@Savchenko

Встретился с такой проблемой что Joomla и WordPress есть дыры и сайт ломают!

Нашол статью, что теперь боюсь делать интернет -магазин на джумла, что посоветуете???

Статья
Что делать если мой сайт взломан?
Опубликовано Иван Цимбалюк вкл. 22 August 2012 04:34 AM
Этот вопрос возникает у каждого пользователя, который столкнулся с такой проблемой как взлом сайта. Попробуем немного прояснить ситуацию.
И так во-первых, всегда нужно иметь архивные копии вашего сайта, его БД. Если таковых у Вас не имеется, не отчаивайтесь, на нашем хостинге ежедневно делаются бекапы, поэтому Вы смело можете обратится в техническую поддержку и ребята восстановят ваши данные.
Но перед восстановлением нужно понять,как именно был взломан сайт, чтобы решить проблему и она больше не повторялась. Причины взлома бывают разные, но мы остановимся на нескольких основных.

Первая причина взлома - это кража или подбор паролей к вашему ФТП аккаунту или к административной части вашего сайта. Такое может произойти из-за вируса на вашем ПК, ОС или из-за устаревшей,уязвимой версии браузера, с которого был скачан сохраненный пароль, или установленный пароль был слишком прост(например состоял только с цифр) и его легко подобрали. Что касается подбора паролей, то на нашем хостинге, на всех серверах установлен фаэрвол который блокирует IP адрес, если с него на протяжении 5 минут делают больше 5 попыток ввода неверных даных.
Поэтому, всегда устанавливайте надежный пароль, который состоит из цифр, больших и маленьких букв,а также содержит другие символы клавиатуры. Для генерации паролей можете использовать соответствующие онлайн ресурсы. Не храните пароли в непроверенных приложениях на незащищенных(без антивирусов) ПК.

Вторая причина взлома - это устаревшая, уязвимая версия CMS системы(ее компонентов,плагинов) на которой работает Ваш сайт. Самые “любимые” CMS для хакеров - это Joomla и WordPress . Сделав проверку сотни сайтов работающих на CMS Joomla,что расположены на наших серверах, мы получили следующее, что 79% из них не используют последние релизы соответствующих веток .
Что касается WordPress ситуация выглядит аналогично - 71% не обновлены к последней Stable версии. А риск взлома сайтов на устаревших версиях CMS очень высок, и это уже никак не зависит от нас, как хостера. А еще большая часть взломов CMS происходит через “дырявые” плагины и компоненты которые устанавливает себе клиент. И через эти "дыры" загружают всяческие exploit, iframe , php shell на сервер.

Нами замечены следующие уязвимые компоненты и скрипты, запросами к которым зачастую взламывают сайты, для CMS Joomla это:
- подмена файлов LICENCE.php ;
- загрузка php shell в templates/beez/html/mod_login/ и замена templates/beez/index.php

для WordPress :
- замена wp-login.php ;
- загрузка php shell и php eMailer через:
wp-content/plugins/wp-my-admin-bar ;
wp-includes/js/tinymce/ ;
wp-content/themes/infinity .
- уязвимость темы timthumb.php ,о которой мы писали здесь.

В свою очередь хотим уведомить Вас о том, что со стороны хостинга, внедрено ряд настроек по повышению безопасности сайтов клиента.А именно на каждом сервере:
- установлен Firewall;
- включены mod_security и suhosin;
- в PHP выключены такие функции, как: show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open, allow_url_fopen ;
- выключены safe_mode и register_globals .

Подытожив выше сказанное, запишем коротко
Ваши действия в случае взлома сайта:
1. Проверить файлы сайта на предмет последних изменений,скачав их на локальный ПК или проверив через встроенный менеджер файлов в панели Cpanel.
2. Восстановить сайт из архивной копии.
3. Проверить наличие обновления CMS сайта , для Joomla или для WordPress ,а также установленные модули, плагины и компоненты CMS.
4. Сменить пароль доступа к хостингу(ФТП аккаунтов) и административный пароль доступа к сайту.
5. Очистить каталоги cache/ и tmp/ сайта.

Если следить за обновлениями CMS сайта , устанавливать компоненты только с проверенных источников, работать с сайтом только с защищенных ПК и иметь надежные пароли - вероятность взлома вашего сайта будет минимальная.

0

@Taatshi

Да полностью согласна. Если за монитором сидит человек, не выполняющий эти рекомендации - никакой сайт, даже написанный командой профессионалов по безопасности систем, не будет защищен.

За последние два месяца вылечила около 10 сайтов - Вы себе не представляете, какие древние версии движков и компонентов на них стояли, и какие элементарные там были пароли - можно просто угадать.

0

@svsw

Savchenko, делайте шоп на том движке, который знаете, но, имхо, лучше использовать специализированный двиг типа опенкарт, престашоп и т.п.
ЗЫ. субъективно о статье - можно владеть крутым авто и ни разу не удосужиться пройти фирменное техобслуживание, а когда случится первая поломка, кричать во весь голос, что фирма-производитель выпускает некачественные автомобили...
По моему безопасный хостинг - это проблемы хостящегося (выбор хостера, условия хостинга, апдейт двига и плагов и т.п) - бесплатный сыр, как известно, бывает только в мышеловке...

0

@testxxxxtest

Добрый день. Делайте сайт на opencart это самый удобный и практичный движок для сайта интернет магазина. Лицензия бесплатная, модулей просто горы, сейчас сам с ним работаю.

Ушел от создания магазинов на joomal, так как все приложения магазина просто ужасно глючные, запутанные, и в тот момент когда у вас будет 1000 товаров, вы реально будите париться какой товар куда относиться и т.д

Wordpress прямолинейно новостной, движок и не более,пилить на нем магазин, равносильно тому чтобы программировать его с нуля.

По поводу опасения и дыр, дырки есть везде, и тут вопрос уже не стоит большая или маленькая, много их или мало, если есть значит можно сломать, и поверьте мне если возьмете чуть серьезней в плане защиты, ситуации в целом это не изменит, захотят сломать сломают.

Как быть, все просто.

Если частое обновление материала, делайте бэкап, и физическую копию сайта. Опять таки в этом отношении joomla слишком тяжелая, а вот opencart залетает за 5 минут. Упал сайт, залили подняли.

0