Прежде всего хотелось бы заметить, что не существует полностью защищенных сайтов, есть просто хорошо спрятанные уязвимости. В данном случае сайт, можно сравнить с машиной, если у машины установлена сигнализация, мультилок и другие дополнительные защиты, то это как минимум обезопасит от воров "школьников". Точно так же и с сайтами, если предпринять хотя бы минимальные действия по безопасности, можно обезопасить себя от "хакеров-школьников", которые прочитав на форуме подробное описание по взлому, сразу идут искать сайты с только что прочитанной уязвимостью.
Также есть более продвинутые "хакеры-спамеры" - данная категория более продвинута и зачастую они используют скрипты по автоматическому поиску сайтов с уязвимостью.
"Всё это хорошо, но где же эти минимальные действия?" - скажите вы, вот они...
Скрытие следов CMS
Одно из самых простых, но очень нужных действий - это спрятать следы вашей системы, её название, версию. Для примера на всех страницах CMS Joomla, если посмотреть код страницы, виднеется фраза "Joomla! - Open Source Content Management".
Задав данную запись в
Закрытие административной части
Данный пункт также один из важнейших, так как большинство административных страниц не имеют защиты от подбора паролей. Для того, что бы ограничить посторонним доступ в админку сайта, необходимо создать файл .htaccess с содержимым
Order Deny,Allow
Deny from All
allow from 127.0.0.1
Однако вместо ip 127.0.0.1 вы должны вписать свой ip. Для того, что бы его узнать, достаточно зайти, например, на сайт
Order Deny,Allow
Deny from All
allow from 127.0.0.1
allow from 127.0.0.2
После чего данный файл необходимо поместить в директорию, которую вы хотите закрыть от посторонних, например в administrator/.htaccess
Запрет запуска посторонних файлов
Продолжая тему защиты директорий, необходимо создать ещё три файла .htaccess которые запрещают напрямую запуск файлов, в которых могут содержаться вирусы.
Защита папки cache
Order Allow,Deny
Deny from all
<Files ~ ".(jpe?g|mp4|flv|png|doc|docx|xls|xlsx|bmp|BMP|gif|ai|swf|zip|css|avi|ico|mpg|JPE?G|GIF|PNG|js)$">
Allow from all
</Files>
Защита папки images
Order Allow,Deny
Deny from all
<Files ~ ".(jpe?g|mp4|flv|png|doc|docx|xls|xlsx|bmp|BMP|gif|ai|swf|zip|css|avi|ico|mpg|JPE?G|GIF|PNG|js)$">
Allow from all
</Files>
Защита папки tmp
Options -Indexes
php_flag engine 0
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType text/plain .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
Вот в принципе и всё! Рассказывать, что означают эти записи не буду, можете почитать о них в гугле. Но выполнить все пункты, описанные выше, на 50% вы обезопасите свой сайт.
Если ваш сайт, все же взломали, обращайтесь. Помогу быстро и главное качественно вылечить ваш сайта, а также закрыть все уязвимые места на будущее.