В этой главе...

• Что делать, чтобы ваш сайт не взломали
• Потенциально опасные директивы РНР
• Что делать, если сайт таки взломали
• Список ресурсов, посвященных безопасности Joomla

Несколько слов о безопасности сайтов

Беда всех стандартных (уже кем-то написанных, доступных для загрузки любому желающему) систем управления контентом (CMS) заключается в том, что они "стандартно" и взламываются. Причем для взлома сайта не нужно быть хакером высокого уровня — инструкции по взлому стандартных CMS опубликованы на многочисленных сайтах, и в большинстве случаев для их применения не нужно обладать какими-либо специальными знаниями, достаточно просто уметь использовать браузер. Не выполнить такие инструкции может лишь тот, кто не умеет читать. Помню, я администрировал сайт одной организации, построенный на базе CMS PHP-Nuke. Так вот, за три месяца этот сайт взламывали трижды. После последнего раза я закрыл сайт и написал для него собственную CMS. После этого (до сегодняшнего времени) — ни одного взлома сайта. Секрет заключается в том, что в Интернете нет рекомендаций по взлому моей CMS. Взломать можно любую систему, и я не заявляю, что моя система была сверхзащищенной. Просто отсутствие готовых рекомендаций не позволит взломать ваш сайт любому школьнику.

К сожалению, Joomla — это одна из стандартных систем, которые могут быть легко взломаны. Однако, выполняя некоторые рекомендации и посещая сайты, посвященные безопасности Joomla, вы можете существенно снизить риск взлома вашего сайта. Пользователей Joomla очень много, вы один из них. Возможно, чей-то сайт уже был взломан, и информация о "дыре" уже известна разработчикам Joomla. На специальных сайтах (о них — чуть ниже) вы сможете найти "патчи" (заплаты), закрывающие эту дыру. Вовремя установив заплату на сайт, вы обезопасите его на некоторое время — пока не будут найдены новые уязвимости.

Если за полгода ваш сайт не взломали — радуйтесь. Но после того как отпразднуете это событие, обязательно обновите версию Joomla — к тому времени выйдет новая версия со всеми заплатами, и ваш сайт станет еще более недоступным для злоумышленников.

За два года использования Joomla на разных сайтах (когда заказчик не хочет платить за разработку эксклюзивной CMS, устанавливается уже готовая, как правило, Joomla), был всего один факт взлома. Правда, взломали сайт, о котором я давно забыл и не присматривал за ним (не обновлял программное обеспечение). Разобравшись в причинах взлома, я выяснил, что проблема заключалась не только в Joomla, но и в настройках хостинга. После закрытия дыры взлом не повторился. Ведь безопасность сайта — это не только безопасность CMS. Нужно также учитывать безопасность хостинга и человеческий фактор (например, слишком простой пароль администратора).

Итак, приступим к рекомендациям, позволяющим обезопасить ваш сайт.