Если вы еще не сделали этого после установки Joomla, сделайте это сейчас. Ранние версии Joomla не запускались, если каталог installation не удален. Версия 1.5 запускается, но на панели управления вы увидите соответствующее сообщение.

Злоумышленник может "переустановить" систему без вашего ведома, если вы не удалили каталог инсталлятора. Поэтому самое время это сделать.

Отключаем директиву register_globals

Самая примитивная в реализации, но и одна из самых эффективных защит Joomla заключается в выключении директивы register_globals. Если у вас есть доступ к файлу конфигурации php .ini, откройте его и выключите эту директиву:

register_globals = 0

Директива register_globals — это не дыра в РНР, просто некоторые разработчики, в том числе и разработчики Joomla, не умеют правильно писать код с включенной директивой registerglobals. Это я заявляю открыто, поскольку, если бы код был написан правильно, об этой проблеме не было бы упоминаний в каждом руководстве по Joomla-безопасности. В любом случае эту директиву лучше выключить.

Если у вас нет доступа к файлу php.ini, попросите администратора хостинга выключить ее или же создайте файл .htaccess и поместите его в корневой каталог Joomla. Файл .htaccess должен быть следующего содержания:

php_value register_globals 0

Отключаем другие потенциально опасные директивы РНР

Директива disable_functions содержит список запрещенных РНР-функций. На хорошо защищенном хостинге этот список выглядит так:
disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open

Также нужно выключить директивы safe_mode и allow_url_fopen:
safe_mode = 0 allow_url_fopen = 0

Последние две директивы, если нет возможности редактировать файл php. ini, можно добавить в файл . htaccess:
php_value safe_mode 0 php_value allow_url_fopen 0

Устанавливаем правильные права доступа

Установите к файлу конфигурации configuration.php права доступа в виде значения 444. Правда, после этого вы не сможете изменять параметры Joomla (потребуется заново установить права 666, затем изменить файл и опять установить права 444):
chmod 444 configuration.php

На все файлы установите права доступа в виде значения 644 (кроме configuration, php), а на все каталоги — в виде значения 755. Но это нужно сделать уже после того, как настроили сайт и установили все необходимые расширения. Права со значением 777 нужно установить только на следующие каталоги:
administrator/backups/;
cache/;
images/;
images/banners/;
images/stories/.

Желательно защитить каталог administrator паролем. Во многих панелях управления хостинга есть такая возможность, и реализовать защиту паролем можно за считанные секунды. За подробной консультацией обратитесь в службу технической поддержки хостера.

Рис. 8.1. Выбор каталога для защиты паролем

Рис. 8.1. Выбор каталога для защиты паролем

Рис. 8.2. Установка пароля

Я помогу вам разве что с панелью DirectAdmin, которую использую сам. На главной странице выберите команду Защита папок паролем, затем — команду Выбрать папку для защиты, после чего перейдите в каталог, в который вы установили Joomla, и напротив каталога administrator щелкните на ссылке Protect (рис. 8.1), чтобы ввести пароль доступа (рис. 8.2). Полный путь к своему каталогу administrator на рис. 8.2 я затер из соображений безопасности.