисту Joomla від спаму нададуть Вашому сайту додаткову вагу в очах відвідувачів. Але не варто занадто старатися з їх використанням.

Здрастуйте, шановні читачі блогу сайт. Сьогодні буде зовсім незвичайний пост. Я вже кілька разів публікував статті написані для мене за гроші (про біржі копірайтингу і) і був би радий і надалі отримувати такі ж чудові матеріали. Однак сьогодні є інший випадок.

Фактично це рекламний пост, за який я не взяв жодної копійки. Автор, який написав цей текст, раніше у мене на майданчику, але його рентабельність була на межі, тому він звернувся до мене з проханням про розміщення поста написаного мною. Зі зрозумілих причин я відмовився, але погодився розмістити його власний огляд.

Установка JComments та Cleantalk. Spam protect на Joomla

Взагалі, мені зовсім не соромно брати гроші за агрегаторів, контор з просування та інших заможних кротів, бо головне їх завдання — брендинг. Інша річ, молоді стартапи, яким доводиться рахувати кожну копійку і найчастіше не відбиває вкладені у його розміщення гроші.

Однак, це зовсім не означає, що я публікуватиму огляди всіх молодих стартапів і цю статтю прошу вважати простим винятком із правил. Можливо, ще буде матеріал від цього ж автора про аналогічну спаморізку для WordPress. Подивимося, і дякую за увагу, а зараз передаю слово автору.

Доброго дня, сьогодні я розповім, як за 5-10 хвилин підключити на сайт під управлінням CMS Joomla! систему захисту коментарів від спаму «Клінтолк», а також про те, як використовувати автомодераціюдля опублікування корисних відгуків в режимі онлайн.

Для прикладу використовуватиму Джумлу версії 1.5, компонент JComments 2.3 і плагін Cleantalk. Spam protect 1.4.2.

Отже, почнемо. Насамперед встановлюємо компонент, процес встановлення та налаштування якого чудово описаний Дмитром у статті.

Але використовуємо останню версію 2.3.0, яку можна завантажити офіційному ресурсі розробників , т.к. тільки вона сумісна з версіями Joomla 1.7 та 2.5.

Далі настала черга встановити плагін Cleantalk. Spam protect, який захищатиме сайт від спаму та модеруватиме нові коментарі від живих людей. Процес установки починаємо з його встановлення в адмінці (читайте про ). Для чого необхідно вибрати архів з плагіном та запустити встановлення у пункті меню Розширення -> Встановити/Видалити.

Після виконання цих дій налаштування буде завершено.

Плагін «Клінтолк» встановлений, переходимо до його налаштування. Перш за все необхідно отримати ключ доступу на сайті розробника, для чого вказуємо будь-який робочий email, на який буде надіслано листа з ключем.

Отриманий ключ копіюємо та вставляємо в меню налаштування плагіна, у тому ж меню попутно активуємо його.

На цьому налаштування «Клінтолк» закінчено, переходимо до невеликої донастройки JComments.

Включаємо автопублікацію коментів та відключаємо CAPTCHA

Насамперед включаємо можливість коментування у необхідних нам розділах Компоненти -> JComments -> Налаштування -> Загальні

У налаштуваннях компонента JComments увімкніть автопублікацію коментарів та вимкніть CAPTCHA Компоненти -> JComments -> Налаштування -> Права

Разом із налаштованим та включеним «Клінтолк» автопублікація дозволить відгукам з корисною інформацією від живих користувачів потрапляти на сайт обминаючи ручну модерацію, і при цьому відпадає для кожного нового коментаря!

І останнє налаштування — увімкніть повідомлення про появу нових відгуків: Компоненти -> JComments -> Налаштування -> Загальні

Повідомлення будуть надходити на кожен коментар, який пройшов автомодерацію, таким чином можна моніторити нові повідомлення не заходячи в Панель управління.

Переходимо до останнього кроку – тестуємо результат.

Тестування захисту від спаму та автомодерації

Напишіть повідомлення до будь-якої статті, новини, де включено Джикомментс. Для перевірки плагіна використовуйте email із відомого сервісу електронної пошти Gmail - « [email protected]» . Поряд із формою написання коментаря має з'явитися попередження на жовтому фоні, яке повідомляє про те, що вказана електронна адреса знаходиться у чорних списках за періодичну спам-активність.

Візьміть для прикладу текст, який не відноситься до теми обговорення коментованої статті, і використовуйте його як відгук. Хороший генератор текстів про все є у Яндекса. Якщо повідомлення буде надіслано на ручну модерацію, то воно є офтопом, або підпадає під критерії ручного спаму.

От і все! Коментарі на сайті під керуванням надійно захищені від спаму (), як автоматичного, так і ручного. А також підключено систему автомодерації, яка дозволяє публікувати нові повідомлення на сайті в режимі онлайн.

З повагою, Денис Шагімуратов.

Удачі вам! До швидких зустрічей на сторінках блогу сайт

Вам може бути цікаво

JComments - безкоштовний компонент коментарів з captcha для Joomla, його встановлення та налаштування
Компонент K2 для створення блогів, каталогів та порталів на Joomla - можливості, встановлення та русифікація
Створення картки для сайту на Joomla за допомогою компонента Xmap
Теми оформлення та русифікація форуму SMF, а також встановлення компонента JFusion у Joomla
Akeeba Backup (колишній JoomlaPack) - створення бекапу сайту на Joomla та відновлення з резервної копії у два кліки Фотогалерея для Joomla — Частина 3 — Створення галерей у Joomla 1.5 за допомогою компонента Phoca Gallery — додавання категорій та завантаження зображень у фотогалерею
ARTIO JoomSEF - налаштування ЧПУ (SEF) посилань і Title в Joomla, а також створення сторінки 404 помилки за допомогою цього розширення

Встановити пароль на папку можна через веб-інтерфейс хостингу (якщо є така можливість) або вручну за допомогою файлу.htaccess і командної сторки.

Ручне встановлення:У директорії, яку ми хочемо закрити паролем (або в кореневому каталозі сайту, якщо ми закриваємо весь сайт), створимо файл.htaccess, до якого запишемо такі рядки:

AuthName "довільний_текст"
AuthType Basic
Require valid-user
AuthUserFile "повний_шлях_до _файлу_.htpasswd"

У рядку AuthName замість "довільний_текст" зазвичай знаходиться повідомлення, яке вказує до чого здійснюється доступ, наприклад "Система керування" або щось подібне. Це повідомлення відображатиметься у вікні для введення логіну та пароля.

У рядку AuthUserFile вказуємо повний шлях до файлу.htpasswd, у якому знаходяться зашифровані паролі. Дуже часто, з міркувань безпеки на хостингу створюється спеціальна директорія для таких файлів, доступ до якої з інтернету закритий. Шлях до файлу .htpasswd може виглядати так: /home/my_site/.htpasswds/.htpasswd або у випадку з операційною системою Windows так: c:/my_site/.htpasswd.

Сам файл.htpasswd генерується за допомогою утиліти htpasswd із комплекту Apache. Зазвичай, для цього потрібно написати в командному рядку таке:

Htpasswd -bc .htpasswd ім'я_користувача пароль_користувача

Після цього потрібно перемістити отриманий файл до директорії, вказаної в AuthUserFile. Про інші функції утиліти htpasswd можна дізнатися, запустивши її з командного рядка без параметрів.

Після виконання описаних дій при спробі звернення до захищеного сайту або каталогу з'явиться вікно з проханням ввести логін та пароль для входу на сайт.

2. Приховуємо інші сліди Joomla

2.1 Не використовувати дефолтні префікси таблиць у базі даних

Заміна стандартних джумлівських префіксів таблиць (jos_ Joomla 1.5) знижує ризик злому і впровадження шкідливих кодів через SQL базу даних.

2.2 Видалити чи замінити

У файлі index.php після тега потрібно прописати рядок

setGenerator("Your-Site.ru"); ?>

абоsetGenerator(""); ?>

2.3 Заблокувати спосіб перегляду позицій модуля у шаблоні сайту (/?tp=1)

При розробці сайту Joomla пропонує такий спосіб перегляду позицій модуля шаблону сайту (наприклад, domain.ru/?tp=1).

Це актуально для Joomla 1.5, а для 1.6, 1.7, 2.5 це не актуально, оскільки в цих версіях Joomla подібний спосіб перегляду позиції модуля вже вимкнено за замовчуванням. Як заборонити такий перегляд для Joomla 1.5 - див. статтю, яку було викладено раніше.

2.4 Обов'язково використовувати SEF

Обов'язково використовувати компоненти SEF для генерації людинонятних посилань.

3. Видаляємо компоненти Joomla, що не використовуються.

3.1 Видаляємо компоненти

Усі компоненти, модулі, плагіни, шаблони та інше краще використовувати повністю.

3.2 Видалити файли, які відповідають за відновлення пароля та його скидання

Якщо на вашому сайті не використовується реєстрація користувачів, краще видалити файли, які відповідають за відновлення пароля та його скидання. Можна видалити або всю папку com_user (у папці /components) або файл, який відповідає за скидання - reset.php (у папці /components/com_user/models).

4. Обмежуємо права на файли та папки

Насамперед на всі папки та файли виставляємо права доступу 755 та 644 відповідно.
На окремі папки можна поставити такі права:
templates 555 (рекурсивно)
на файли в кореневій директорії 444
на папку tmp 705
на папку logs 705

5. Своєчасне виявлення вірусів у Joomla

У будь-якому випадку періодично необхідно сканувати на віруси всі файли на сервері та стежити за появою нових незрозумілих папок та файлів. Можна використовувати спеціальні компоненти захисту Joomla: Eyesite, jFireWall, RSFirewall.