Как мне защитить сайт от взлома
Сразу же надо оговориться, что стопроцентной защиты нет. Существуют лишь некоторые правила, без соблюдения которых, защиту точно не составит труда обойти.
- register_globals - не надо думать, что это вот такая дыра в пхп, дыра прежде всего в головах у разработчиков, которые не умеют пользоваться средствами языка правильно. Так вот в последнее время (сентябрь 2006) число найденных дыр использующих неглубокие познания девелоперов экспоненциально возросло. Для самой примитивной защиты в файл .htaccess надо добавить строчку "php_value register_globals 0"(или "php_flag register_globals off") (без кавычек) (если вы это сделали, а у вас вывалилась ошибка 500 и вы не знаете что делать, значит вы нихрена не читали фак с самого начала, читайте его полностью)
- Рекоменудется прочитать "Руководство по обеспечению безопасости для мамбо" (с тех времен мало что изменилось, так что и для joomla все должно прокатить)
- После сохранения конфига дать как можно меньше прав на файл configuration.php, вплоть до 444 (правда потом и вы не сможете перезаписать файл )
На ВСЕ файлы и папки делайте
CHMOD 644 и 755 соответственно. Если Joomla нужны будут права для записи/перезаписи, то она скажет об этом сама, подсветив нужные ей папки и файлы
КРАСНЫМ цветом с сообщением Недоступно для записи.
Подробнее: Безопасность
Как вообще убрать pathway (это такая строка над компонентом, где отображается текущий логический уровень работы компонента)?
Открыть файл /templates/имя_вашего_шаблона/index.php в котором убрать вызов функции mosPathWay(), поставив в самом начале строки две решётки и пробел (## ).
Это называется "закомментировать". Можно и вырезать строку, но это чревато. Если передумаете, то вставить гораздо сложнее, т.к. надо точно знать куда вставлять.
Как поменять значок в адресной строке сайта на свой. Что для этого нужно.
Для этого нужно иметь свой значок в формате *.ico. И что бы он поменялся на ваш надо в папке /images заменить файл favicon.ico на свой и дать ему такое же название.
Подробнее: Шаблоны и графика
Выдается ошибка “Syntax error, unexpected XXX in …”. Как ее решить?
Попробуйте еще раз залить указанный в ошибке файл на хостинг. Скорее всего он скопировался не до конца.
Как определить абсолютный путь к папке с Joomla
Это может понадобиться, если потерся файл configuration.php и вам надо заполнить переменную $mosConfig_absolute_path. Для этого создаем файл path.php в директории с joomla и пишем следующее
echo dirname(__FILE__);
?>
То, что выведет этот скрипт и будет абсолютным путем к joomla. Напоминаю, что слэша в конце этого пути не должно быть.
Подробнее: Вопросы по языку PHP
В браузере появляется ошибка “Internal Server Error”. Код ошибки 500, белый лист, сайт не работает
Сначала необходимо подумать - а что же вы меняли на сайте, возможно, откатив изменения, можно добиться нормализации работы сайта. После этого можно посмотреть в лог веб-сервера, в лог его ошибок. Там, скорее всего, указано из-за чего она произошла (открываем в любом текстовом редакторе и смотрим записи на момент обращения к сайту - столбик с датой самый первый).
При смене хостинга такая проблема может появиться, если на новом хостинге запрещено использование каких-либо директив в .htaccess, которые на старом были разрешены. Например, установка параметров запуска php-интерпретатора php_value (запись в логах «php_value not allowed here» прямо говорит о том, что хостер запретил менять настройки пхп и вам нельзя использовать данную директиву). Или использование mod_rewrite, который нужен для работы SEF-адресов ссылок. В таком случае стоит обратиться в хостинговую компанию за разъяснениями.
Подробнее: Веб сервер
Какая страница считается главной, что делать, если я хочу заменить frontpage на свою главную?
Главной считается страница, ссылка на которую идет первой в меню mainmenu. То есть при загрузке сайта, если не был запрошен никакой компонент, то работающим по умолчанию компонентом будет тот, который указан в этом пункте меню. Изначально это com_frontpage, который просто делает include компонента контента и тот, согласно настройке пункта меню, показывает последние новости. Пункты меню можно двигать, поэтому для того, что бы там был необходимый вам компонент, то просто создайте ссылку на него и передвиньте туда нужный вам пункт. Для того, что бы создать пункт меню надо нажать кнопку Новый, далее тип — Компонент, а затем уже надо выбрать необходимый вам. Например это может быть только что установленная галерея.
Установил компонент com_xxx, а как до него добраться-то?
В меню надо создать новый пункт, в качестве его типа выбрать «Компонент», а потом в списке выбрать необходимый. Или прямо в адресной строке ввести http://где.стоит.joomla/index.php?option=com_xxx (где com_xxx — название папки с компонентом)
Подробнее: Интерфейс пользователя
В 90 процентах случаев, после установки шаблона, возникает необходимость редактирования или изменения стилей и вот тут в своей административной панели пользователи видят сообщение "params.ini is Недоступен на запись"! Если на вебсервере эта проблема решается достаточно просто, назначанием атрибута 777 файлу params.ini, то локальном компьютере решение оказывается сложнее. Как правило снятие флажка "Только чтение"в свойствах файла params.ini не приводит к желаемым результатам. Решение этой проблемемы находим с помощью файлового менеджера Total Comander версии 6.0 и выше:
Подробнее: Решение проблем с установкой и редактированием шаблонов
В последние годы участились случаи заражения вирусами сайтов, среди которых есть сайты и наших клиентов. В этой статье мы рассмотрим популярные способы заражения, меры предосторожности и действия в том случае, если ваш сайт уже заражен.
Определить, заражен ли сайт, довольно просто — в этом случае в коде страниц сайта можно обнаружить чужеродный код, обычно он содержит в себе теги или . Как правило, этот код находится либо в самом начале или конце страницы, либо сразу за тегом . Кроме того, при входе на такой сайт некоторые антивирусы (но, к сожалению, не все и не всегда) сообщают об обнаружении вируса. В последнее время все чаще стал встречаться еще один способ заражения: злоумышленник подменяет файл .htaccess, вставляя в него редирект (перенаправление) на вредоносный сайт.
Принцип заражения
Большинство людей, столкнувшись с этой проблемой, предполагает, что проблема на стороне хостинга, но на самом деле это далеко не так. Сайты заражаются приблизительно по следующему принципу:
-
Гуляя по интернету, человек заходит на сайт злоумышленника или уже зараженный сайт (причем, таким сайтом может оказаться и весьма популярный ресурс — подобные случаи уже были), в который встроен код, устанавливающий на компьютер посетителя вредосную программу — «троянского коня». Эта программа «живет» в компьютере незаметно для его владельца и ворует пароли доступа к его сайтам по FTP.
-
Заполучив пароль, «троянский конь» отправляет его своему владельцу. Имея пароль FTP-доступа, злоумышленник вставляет в код главной страницы сайта (или всех страниц сразу) специально сформированный HTML-код, который может как заражать вирусами компьютеры посетителей, так и перенаправлять их на другие сайты, показывать рекламные блоки и т. п.
Все это происходит в автоматическом режиме, и поэтому, даже если владелец пострадавшего сайта удалит код со своих страниц и сменит пароль на FTP, пароль будет снова украден, а вредоносный код вставлен на сайт уже на следующий день.
Здесь важно понимать, что безопасность вашего сайта целиком зависит от вас, и никаких «вирусов, живущих на хостинге» не существует. Единственное, что может сделать техподдержка хостинга — это ограничить доступ по FTP к вашему аккаунту только с определенного IP-адреса или набора IP адресов.
Меры безопасности
Простые правила, приведенные ниже, помогут предотвратить заражения вашего компьютера и сайтов. Многие из них справедливы не только в данной конкретной ситуации, желательно придерживаться их всегда и рекомендовать своим знакомым и коллегам:
-
Откажитесь от использования функции сохранения паролей в вашем FTP-менеджере.
Вирус ворует пароли, используя именно этот функционал популярных FTP-менеджеров.
-
Разрешите доступ по FTP к своему аккаунту только с известных вам IP-адресов.
Это самый эффективный метод борьбы со взломом сайтов, но он не спасает от заражения вашего собственного компьютера, поэтому остальными пунктами данного списка тоже не стоит пренебрегать.
-
Откажитесь от использования браузера Microsoft Internet Explorer (IE), особенно старых версий.
Код, загружающий «троянского коня» на компьютер, чаще всего использует уязвимость именно этого браузера, для других же он в большинстве случаев безвреден. Воспользуйтесь для прогулок по интернету одним из безопасных аналогов: Mozilla Firefox, Opera, Apple Safari или Google Chrome. Эти браузеры более безопасны, чем IE, но и у них бывают уязвимости. Поэтому при их использовании не следует пренебрегать обновлениями.
-
Пользуйтесь антивирусом и файрволом (брандмауэром), регулярно обновляйте антивирусные базы и проверяйте свой компьютер.
-
Регулярно загружайте обновления безопасности от Microsoft.
-
Не используйте одинаковые и простые пароли.
Всегда придумывайте разные пароли. Пароли доступа в контрольную панель «Джино», FTP-доступа и доступа к БД также должны различаться.
-
Не открывайте вложения в письмах, пришедших вам по электронной почте от неизвестных людей, не переходите по ссылкам, указанным в таких письмах.
-
Не переходите по ссылкам, рассылаемым программами-роботами по ICQ, не загружайте присланные незнакомцами файлы.
-
Не пользуйтесь возможностью запоминания паролей в браузере.
Не облегчайте жизнь злоумышленникам — старайтесь запоминать свои пароли.
-
Используйте скрипты, скачанные только с официальных сайтов или с популярных сайтов-каталогов скриптов, не используйте «варезные» и «Null»-версии скриптов.
-
Следите за выходом патчей безопасности («заплатками») для скрипта.
Со временем в скрипте могут обнаружиться различные уязвимости, но благодаря патчам безопасности, уязвимости можно исправить.
Если вы будете придерживаться выше описанным правилам, вы обезопасите свой компьютер и сайт от взлома, и тем самым сохраните ценную информацию.
Что делать, если ваш сайт заражен
Если вам не повезло и ваш сайт все-таки заражен, выполните приведенные ниже действия, причем именно в той последовательности, в которой они изложены:
-
Закройте доступ по FTP к вашему аккаунту.
-
Удалите все сохраненные учетные записи соединений из вашего FTP-менеджера и создайте их заново, не используя функцию сохранения пароля.
-
Обновите свои антивирусные базы. Если у вас нет антивируса, установите его.
-
Проверьте компьютер и удалите найденные вирусы. Если никаких вирусов не найдено, удостоверьтесь, что антивирусные базы обновлены или попробуйте другой антивирус.
-
Смените все свои пароли FTP-доступа, доступа в контрольную панель «Джино» и доступа к БД.
-
Удалите код, который был вставлен в страницы вашего сайта без вашего ведома или восстановите файлы из резервной копии, предварительно убедившись, что она не заражена.
-
Не пользуйтесь больше программой Internet Explorer или хотя бы отключите в ее настройках выполнение сценариев ActiveX.
Если доступ к сайту по FTP производился с нескольких компьютеров, то эти действия надо повторить на каждом из них.
У многих людей вызывает недоумение тот факт, что при регистрации доменов и переносе их с одного хостинга на другой сайты начинают работать не сразу. Чтобы понять, почему так происходит, необходимо знать основные принципы работы DNS, которые мы и рассмотрим в этой статье.
Компьютеры в сети общаются между собой, используя IP-адреса — числовые имена, имеющие такой вид: 217.107.217.21. IP-адрес можно сравнить с номером телефона — чтобы один компьютер мог обратиться к другому, ему необходимо знать его IP-адрес. Однако у IP-адресов есть два недостатка: во-первых, их существует лишь ограниченное количество (что нам сейчас не очень важно), а во-вторых, что важнее, IP-адрес очень трудно запомнить человеку. Продолжая аналогию с телефонными номерами, помните ли вы номера телефонов всех своих друзей и знакомых? Вероятно, нет. Но вы всегда можете воспользоваться записной книжкой.
Подробнее: Принципы работы DNS или почему домены начинают работать не сразу
Эти два сообщения являются не ошибкой, а лишь предупреждениями и уведомлениями для администратора. В процессе работы готового сайта они не нужны и их можно отключить.
Для отключения этих сообщений необходимо правильно настроить PHP:
На удаленном сервере, поддерживающем .htaccess можно изменить уровень вывода ошибок добавив в файл .htaccess, расположенный в корне сайта, следующую строчку: php_value error_reporting 1;
Подробнее: Показ предупреждений "Notice" и "Warning"
Если не вдаваться в технические подробности, то появление темного фона в окнах визуальных редакторов связано со стилем элемента BODY в файле template_css.css текущего шаблона.
Большинство современных визуальных редакторов для Joomla, в первую очередь, пытаются подключить файл из директории CSS текущего шаблона с именем editor_content.css, а если он отсутствует, то основной CSS-файл шаблона template_css.css.
Поэтому, если в шаблоне сайта нужно задать фон страницы отличный от белого, необходимо сделать следующее: в директории CSS текущего шаблона создать файл editor_content.css и в нем задать стиль для элемента BODY. Например, так:
Подробнее: Изменение цвета фона в редакторе