Понятно, что 100% защиты от взлома никто не может гарантировать, но стремиться к этому должен каждый уважающий себя владелец сайта. Новые апгрейды, закрывая старые дыры и улучшая функционал CMS, к сожалению, иногда приносят и новые уязвимости. Ниже я приведу несколько советов элементарной защиты вашего сайта на Joomla. Воспользуйтесь ими, и какая-то часть злоумышленников пройдет мимо...

Файл конфигурации доступен по записи

Вся «левая» информация помещается прямо в файл configuration.php, который, как известно, загружается всегда по include перед любыми данными. В результате вместо сайта стартует та информация, которая помещается в этот файл.

Исправления: восстановить файл configuration.php

Защита: снять права на запись с этого файла.

Что ещё можно сделать с файлом configuration.php

Можно вынести его за пределы www-директории (у некоторых она называется public_html). Для этого копируем его за ее пределы, возможно рядом с ней, переименовываем например в "joomla.conf", а в том, что должен быть в корне Joomla все стираем и пишем нечто вроде этого

 <?php
 require( dirname( __FILE__ ) . '/../joomla.conf' );
 ?>

В результате особо чувствительные данные теперь не находятся в www-директории и хотя бы на чуть-чуть стали более защищенными.

Открытые по записи директории

В папку /administrator (если она доступна на запись!!!) записывается файл .htaccess (если он там отсутствует!!!) в котором переопределяется стартовый файл каталога: вместо index.php указывается другой файл, который тоже записывается в эту же папку. В результате, при запуске админки по пути (без явного указания имени файла), запускается «левый» файл, как правило, с турецкими или чеченскими национальными символами.

Исправление: удалить или восстановить файл .htaccess

Защита: следить за правами доступа или поместить в защищаемые папки файл .htaccess нулевой длины, прмещенный туда через FTP.

---

Заключение

Еще раз хочется обратить внимание, на то, что после успешной установки и настройки Joomla и ее расширений, нет никакой необходимости оставлять права на запись в директории сайта (за исключением папок cache и images). Поэтому, сразу после завершения настройки сайта, рекомендуется провести ревизию прав на файлы и папки, и закрыть по записи все папки, кроме двух перечисленных. И уж конечно, нет никакого смысла оставлять доступным по записи файл конфигурации Joomla.