Joomla + HTTPS БД

Нужно сделать сайт через который будут взаимодействовать несколько БД под Windows. Поскольку вопрос серьёзный - всё должно быть надёжно и хорошо защищено - чтобы те кому не предназначено не влезли в БД сайта. Поэтому выбор пал на доступ к БД сайта через протокол HTTPS.

Вопрос - насколько надёжная Joomla CMS? Насколько безопасно использовать для закрытых коммерческих проектов с конфиденциальной информацией?

Если ли лучший выбор CMS по параметрам безопасности?

 

brunod, если захотят сломать - сломают. Что угодно. Вопрос квалификации и времени. Если не использовать сторонних расширений, а Джумлу из коробки - то это хороший выбор. А если сделать сайт конфиденциальным, то может просто ставить защиту на уровне сервера, аутенфикации там всякие

 

Привет, земляк!

Расскажи, пожалуйста, подробнее про "всякие аутентификации"...

Ты делал что-то подобное?

 

Некорректный вопрос. джумла не работает Mssql, если хотите работать с базами от Windows, то используйте его продукты, microsoft sharepoint например. Или как бесплатная альтернатива IBM Lotus Domino. Если вы действительно хотите использовать CМS для закрытых проектов, сделай три вещи. Свой сервер, внешний фаервол, адекватный администратор. А дыры находили даже в самой секьюрной (по заявлению разработчиков) TYPO3

 

Подробнее опишу...
1. на сайте нужно хранить очень небольшое кол-во закрытой информации порядка 5 таблиц, скорее это типа рег-данных
2. также нужно чтобы сайт стабильно работал 24/7 со всеми бекапами итп и чтобы не было гемора с сайтом
по этом 2м пунктам и был выбран просто хороший хостер в Мск и хранение данных прямо на web-сервере хостера.
3. доступ к этим данным должно получать только определённая программа под Windows (БД) - поэтому нужен https с сертификатом.

Так насколько безопасна Joomla?
Какие ещё фишки и функции защиты можно использовать?

 

1. Существует брут и прочие межсайтовые скриптинги, например, на хостинге находится "дырявый" сайт (они там будут всегда). После чего взлом только вопрос времени.
2. Если взломщик получит шелл, ему все ваши сертификаты "до лампочки"
3. Собственный сервер имеет кучу вкусностей как IDS
4. Затраты на безопасность должны соответствовать содержимому, может оно никому и не нужно. Или как пол бутылки коньяка в сейфе с охраной
Что бы понять задачу, кратко опишите, чего вы там собираетесь хранить?

 

brunod, Привет
Вот ссылка - http://htaccess.net.ru/doc/htaccess/auth.php - Самая действенная защита, если у Вас будет Ваш собственный сервер, правильно настроенный, то защита и вовсе... как стена

 

Asylum,
1. Но у всех сайтов находящихся даже на одном хостинге разные логины и пароли к SQL... как Вы себе представляете взлом всех после одного?
2. Эээ что за шелл? поясните, плиз
3. Думаю на хороших хостингах это есть.
4. Данные важные, но не критичные, если пропадут - то это скорее удар по репутации нежели по чему-то ещё + немного работы.

Fanamura,
Не, свой сервер на коллокейшн я всё же не хочу - тк это: а) дороже; б) хлопотнее если что надо самому ремонтировать и восстанавливать; в) а учитывая минимальную нагрузку (макс 100 запросов и 500Мб файлов в день) смысла в нём не вижу.

Можешь вкратце объяснить плюсы htaccess? Он вместЕ или вместО SSL-httpS ?
Закрывать папки? Эта функция на моём хостинге уже есть. Какие-то плюсы ещё?

 

1. Читаем второй пункт
2. Шелл позволяет читать все ваши разные пароли к базам, любые файлы и перемещаться по папкам.
3. Хорошие (как и плохие) хостинги сканят по тысяче раз на дню, кроме того криворукие юзеры неправильно набирают пароли и прочее. Админ в этом случае потонет в куче логов. Поэтому они конечно есть, да не про вашу честь
4. Ваши данные могут пропасть наверное, при падении метеорита в здание хостера, бэкап сейчас - норма жизни
В общем насколько я понял у вас ничего сверхсекретного, моноблочный компьютер сейчас стоит порядка 5 т.р, правый IP около 50 рэ. Но этот вариант как я понял не подходит.
Ну слушая любого хостера, помните аксиому 100 процентов защиты не существует, особенно на публичном хостинге

 

Выделенный сервер+правильно сконфигурированный iptables(Для закрытия портов(если сервак на линуксе)+файрволл+хтаццесс+использование разных паролей+смена стандартного префикса Joomla в БД=Достаточно защищенный сервак. Еще я знавал таких людей, которые удаляли root юзера Только хрен ты потом доберешься до ОС

 

Asylum,
2. Там постинги 2005-2007гг - думаю с тех пор у серьёзных хостеров все эти дырки для взломов закрыты.
3. Есть у меня уже сайтов штук 10 - но на старой CMS моих знакомых (EresusCMS2.х) - ни один пока не взломали. Если не знать какой сайт так и вообще хрен найдёшь мне кажется.

zmxer,
Хостер у меня на мой взгляд самый серьёзный в Мск - думаю там всё сконфигурированно как следует. Расскажи вкратце про префикс к БД в Joomla - как он выглядит и на что менять надо?

 

zmxer, жестко паранойя прямо

 

паранойя - стандартное состояние серьёзного сисадмина...

 

Уточните, пожалуйста, один момент:
читая всякие там сравнения и литературу по теме HTTPS нашёл текст примерно такой:
"одним из удобств Drupal в работе с HTTPS явялется возможность работы по защищённому протоколу также легко, как и по обычному - для этого не требуется никаких специальных модулей или кодинга, причём есть возможность разделить сайт на две части только http и только https" - в случае с Joomla как включается работа через HTTPS ? Какие действия? Насколько легко?

 

В общем как один мой знакомый
- Помоги компьютер поменять
- Какая сумма
- Мне сказали, что мне Макинтош нужен
Вот и вам сказали что вам что то там нужно. HTTPS шифрует входящий/исходящий трафик от перехвата. Это можно видеть например при авторизации на gmail.

Это так Неуловимый Джо?
- Его никто поймать не может?
- Да кому он на хрен нужен

 

Тем не менее - ответте на вопрос касательно простоты и прозрачности работы Joomla с https?
В Drupal всё просто, а вот в каком-то, кажется TYPO3 не помню точно - совсем не просто.
Так насколько просто с https в Joomla ? Https поддерживается на урвоне движка или надо что-то накручивать и настраивать?

 

Точно так, хотя гораздо правильнее сделать на уровне хостера

 

brunod, какой же это бизнес сайт, да еще и закрытый, если совсем нет бюджета?
Я дал ссылку на закрытие директории под пароль через аутенфикацию апача.

 

Fanamura,
Да, спасибо большое! htaccess - интересная и видимо серьёзная и надёжная фишка защиты.

Но сейчас вопрос другой - при использовании Joomla насколько легко перевести часть сайта на httpS, а открытую часть оставить на http? Какие дейсвтия для этого требюуются?

 

brunod, советую просто почитать о сертефикатах https в инете для начала