Joomla защита от спама. Защита Joomla от взлома, вирусов и спама

Модули защиты Joomla (часть 3)

Модули защиты Joomla, рассмотренные в данной статье, не защитят Ваш сайт от попыток взлома. Но помогут защититься от различного рода спама, что в свою очередь может повысить уровень доверия пользователей к Вашему сайту.


Нельзя сказать, что капча на прямую поможет повысить защищённость Вашего сайта от взлома (кроме случаев, когда её применяют от попыток «грубого» подбора паролей), но капча поможет снизить уровень спама на сайте.

EasyCalcCheck PLUS позволит защитить сайт от спама путём добавления «арифметической капчи», скрытого поля и задержки по времени. Поддержка таких расширений как: ALFContact, AlphaRegistration, CBE, Community Builder , DFContact, Easybook Reloaded, Flexi Contact, Job Board, JomSocial, Kunena Forum, Phoca Guestbook, QContacts и Virtuemart. Интеграция с ReCaptcha, Akismet, Bot-Trap, Honeypot Project, Mollom, StopForumSpam, BotScout. Защита доступа к административной части сайта путём добавления «ключа» к адресу. Переведён на следующие языки: немецкий, английский, итальянский, испанский, русский, венгерский, нидерландский, греческий, французский, сербский язык и чешский.

Добавляет Googles reCaptcha. Совместим с JForm.

KeyCAPTCHA - инновационное решение против спама. В отличии от большинства других капч KeyCAPTCHA не требует ввода символов. Особенности:

В каталоге расширений Joomla данное расширение отмечено как «Популярен». Более детально об этом плагине Вы сможете прочитать в статье «Обзор osolCaptcha. Капча для Joomla ».

Плагин OSOLCaptcha добавляет капч к формам Joomla по регистрации, восстановлению пароля и\или логина и к формам обратной связи. Особенности:

Три разных вида капч: PHP SecurImage, ReCAPTCHA, MathGuard.

Core Design Captcha plugin - это расширение, позволяющее установить капч для входа на сайт, регистрации, возобновления забытого логина и\или пароля. Поддержка следующих расширений: Core Design Login module, Core Design «Tasty» Monials plugin, Core Design Article Supporters plugin, Core Design Petitions plugin,K2,VirtueMart,Community Builder, Phoca Guestbook, Joomla Comment, AdsManager, Chrono Comments, RSForm Free, QContacts, ZOO, JoomGallery, EasyBook Reloaded.

Enmask Captcha даёт возможность установки капча для входа на сайт, регистрации, возобновления забытого логина и\или пароля и для формы обратной связи. Существует возможность настройки из административной панели.

Возможность установки ReCaptcha для входа на сайт, регистрации, возобновления забытого логина и\или пароля и для формы обратной связи. Особенности:

VouchSafe - капча для входа на сайт, регистрации, возобновления забытого логина и\или пароля и для формы обратной связи, требующая от пользователя решения логических задач. Например, обвести в кружок один из объектов на рисунке, который выпадает из смыслового ряда. Или провести линию от одного объекта на рисунке к другому (связанным с ним по смыслу), не пересекая другие объекты. Есть возможность озвучивания задания. Есть возможность настройки цветового оформления капчи.

Считаю, что она является слишком сложной для пользователей и требует слишком много, по сравнению с другими капчами, времени, что в свою очередь может отпугнуть Ваших посетителей. Также стоит отметить, что она рассчитана на англоязычную аудиторию. Однако она даёт, на мой взгляд, сто процентную гарантию подтверждения того, что действия выполняет человек. И спамеры могут не захотеть с ней возиться.

Возможность установки капча для входа на сайт, регистрации, возобновления забытого логина и\или пароля, для формы обратной связи, форумов и так далее. Не требует ввода символов с изображения. Пользователю нужно отметить несколько картинок из списка, на которых показаны определённые объекты. Рассчитана на англоязычную аудиторию.

Менеджер паролей

Менеджер паролей, так же как и капча, напрямую не влияет на защиту Вашего сайта от взлома. В предыдущих статьях «Защита Joomla (часть , )» я уже затрагивал тему безопасности паролей. Но надеяться на то, что пользователи самостоятельно будут создавать безопасные пароли (детальнее об этом Вы можете прочитать в статье «Безопасный пароль ») и периодически их менять, нельзя. Менеджеры паролей служат для автоматизации контроля за создаваемыми паролями и для автоматической генерации безопасных паролей.

Модуль генерации пароля. Особенности:

Плагин Password Control позволяет Вам вывести сообщение о необходимости смены пароля после входа пользователя на сайт. Например, по истечении определённого срока. Есть возможность указать пользователей, для которых данный плагин не будет работать. При смене пароля проверяется его совпадение с предыдущим. Если это один и тот же пароль, то пользователю необходимо будет его сменить.

Защита от спама

Зачем нужно защищать сайт от спама, было рассмотрено в статье «Защита Joomla (часть 5). Спам на сайте ». Специально для этого существуют расширения, которые в режиме реального времени не дают спамерам творить своё «грязное» дело.

SpamFighter - антиспам компонент для форумов. Поддержка Kunena, NinjaBoard и ccBoard. Используется алгоритм Bayesian.

Защита регистрации на сайте от спам-регистрации («роботов»). При регистрации происходит проверка введённых (имени пользователя, адреса электронной почты и IP адреса) данных по таким анти спам базам как:,,, и Особенности:

Защита регистрации на сайте от спам-регистрации («роботов»). При регистрации происходит проверка введённых (имени пользователя, адреса электронной почты и IP адреса) данных по анти спам базе

Этот плагин позволит Вам заблокировать «Поддельные» адреса электронной почты, «общие» имена пользователей и «общие» пароли.

Позволяет скрывать адреса электронной почты на Вашем сайте от «роботов». В отличии от встроенного в Joomla расширения Spam Blocker защищает адреса электронной почты не только в статьях, но и везде на сайте (в шаблоне, модулях и так далее). Плагин обладает рядом настроек.

Мониторинг сайта

Любому сайту необходимо уделять внимание, если Вы хотите, чтобы он процветал или, хотя бы, просто стабильно работал. Но не всегда есть возможность и необходимость в постоянном отслеживании ресурса. В большинстве случаев необходимо просто оперативно реагировать на те или иные события на сайте. Например, появления ошибок, регистрация пользователей, выход новых обновлений для расширений и так далее. А с учётом того, что у Вас может быть не один, а несколько сайтов, то эта задача становится весьма трудной. Расширения по мониторингу сайта помогут настроить отправку уведомлений на Ваш адрес электронной почты при возникновении каких-либо проблем или просто событий, которые требуют Вашего непосредственного вмешательства.

JMonitoring следит и передаёт информацию о попытках взлома и\или ошибках на сайте. Очень удобно, если у Вас несколько сайтов и вы не можете проверять их «вручную» каждый день. Особенности:

Плагин, позволяющий настроить отправку сообщения на электронную почту администраторов и модераторов при регистрации нового пользователя на сайте.

Компонент позволяет проанализировать установленные на сайте расширения и их версии, сравнить полученные данные с базой данных и выдать подробный отчёт о том, в каком из расширений найдена и не закрыта уязвимость безопасности и какого она уровня. Вы можете настроить частоту проверки расширений и адрес электронной почты на который необходимо отсылать письма с отчётом.

Подведём некоторые итоги. Итак, в каталоге расширений Joomla в период написания статьи (с 14.01.2012 по 23.01.2012) в категории Безопасность сайта насчитывается более 101 расширения. Все они разделены на восемь подкатегорий. Из них 4 расширения удостоено «звания» «Популярен» и одно из них удостоено «звания» «Выбор редакции».

Akeeba Backup – резервное копирование. «Выбор редакции» и «Популярен».

XCloner-Backup and Restore – резервное копирование. «Популярен».

Admin Tools – защита сайта. «Популярен».

OSOLCaptcha – капча. «Популярен».

Для большего удобства я приведу такие данные: рейтинг, количество проголосовавших людей и количество просмотров в виде таблиц и диаграмм.

Резервные копии

XCloner-Backup and Restore

jBackup System Plugin

Защита входа

Encrypt configuration

Secure Authentication

OSE Anti-BruteForce™ plugin

yKhoon Block Failed Login

yKhoon Lock Account

yKhoon Advanced Lock Account

Защита сайта

OSE Anti-Hacker™ for Joomla!

Marco"s SQL Injection

Admin Tools Professional

OSE Anti-Virus™ for Joomla!

OSE Secure™ plugin

RVS PasswordChecker

EasyCalcCheck PLUS

Ajax Math Captcha

Captcha by Ideal

Ajax Math Captcha

Менеджер паролей

Password Control

Защита от спама

Защита электронной почты

Мониторинг сайта

На основании этих данных, отсеяв расширения, за которые проголосовало меньше 16 человек, построены следующие диаграммы с отображением рейтинга каждого из расширений. Для удобства они приведены для каждой подкатегории в отдельности. Для таких подкатегорий как «Менеджер паролей», «Защита от спама», «Защита электронной почты» и «Мониторинг сайта» строить диаграммы нет смысла из-за малого количества расширений в данных подкатегориях.

Модули защиты Joomla от спама предадут Вашему сайту дополнительный вес в глазах посетителей. Но не стоит слишком усердствовать с их использованием.

Установить пароль на папку можно через веб-интерфейс хостинга (если имеется такая возможность), или вручную с помощью файла.htaccess и командной сторки.

Ручная установка: В директории, которую мы хотим закрыть паролем (или в корневом каталоге сайта, если мы закрываем весь сайт), создадим файл.htaccess, в который запишем такие строки:

AuthName "произвольный_текст"
AuthType Basic
Require valid-user
AuthUserFile "полный_путь_к _файлу_.htpasswd"

В строке AuthName вместо "произвольный_текст" обычно находится сообщение, которое указывает к чему осуществляется доступ, например "Система управления" или что-то подобное. Это сообщение будет отображаться в окне для ввода логина и пароля.

В строке AuthUserFile указываем полный путь к файлу.htpasswd, в котором находятся зашифрованные пароли. Очень часто, из соображений безопасности, на хостинге создается специальная директория для таких файлов, доступ к которой из интернета закрыт. Путь к файлу.htpasswd может выглядеть так: /home/my_site/.htpasswds/.htpasswd или в случае с операционной системой Windows так: c:/my_site/.htpasswd.

Сам файл.htpasswd генерируется с помощью утилиты htpasswd из комплекта Apache. Обычно, для этого нужно написать в командной строке следующее:

Htpasswd -bc .htpasswd имя_пользователя пароль_пользователя

После этого нужно переместить полученный файл в директорию, указанную в AuthUserFile. О других функциях утилиты htpasswd можно узнать запустив ее из командной строки без параметров.

После выполнения описанных действий, при попытке обращения к защищенному сайту или каталогу, появится окно с просьбой ввести логин и пароль для входа на сайт.

2. Скрываем другие следы Joomla

2.1 Не использовать дефолтные префиксы таблиц в базе данных

Замена стандартных джумловских префиксов таблиц (jos_ в Joomla 1.5) снижает риск взлома и внедрения вредоносных кодов через SQL базу данных.

2.2 Удалить или заменить

В файле index.php после открывающего тега нужно прописать строчку

setGenerator(""); ?>

или setGenerator(""); ?>

2.3 Заблокировать способ просмотра позиций модуля в шаблоне сайта (/?tp=1)

При разработке сайта Joomla предлагает такой способ просмотра позиций модуля для шаблона сайта (например,

Это актуально для Joomla 1.5, а для 1.6, 1.7, 2.5 это не актуально, так как в этих версиях Joomla подобный способ просмотра позиции модуля уже отключён по умолчанию. Как запретить такой просмотр для Joomla 1.5 - см. статью , которую была выложена ранее.

2.4 Обязательно использовать SEF

Обязательно использовать SEF компоненты для генерации человеконятных ссылок.

3. Удаляем неиспользуемые компоненты Joomla

3.1 Удаляем компоненты

Все неиспользуемые компоненты, модули, плагины, шаблоны и прочее лучше удалять полностью.

3.2 Удалить файлы, которые отвечают за восстановление пароля и его сброс

Если на вашем сайте не используется регистрация пользователей, то лучше удалить файлы, которые отвечают за восстановление пароля и его сброс. Можно удалить или всю папку com_user (в папке /components) или файл, отвечающий за сброс - reset.php (в папке /components/com_user/models).

4. Ограничиваем права на файлы и папки

Первым делом на все папки и файлы выставляем права доступа 755 и 644 соответственно.
На на отдельные папки можно поставить следующие права:
templates 555 (рекурсивно)
на файлы в корневой директории 444
на папку tmp 705
на папку logs 705

5. Своевременное обнаружение вирусов в Joomla

В любом случае периодически необходимо сканировать на вирусы все файлы на сервере и следить за появлением новых непонятных папок и файлов. Можно использовать специальные компоненты защиты для Joomla: Eyesite, jFireWall, RSFirewall.