JomDefender v2.0.1 - надежная защита вашего сайта на Joomla. Защита джумла 3

JSecure - защита админки Joomla

Новая версия старого-доброго расширения для безопасности сайта. Немного изменились настройки, но принцип прежний - дополнительное кодовое слово в адресе. Теперь и для новых версий Joomla!

Карточка расширения jSecure:

Дополнительная информация

Тип расширения: Компонент, Плагин Версия: 3.0.2Совместимость: 1.5, 2.5 и 3.x

Шаг 1. Установка и включение плагина jSecure Lite

Для скачивания расширения jSecure с официального сайта необходима регистрация. Поэтому предлагаем загрузить компонент с настоящего сайта, воспользовавшись вкладкой Скачать.

Данное расширение имеет версию Lite, однако отсутствие платных дополнительных функций, большей частью бесполезных, никак не мешает выполнять программе основное назначение – защищать административную панель сайта.

После стандартной установки (РАСШИРЕНИЯ => МЕНЕДЖЕР РАСШИРЕНИЙ => Загрузить файл пакета), заходим в РАСШИРЕНИЯ => МЕНЕДЖЕР ПЛАГИНОВ.

Здесь находим строку - System - jSecure Lite. Так как по умолчанию плагин включен и не имеет настроек, никаких действий с ним производить не нужно.

Шаг 2. Настройка компонента

В верхнем меню панели управления сайтом переходим в КОМПОНЕНТЫ => JSECURE LITE.

Сразу попадаем во вкладку Basic Configuration, где нам предстоят минимальные настройки:

• Enable – Yes (включение расширения)
• Pass Key – Url (оставляем по умолчанию)
• Key - *** вводим пароль из латинских букв, например - "sekret" (цифры лучше не использовать, так как известны случаи, когда пароль содержащий цифры, не пускал в админку).
• Redirect Option – Redirect to index page (при неправильном вводе пароля будет осуществлено перенаправление на главную страницу). Если выбрать Custom Path появится дополнительная строка в которой нужно указать страницу перенаправления на Ваше усмотрение. В таком случае появится возможность узнать, сколько было совершено попыток проникновения в админпанель.

Теперь, если вы не меняли страницу перенаправления по умолчанию, после ввода неверного пароля, появится следующее окно:

Шаг 3. Вход в Панель управления сайтом

Вводим после названия сайта слово administrator, затем ставим слэш (/), вопросительный знак (?) и пароль. В результате получается такой адрес: http://vash-sayt.ru/administrator/?sekret. Сохраните его как закладку для быстрого входа в админку.

Шаг 4. Как отключить плагин

Если Вы забыли пароль, зайдите в файловую часть сайта и удалите папку по адресу: plugins/system/jsecurelite.

Теперь в админке удалите остатки расширения (РАСШИРЕНИЯ => МЕНЕДЖЕР РАСШИРЕНИЙ => УПРАВЛЕНИЕ), деинсталлировав два названия - jsecurelite и System - jSecure Lite. Если есть желание, еще раз установите расширение.

Совет

Не устанавливайте на локальном сервере такие секретные штуки. Только на хостинге. Потому что, от кого Вы будете защищать свою админку на локальном сервере? Потом после переноса сайта на хостинг, у Вас подобные расширения могут не работать.

Поделитесь статьей со своими друзьями в социальных сетях.

 

vitaliykulikov.ru

Защита Joomla. Часть 3. Социальная инженерия.

О том, как обезопасить себя, свои проекты и данные, я расскажу в этой статье.

В данной статье я хочу затронуть тему так называемой, социальной инженерии. Данный вид атак является наиболее простым и в то же время опасным. Речь пойдет не только о сайтах на Joomla, но и любых других. Главной уязвимостью в социальной инженерии является пользователь информационной системы. В нашем случае это владелец сайта. О том, как обезопасить себя, свои проекты и данные, я расскажу в этой статье.

Социальная инженерия. Общие принципы.

Рассмотрим следующую ситуацию: Вы – владелец сайта. Вы самостоятельно за ним следите и наполняете. У вас есть все необходимые доступы: к администраторской панели, к хостингу, к домену, по FTP. В основном вы пользуетесь админкой, но иногда приходится и всем остальным. Я думаю, данная ситуация знакома многим читателям. Многие узнают здесь себя.

Сейчас, благодаря широкому развитию CMS, таких как Joomla, владеть сайтом может человек, не имеющий образования в области IT. Чаще всего так и происходит. К сожалению, такие люди имеют лишь поверхностное представление о компьютерной безопасности, а иногда и вовсе о ней не слышали. Здесь я не говорю про алгоритмы шифрования и прочие сугубо технические вопросы. Я имею ввиду простейшие принципы компьютерной безопасности, позволяющие защитить свой компьютер, сайт и личные данные. Социальная инженерия направлена в первую очередь на людей, не имеющих отношения к IT. Они смутно представляют, как все устроено и не всегда осознают последствий своих действий, но при этом зачастую имеют существенные доступы к системам.

Хорошим примером описанного выше может являться игра в карты. Скажем, покер. Представьте: вы только вчера узнали правила этой игры и сегодня садитесь за стол с профессионалами. Вам пока не знакомы все хитрости и уловки игры и, с высокой долей вероятности, вы проиграете все, что имеете.

Мир IT и Интернета в некотором смысле похож на этот пример. Это большой океан, в котором начинающий владелец сайта маленькая рыбка. Чтобы не нажить себе проблем, нужно действовать аккуратно и грамотно. Незнание правил этого океана не избавляет вас от опасностей, которые в нем подстерегают. Соблюдая базовые принципы безопасности, описанные ниже, с вероятностью 90-95% вы избежите проблем с взломами.

Социальная инженерия. Принцип №1. Обновления.

Это, наверное, один из самых важных принципов, которые нужно соблюдать при работе с компьютером, сайтом, да и любой информационной системой в целом. Всегда обновляйте программы. Мир так устроен, что написать идеальную программу невозможно. Всегда будут находиться какие-то бреши в безопасности. Разработчики, обнаружив уязвимость, оперативно устраняют ее и выпускают обновление. Сами собой обновления обычно не устанавливаются. Максимум, что вы можете увидеть, это информацию о том, что обновление доступно. Нужно стараться обновлять все программы, которые, так или иначе, взаимодействуют с сетью и Интернетом. Дело в том, что после выпуска обновления, информация об уязвимости, которое оно закрывает, становится доступной. Поскольку далеко не все пользователи обновляют программы, хакеры создают вирусы, направленные именно на использование обнаруженных уязвимостей.

Обновление №1 – это обновление Windows. Думаю, что около 95% пользователей, читающих статью, используют именно эту операционную систему на своих домашних и рабочих компьютерах. Да, у нас принято использовать «крякнутую»  Windows. Да, такую нельзя обновлять. И да, в такой зачастую скрыты вредоносные программы уже на этапе установочной версии.

Если вы имеете собственный заработок, не пожалейте нескольких тысяч рублей и купите лицензионную Windows. Про офис и иже с ним я не говорю, тут каждый решит сам, но операционная система – это штука, которая имеет все ключи от вашего компьютера, хранит и обрабатывает всю информацию. Если эта информация стоит для вас дороже, чем 100$, не скупитесь. Купив лицензионный продукт, вы получаете доступ ко всем обновлениям, которые, кстати, устанавливаются автоматически. Тем самым вы значительно повышаете устойчивость вашего компьютера к вирусам и другим вредоносным программам. Чтобы не быть голословным, дам ссылку, которая очень ярко демонстрирует, что может произойти, если не обновлять Windows. Невероятно мотивирует ;-).   

Если вы студент, то узнайте в своем ВУЗ’е, не имеется ли у него подписка на программы Microsoft. Сейчас многие ВУЗ’ы имеют подписку, по которой студенты и преподаватели могут бесплатно получить лицензионную Windows для домашнего использования. Возможно, это есть и у вас.

Обновление №2 – это браузер. Он – ваше окно в Интернет – невероятную помойку всего и вся. Там подстерегает опасность на каждом углу. Вы же не хотите появляться в таком месте, когда под вами старый дряхлый конь? :-). Правильно, не стоит.

Социальная инженерия. Принцип №2. Антивирус.

Купите хороший лицензионный антивирус. В своей жизни я успел некоторое время поработать системным администратором и просто эникейщиком. Был и в фирмах и дома у простых людей. Чинил компьютеры, исправлял ошибки, переустанавливал системы. Опираясь на весь свой опыт, могу сказать, что для простого человека (не IT’шника) лучший антивирус – это коммерческий антивирус, к которому куплена лицензия. Это грустно признавать, но это факт. Я перевидал очень много бесплатных антивирусов, платных ломаных и прочей халявы. Это поможет вашему компьютеру так же, как плацебо. Успокоит вас, вроде: «антивирус есть, мой компьютер защищен», но на деле все будет печально.

Лично я использую KasperskyInternet Security. Стоимость лицензии 1600р. за первый год и 1000-1200р. за последующие. Лицензия на 2 компьютера.  Не сочтите за рекламу, но в связке с лицензионной Windows, он обеспечивает прекрасный результат. Я забыл, что такое переустановка системы. Всё просто работает, без ошибок, без моего вмешательства. Лишь забредая на какой-то опасный сайт, я слышу визг антивируса, который заботливо блокирует опасности. Деньги, казалось бы, не маленькие, но посчитайте потерянное на переустановку системы время, потерянные данные, или, хуже того, украденные пароли, деньги. Спокойствие стоит дороже.

Социальная инженерия. Принцип №3. Пиратское ПО.

Третье место по важности я отдам установке на домашний компьютер пиратских программ. Если вы скачиваете программу не с официального сайта, а еще хуже того, взламываете ее, то не надейтесь, что ваш компьютер чист. Не всегда распространители таких программ имеют искренние побуждения вроде: «бесплатно для всех». Обычно бывает и какая-то дополнительная заинтересованность. К примеру, вы скачали на торренте какую-нибудь игру. Затем устанавливаете ее и взламываете, слепо следуя инструкциям в файле. Но кто писал этот файл, кто писал взломщик? Особенно умиляет, когда в инструкции написано первым пунктом: «Отключите ваш антивирус». Да, в игру вы поиграете, но что будет потом с вашими данными – большой вопрос.

Это же относится и к Joomla. Не скачивайте дополнительные расширения с посторонних сайтов. Есть каталог официальных расширений Joomla, в котором есть ссылки на загрузку оных из проверенных источников.

Если в вашей семье есть дети, которые ну никак не могут без игрушек, то установите для них отдельную операционную систему, в которой не будет ничего ценного, только игры. С точки зрения безопасности очень важно разделять работу за компьютером и развлечения.

Социальная инженерия. Принцип №4. Обман.

«Включите голову» –так звучит четвертый принцип. Запомните, никогда ничего в Интернете вы не получите просто так. Бесплатный сыр бывает только в мышеловке. Если вы зашли на какой-то сайт и вам сообщают, что вы что-то выиграли/заработали/можете получить бесплатно и т.п., просто игнорируйте такие сообщения. Это же относится и к сообщениям, получаемым по электронной почте. Ну не получите вы наследство богатого дяди из Швейцарии :-).

Всегда обращайте внимание на URL страницы, на которой вводите логин и пароль. Распространенное явление – заманить вас на сайт, очень похожий на другой известный, где вы сами введете логин и пароль, которые отправятся прямо в лапы злоумышленника. Обычно адреса таких сайтов схожи по написанию с адресами оригинальных. К примеру: mail.ru и mai1.ru.

Везде, где просят ввести данные, не спешите, думайте и всё проверяйте. Не введитесь на слишком заманчивые предложения. Это поможет сохранить ваши данные в безопасности.  

Социальная инженерия. Принцип №5. Храните пароли в безопасном месте.

В идеале пароли нужно хранить у себя в памяти, но в реальности зачастую их так много, что в голове все не удержать. В этом случае лучшим решением будет хранение на старом добром бумажном носителе, например, в записной книжке, которая спрятана дома. Если боитесь, что ее украдут, то можно сохранить пароли в зашифрованном архиве на ПК, а пароль от архива, в свою очередь, записать в книжку. Хотя это уже паранойя :-).

Социальная инженерия. Вместо заключения.

Сказал ли я что-то новое? Открыл ли для вас Америку? Большинство читателей скажет, что нет. Я соглашусь. Я озвучил вроде бы очевидные вещи, которыми многие почему-то пренебрегают. Половина безопасности вашего сайта – это безопасность вашего компьютера и если вы за ней не следите, то нечего и удивляться, если на сайте появятся вирусы. Рыбак не пойдет в море без хорошей лодки и снастей, охотник не пойдет в лес без надежного ружья, так и владелец сайта не должен идти в Интернет без защищенного компьютера и подлинного программного обеспечения. Помните об этом и сбережете время, нервы и деньги.

Об авторе

Wedal (Виталий). Веб-разработчик полного цикла (Full Stack). Создатель и автор сайта Wedal.ru.

Основной профиль – создание сайтов и расширений на CMS Joomla.

Понравилась статья? Сохраните себе на стену:

Facebook

Twitter

Вконтакте

Одноклассники

Google+

Ваша оценка материала очень важна для нас. Просим вас оценить статью или оставить отзыв в комментариях.

wedal.ru

jSecure Authentication 3. Защита админки Joomla

• Тип – платный компонент защиты админки Joomla 1.5 – 3.0.

 

 

В предыдущей статье «Обзор jSecure Authentication. Защита админки Joomla» была рассмотрена версия jSecure Authentication 2.1.8 на базе Joomla 1.5.23. С тех пор (30.07.2011) изменилось достаточно многое. В данном обзоре участвует последняя на момент написания статьи (28.01.2013) стабильная версия jSecure Authentication 3.0 (русский язык для jSecure Authentication можно скачать на странице «Русификатор jSecure Authentication») на примере работы с Joomla 3.0.2. К основным возможностям jSecure Joomla следует отнести следующие:

• Поддержка Joomla 1.5 – 3.0.
• Удобный и понятный интерфейс.
• Автоматическая проверка наличия новых версий jSecure Joomla на сайте разработчика в интерфейсе самого компонента.
• Защита админки Joomla путём смены стандартного адреса «http://aleksius.com/administrator» на «уникальный», например на «http://aleksius.com/administrator/?alEksius1Com».
• Защита админки Joomla путём добавления формы ввода дополнительного пароля перед вводом основного пароля при входе в административную зону сайта.
• Перенаправление пользователей средствами jSecure Joomla на стартовую или любую заданную страницу сайта при вводе неправильного «ключа» доступа к административной части сайта.
• Защита админки Joomla путём блокировки IP адреса или диапазона IP адресов.
• Защита параметров jSecure Joomla 2.5 – 3.0 паролем.
• Запрет одновременного входа одного и того же пользователя с разных браузеров.
• Защита админки сайта при помощи файлов .htaccess и .htpasswd.
• Просмотр «небезопасных» разрешений на файлы и папки средствами jSecure Joomla 2.5 – 3.0.
• Отправка уведомлений на почтовый адрес (адреса) о попытках входа в административную часть сайта (удачных и не удачных) и об изменениях настроек самого jSecure Joomla 2.5 – 3.0.
• Журналирование входов на сайт и изменения настроек компонента jSecure Authentication Joomla.
• Управление мета тегами Joomla.
• Возможность завершения сеансов всех вошедших на сайт пользователей одним нажатием кнопки.
• Наглядная справка.

В цикле статей «Защита Joomla» были рассмотрены различные способы повышения защиты сайта от взлома и несанкционированного доступа. Защита админки Joomla - это один из контуров защиты сайта в целом. Также это поможет в сокрытии следов того, что сайт сделан именно на Joomla. Детальнее об этом можно прочесть в статье «Защита Joomla (часть 9)».

Совсем недавно jSecure Authentication Joomla 2.5 – 3.0 (и для других версий Joomla) стало доступным по 3 тарифам.

1. 81 грн. (298 руб.) (на 28.01.2013). Обновление до новых версий программы и техническая поддержка в течение 90 дней. Стоимость одного месяца примерно 27 грн. (100 руб.)
2. 146 грн. (537 руб.) (на 28.01.2013). Обновление до новых версий программы и техническая поддержка в течение 180 дней. Стоимость одного месяца примерно 24 грн. (90 руб.)
3. 211 грн. (776 руб.) (на 28.01.2013). Обновление до новых версий программы и техническая поддержка в течение 365 дней. Стоимость одного месяца примерно 18 грн. (65 руб.).

Приобретая jSecure Joomla на тот или иной период Вы получаете доступ к существующей версии компонента и ко всем версиям, которые выйдут в течение всего срока активности Вашей подписки. На этот же период Вы получаете право воспользоваться технической поддержкой разработчиков компонента. По истечении подписки Вы не сможете получать техническую поддержку и не можете загружать новые версии программы. Но установленная на Вашем сайте версия jSecure Joomla будет работать не ограниченный срок времени. И это не будет нарушением лицензии.

Как видно из простых математических расчётов, приведённых выше, покупка подписки на год (365 дней), в итоге выгоднее, чем покупка подписки на 3 месяца (180 дней). Вы экономите примерно более 33% на стоимости 1 месяца (30 дней). Но стоит учитывать также ещё один факт. Если Вы создали сайт, например, на Joomla 1.5-3.0 (на текущий момент (28.01.2013) jSecure Joomla поддерживает как раз эти версии 1.5-3.0), не собираетесь переходить на Joomla 3.5, которая по некоторым данным может выйти в конце 2013 года, то можно купить лицензию на 3 месяца (180 дней). А если собираетесь переходить на новые версии или использовать jSecure Authentication и далее, то выгоднее годовая подписка (365 дней).

Обратите внимание на то, что разработчики рекомендуют удалить jSecure Authentication 2 перед установкой jSecure Authentication 3.

В главном окне (рисунок ниже) доступны все инструменты jSecure.

Помимо этого в правой его части Вы можете видеть информацию о текущей версии компонента и о новой, а также принудительно запустить проверку наличия новой версии компонента или перейти на форум технической поддержки.

Базовые настройки

В разделе Базовые настройки (рисунок ниже) доступны следующие опции jSecure Authentication.

• Включить. Включает защиту админки Joomla.
• Тип защиты. Доступно два типа защиты админки Joomla. URL и Форма. При выборе типа URL Вы сможете ввести специальный ключ (в поле Ключ), который нужно будет вводить после стандартного адреса админки Joomla. Если, например, ключ alEksius1Com а адрес сайта http://aleksius.com, то новый путь к административной части будет выглядеть так http://aleksius.com/administrator/?alEksius1Com. Если Вы выбрали тип Форма, то стандартный адрес не будет заменён, но пользователь увидит следующее сообщение (рисунок ниже) на белом фоне. После ввода ключа, он попадёт на стандартную страницу авторизации Joomla. Отмечу, что вводимый в это поле ключ не заменяется символами ***, а виден любому, кто стоит рядом с монитором. Также тип защиты Форма, на мой взгляд, хуже, чем URL. Так как URL «меняет» непосредственно адрес админки.

• Ключ. Секретное слово, которое необходимо вводить в поле авторизации при типе защиты Форма, или в конце адреса административной части сайта (после знака «?» (без кавычек)) при типе защиты URL. Обратите внимание на следующие правила. Ключ не должен состоять только из цифр, ключ регистра зависимый («alEksius1Com» и «alеksius1сom» это разные ключи), ключ не должен содержать специальных символов (например, (,;,! и так далее), пробелов и букв не английского алфавита. Рекомендую использовать не логическое выражение, состоящее из букв разного регистра и цифр. Длиной около 6-8 символов.
• Настройки перенаправления. jSecure Authentication позволяет перенаправить пользователя, который попытался получить несанкционированный доступ к админке Joomla (не верно ввёл ключ), как на главную страницу, так и на заданную Вами (рисунок ниже).

jSecure Joomla при помощи перенаправления на указанную страницу может дать Вам некоторую статистику по этому вопросу. Например, можно создать страницу конкретно для перенаправления и нигде не указывать на неё ссылку. А затем, например, при помощи Google Analytics или Яндекс Метрика получать статистические данные о «посещаемости» этой страницы. Думаю, предпочтительнее перенаправление на главную страницу. Так как у некоторых CMS есть возможность при вводе пользователем несуществующего адреса перенаправлять его на главную страницу. Это может немного запутать злоумышленника.

Аварийное отключение защиты jSecure Authentication

Что делать, если Вы установили jSecure Joomla, не вводили ключ, но вышли из административной зоны и теперь не можете войти? Сперва, попробуйте использовать в качестве ключа слово «jSecure» (без кавычек с учётом регистра). То есть, если адрес сайта «http://aleksius.com», то доступ к админке Joomla можно попробовать получить по адресу «http://aleksius.com/administrator/?jSecure». Если не получилось, то подключитесь к FTP своего сайта, перейдите в папку \administrator\components\com_jsecure и в файле «params.php» найдите строку:

public $publish = '1';

и замените на:

public $publish = '0';

После этого можно войти в админку Joomla без использования ключа jSecure Authentication. В базовых настройках можно будет ввести нужный ключ и активировать компонент.

Способы отключения других контуров защиты jSecure Authentication описаны ниже по ходу рассмотрения каждого инструмента.

Ещё один способ. Если не получилось, то подключитесь к FTP своего сайта, перейдите в папку plugins\system, в ней переименуйте папку «jsecure», например, на «jsecure1». После этого можно войти в админку Joomla без использования ключа jSecure Authentication. В базовых настройках можно будет ввести нужный ключ, а затем переименовать обратно папку в «jsecure».

Наблюдал несколько раз проблему с запоминанием паролей в браузерах (на примере Mozilla Firefox). Если Вы включили запоминание паролей и в браузере хранится пароль к Вашей админке Joomla, то при переходе на страницу Базовые настройки jSecure Authentication браузер может подставить Ваш пароль администратора сайта в поле Ключ. Если Вы сохраните какие-то изменения в компоненте, то «автоматически» может поменяться Ваш ключ.

IP

Вы можете ограничить доступ к административной части сайта пользователей только с определённого (определённых) IP адреса (адресов). Это можно сделать на вкладке IP (ниже).

Защита админки Joomla строится на использовании разрешенных («белых») и заблокированных («чёрных») IP адресов. Это относится только к административной части сайта. Например, если Вы введёте в «белый» список один IP адрес, то админка будет доступна только с этого IP адреса. Если Вы введёте несколько IP адресов в «чёрный» список, то админка не будет доступна с этих адресов. Можно использовать маску при создании диапазонов IP адресов. Например, 192.168.0.*. Означает, что будут заблокированы (или разрешены) все IP адреса в диапазоне от 192.168.0.1 до 192.168.0.255. Не стоит указывать диапазон типа «*.*.*.*».

Мастер-пароль

Если к административной части сайта кроме Вас кто-то ещё имеете доступ, то можно задать пароль на доступ к одной, всем или нескольким функциям программы. Для этого предназначена вкладка Мастер пароль (рисунок ниже).

jSecure Joomla 2.5 – 3.0 позволяет задать пароль для доступа к таким разделам компонента как:

• Базовая конфигурация.
• Защита административной части паролем.
• Почта.
• IP.
• Главная почта.
• Журнал.
• Показать журнал.
• Список директорий.
• Смена ID супер администратора.
• Контроль входа.
• Контроль мета данных.
• Разрыв сессии.

Можно запретить доступ ко всему или к чему-то конкретно. При неавторизированной попытке доступа к функциональным возможностям расширения, которые закрыты при помощи мастер-пароля, пользователь получит следующее сообщение (рисунок ниже).

Для jSecure Authentication Joomla рекомендую использовать следующие правила при составлении мастер-пароля: применяйте строчные буквы английского алфавита и цифры, не применяйте пробелы и специальные символы, например, :?*(«№% и так далее), длина пароля 4-8 знаков.

Если Вы забыли мастер-пароль или не можете получить доступ к jSecure, то можете воспользоваться способом получения доступа путем, описанном выше в разделе «Аварийное отключение защиты jSecure Authentication». Только ищите строку:

public $enableMasterPassword = '1';

и замените её на:

public $enableMasterPassword = '0';

Контроль входа

Если Вы хотите, чтобы одновременно пользователь мог входить на сайт (распространяется на административную и фронтальную части сайта) только с одного браузера, то jSecure Authentication Joomla 2.5 – 3.0 позволяет и такое.

Обратите внимание, что в случае некорректного завершения сеанса, например, закрытия окна браузера без завершения сессии пользователя, для повторного входа на сайт придётся ждать время, которое указано в глобальных настройках Joomla на вкладке Система, параметр Время кэширования (рисунок ниже). По умолчанию 15 минут.

Если Вы не можете зайти (и не хотите ждать), то можно воспользоваться одним из вариантов отключения защиты, описанным выше в разделе «Аварийное отключение защиты jSecure Authentication». Только ищите строку:

public $include_purgesessions = '1';

и замените её на:

public $include_purgesessions = '0';

Защита админки сайта паролем при помощи .htaccess и .htpasswd

Защита админки сайта паролем при помощи .htaccess и .htpasswd будет работать только на веб-сервере Apache. Это ещё один контур защиты админки Joomla. Его можно реализовать и без jSecure Authentication. Компонент просто предоставляет более удобный способ (рисунок ниже).

На рисунке выше показан пример с использованием небезопасного логина и пароля. Ни в коем случае не повторяйте его. Рекомендую использовать безопасные пароли. Как их составлять, описано в статье «Безопасный пароль». После применения настройки перед тем, как перейти на страницу авторизации в админке Jooma, пользователю будет предложено ввести пароль (на примере браузера Google Chrome 24.0.1312.56 m) (рисунок ниже)

Если пароль (и\или имя пользователя) неверный, то пользователь получит следующее сообщение: «Authorization Required. This server could not verify that you are authorized to access the document requested. Either you supplied the wrong credentials (e.g., bad password), or your browser doesn't understand how to supply the credentials required.»

Обратите внимание на то, что даже если Вы используете секретное слово для добавления его в окончании ссылки на административную зону, то при использовании защиты админки Joomla паролем при помощи .htaccess и .htpasswd это не будет работать. Вернётся стандартный адрес. Без секретного слова.

Если Вы не можете зайти, то попробуйте воспользоваться одним из вариантов отключения защиты, описанным выше в разделе «Аварийное отключение защиты jSecure Authentication». Только ищите строку:

public $adminpasswordpro = '1';

и замените её на:

public $adminpasswordpro = '0';

Список директорий

Список директорий (рисунок ниже) содержит таблицу, состоящую из 4-х столбцов.

1. File. Имя файла или папки (директории) Вашего сайта.
2. Size. Размер файла.
3. Last Modified. Дата последнего изменения файла и\или директории. Может помочь при выявлении следов взлома сайта. Детальнее об этом можно прочесть в статье «Защита Joomla (часть 7). Проверка сайта на вирусы».
4. Permissions. Права доступа к файлам и директориям. Рекомендуется, для повышения безопасности всем файлам задать права 644, папкам 555 (кроме папок с кэшем и папок, куда постоянно необходимо загружать файлы). На файлы, находящиеся в корне сайта рекомендовано задать права 444. Детальнее об этом можно прочесть в статье «Защита Joomla (часть 4). Резервное копирование сайта».

Вы сможете сортировать объекты по любому из столбцов (по возрастанию или убыванию), а над таблицей находится панель (в виде хлебных крошек), которая показывает Ваше текущее положение в иерархии папок, начиная от корневого каталога сайта.

Письма

Вы можете настроить jSecureAuthenticationJoomla на отправку писем в случае доступа и\или попытки доступа к админке сайта. Для этого предназначена вкладка Письма (рисунок ниже)

• Отправлять почту. Включает\отключает отправку сообщений.
• Отправлять информацию в письмах. Доступно 3 параметра.

1. Правильный ключ. Письмо будет отправлено в том случае, если пользователь получил доступ к административной части сайта с правильным ключом.
2. Неправильный ключ. Письмо будет отправлено в том случае, если пользователь пытался получить доступ к административной части сайта с неправильным ключом.
3. Оба. Письмо будет отправлено в любом случае.

• E-mail. Адрес или адреса электронной почты, на которые будут отправлены уведомления. При указании нескольких адресов их нужно разделять запятой.
• Тема письма. Слово или фраза, которая будет показана в качестве темы письма.

В самом сообщении будет указан IP- адрес, с которого была совершена попытка входа (удачная или неудачная в зависимости от настроек jSecureJoomla).

Главная почта

jSecureAuthenticationJoomla 2.5 – 3.0 позволяет отправлять уведомление на указанный адрес (адреса) электронной почты тогда, когда кто-то меняет настройки компонента. Для этого предназначена вкладка Главная почта (рисунок ниже).

• Настройки отправки писем. Включает\отключает отправку сообщений.
• Тема писем о настройках. Слово или фраза, которая будет показана в качестве темы письма.
• E-mail адресов настройки. Адрес или адреса электронной почты, на которые будут отправлены уведомления. При указании нескольких адресов их нужно разделять запятой.

В самом сообщении будут указаны настройки, которые были изменены и их новые значения.

Журнал

jSecure позволяет вести журнал событий. На вкладке Журнал (рисунок ниже) Вы сможете задать период его хранения в базе данных (1-5 месяцев или всегда). Не рекомендую хранить журнал вечно. Это может вызвать увеличение базы данных сайта.

Показать журнал

На вкладке Показать журнал (рисунок ниже) Вы можете просмотреть сам журнал событий, который представлен в виде таблицы из шести столбцов.

1. Num. Порядковый номер события в журнале.
2. IP. IP-адрес пользователя, совершившего то или иное действие.
3. User Name. Имя зарегистрированного в системе пользователя, совершившего то или иное действие. Если он не зарегистрирован, то ячейка пустует.
4. Code. Описание события. Например, «Настройки jSecure изменены».
5. Журнал. Детальное описание события. Например, «Включить мастер пароль = NO» - отключение мастер-пароля jSecure.
6. Date. Дата и время события.

Над таблицей расположен фильтр, который позволяет отфильтровывать события по IP адресу пользователя. Нажав на IP адрес в таблице можно получить о нём краткую информацию.

Управление мета тегами

jSecure Authentication 3 позволяет управлять основными мета тегами Joomla (рисунок ниже).

Это относиться к таким тегам как «generator», «keywords», «description», «rights». Заданные значения этих полей на вкладке Управление мета тегами (рисунок выше) отобразятся в коде страниц сайта.

<meta name="keywords" content="aleksius.com" /> <meta name="rights" content="aleksius.com" /> <meta name="description" content="aleksius.com" /> <meta name="generator" content="aleksius.com" />

Завершить сессии

На главной странице jSecure есть ссылка «Завершить сессии» (рисунок ниже).

При нажатии на неё для всех пользователей кроме Вас будет завершён сеанс. Если они вошли на сайт как зарегистрированные пользователи, то им придётся сделать это ещё раз.

Справка

На странице Справка (рисунок ниже) Вы можете получить информацию (на английском языке) о работе тех или иных настроек программы.

Русификатор jSecure Authentication Joomla 2.5 – 3.0

Скачать русификатор jSecureAuthentication.

За прошедший год в jSecure Authentication 3 появилось много новых возможностей по защите админки Joomla (и не только) от несанкционированного доступа. Разработчики позаботились не только о функциональности расширения, но и об удобстве его использования и об улучшении качества технической поддержки. Считаю, что данный компонент будет хорошим дополнением к общей защите сайта Joomla от взлома. В статье «Обзор jSecure Lite. Защита админки Joomla» мы рассмотрим бесплатную версию данного компонента.

Похожие материалы

 

Полезные ссылки:

aleksius.com

Securitycheck Pro v2.8.19 - защита сайта на Joomla

SecurityCheck Pro – это уникальный плагин для CMS Joomla, который включает в себя все основные способы защиты сайта. Вам не придется скачивать десятки различных плагинов, для того, чтобы обеспечить должную защиту своих файлов, контента и клиентов, все современные способы защиты уже включены в SecurityCheck Pro. 

Какие возможности открывает расширение SecurityCheck Pro для вашего сайта? 

• Web Firewall – Поддержка протокола IPv6, поддержка черного и белого списков IP адресов, уведомления по электронной почте, защита сеансов пользователей и многое-многое другое… 
• Целостность файлов – Тысячи файлов, опубликованных на серверах вашего сайта будет ежеминутно сканироваться расширением и отправлять вам уведомления по электронной почте при малейшем их изменении. 
• Файловый менеджер – Вы сможете несколькими щелчками мыши проверить права на доступы к файлам, а также без проблем просматривать файлы с неправильной конфигурацией. Не отображается файл? Нажмите кнопку «Исправить» и плагин автоматически найдет решение проблемы по отображению файла. 
• Сканер вредоносного ПО – Самый продвинутый на сегодняшний день сканер вредоносного программного обеспечения, который позволяет сканировать и выявлять подозрительные модули, известные вредоносные файлы и файлы с несколькими расширениями. Плагин также позволяет вручную отсканировать отдельные файлы обратившись к более чем 40 популярнейшим базам данных по вредоносному программному обеспечению по всему миру.
• Защита HTACCES – Замечаете большую нагрузку на сервера от интернет-ботов? Вы сможете с легкостью защитить свой сайт, назначив «белый» список ботов, и обеспечить доступ к сайту только по паролю. 
• Модуль “Info” – Прямо в панели администратора сайта Joomla, вы увидите специальную колонку, которая позволит вам постоянно мониторить состояние защиты своего сайта. 
• Правила для пользователей – Вы сможете создавать отдельные списки пользователей с эксклюзивными правами. Благодаря некоторым из них, за пользователем не будет осуществляться такая пристальная слежка, как за обычным гостем. 
• Уязвимости в базе данных – Благодаря SecurityCheck Pro, вы сможете регулярно анализировать все уязвимости, которые известны в CMS Joomla. Данная база постоянно подвергается редактированию и обновлению. 
• Обновления -  Благодаря данному расширению, вы сможете регулярно следить за обновлениями всех расширений, шаблонов и т.д и регулярно обновлять их из официальных и доверенных источников. 

Не смотря на такой внушительный функционал расширения, он легок в использовании и устанавливается также просто, как и любые другие модули дополнений. Расширение имеет подробную документацию на нескольких языках, что позволит быстро разобраться в работе плагина даже новичку.

cmsheaven.org

Защита админки Joomla

Административная панель управления сайтом Joomla находится по-умолчанию по адресу http://site.ru/administrator Этим часто пользуются злоумышлинники, пытаясь заполучить доступ к Вашему сайту. Делается это путём продолжительного перебора возможных паролей. Данный процесс не только сильно повышает нагрузку на сервер Вашего сайта, но и в конечном итоге может привести к взлому ...

Чтобы этого избежать можно вольпользоваться плагином jlsecuremysite, который изменяет адресную строку доступа к панеле администратора сайта и злоумышленники уже не смогут подобрать пароль.

 

Плагин jlsecuremysite

jlsecuremysite простой плагин для Joomla 2.5 и 3.0, который добавляет ключ и значение к адресу административной панели управления сайтом. Это позволяет предотвратить несанкционированный доступ посетителей к панели администратора без правильного указания ключа и значения. Например, если настроить плагин на использование key=foo и value=bar, URL-адреса для вашей панели администратора будет:

http://www.yourdomain.com/administrator?foo=bar

Примечания:

• Вы должны установить этот ключ и значение после установки плагина и включить плагин сразу же после этой операции.
• KEY должен содержать только буквы: A-Z и a-z.
• VALUE должен содержать только буквы и/или цифры: A-Z, a-z, 0-9.
• После выхода из панели администратора, необходимо повторно ввести панели управления с парой KEY и VALUE, чтобы вновь войти в панель администратора.
• KEY и VALUE в настройках плагина время от времени можно менять.

Скачать плагин jlsecuremysite

Скачать плагин можно на сайте разработчика http://www.jomland.com/free-stuff/secure-my-site или сразу сдесь на сайте 

Установка плагина jlsecuremysite

Установка плагина осуществляется встроенными средствами. Зайдите в административную панель управления CMS и выберите в меню «Расширения» пункт «Менеджер расширений». Выберите в представленной форме файл дистрибутива jlsecuremysite_1.0.2.zip загруженный ранее на локальный компьютер и нажмите кнопку «Загрузить и установить». Плагин будет установлен в систему.

Установка плагина jlsecuremysite

Настройка плагина jlsecuremysite

В менеджере плагинов выберите jlsecuremysite и перейдите в режим конфигурации. На вкладке «Основные параметры» введите требуемые секретный ключ и его значение. Затем включите плагин, сохраните изменения и выйдите из административной части сайта.

Настройка плагина jlsecuremysite

Конфигурация плагина jlsecuremysite

Плагин настроен, теперь панель администратора сайта Joomla доступна по адресу, включающему в себя ключ и его значение.

Защита админки Joomla

 

Помощь:

• Если вы включили плагин со значениями по умолчанию, пытайтесь войти по следующей ссылке: http://www.yourdomain.com/administrator?secure_key=secure_value
• Если это не сработало, вам необходимо войти в свой MySQL Admin (например PhpMyAdmin) и выполнить следующий запрос, чтобы отключить плагин:

UPDATE #__extensions SET enabled = 0 WHERE name LIKE '%jlsecure%' AND type='plugin' AND folder='system'; Замените #__ на префикс ваших таблиц. После этого плагин будет отключен и вы сможете войти как обычно.

Для создания статьи использовался материал сайта: http://e-kzn.ru

www.pontin.ru

JomDefender v2.0.1 - надежная защита вашего сайта на Joomla

Одна из самых важных задач для любого веб-мастера заключается в обеспечении безопасности для сайта. И комплексную защиту интернет-ресурса, работающего под управлением CMS Joomla, эффективнее организовывать с помощью плагина  jomDefender. В этом расширении есть все самые необходимые функции, которые помогут вам избежать взлома сайта злоумышленниками. Плагин просто убирает все следы «движка» Joomla, закрывая все его уязвимые места. Соответственно хакерам намного сложнее определить, что же за CMS используется и через какую «дыру» можно попытаться получить доступ к ней.

Что может плагин jomDefender

У данного расширения есть несколько функций, о которых мы и хотим вам рассказать.

• Благодаря двойному уровню защиты он помогает определить вредоносный код или нарушителя до начала злоумышленных действий.
• Плагин jomDefender моментально сканирует на наличие вирусов и уязвимостей любой из файлов, как только тот будет загружен на сервер.
• С его помощью вы легко заблокируете пользователей по IP-адресу, выявив их слишком частое обращение к серверу или другие подозрительные действия. Причем доступно несколько разных режимов блокировки.
• Пожалуй, одной из самых важных функций является письменное уведомление администратору сайта о попытках взлома его интернет-ресурса хакерами.
• Важен и тот факт, что у плагина jomDefender удобная панель управления, что позволяет выполнить комплексную и в то же время тонкую настройку защиты сайта, с учетом множества факторов и нюансов.

Кому нужен jomDefender?

Этот плагин нельзя назвать самым популярным. В то же время, он вполне функционален и пригодится тем веб-мастерам, которые не обладают большими познаниями в области противодействия хакерам. С помощью jomDefender администратору сайта будет намного проще защитить свой ресурс, чем без него. Хотя, даже наличие этого расширения не гарантирует вашему сайту полную безопасность. Надо всегда быть настороже, особенно если у вас посещаемый интернет-ресурс. Чем популярнее сайт, тем большее внимание проявляют к нему хакеры.

 

 

cmsheaven.org

Centrora Security - плагин для защиты информации сайта Joomla от внешних угроз

Centrora Security является новым плагином, который был создан путем изменения плагина OSE Firewall Security. Брандмауэр безопасности Joomla, предназначен для защиты Ваших сайтов Joomla от атак и взламывания. Встроенный сканер вредоносного программного обеспечения и безопасности помогает Вам идентифицировать любые угрозы безопасности, вредоносные коды, спам, вирусы, вставки в SQL и уязвимости системы обеспечения безопасности. Для обеспечения информационной безопасности обратите внимание на DLP систему.

Новые функции в версии плагина 6.0.0:

• Резервное копирование: увеличение мощности системы управления резервными копиями Вашего веб-сайта, позволяющая сохранять данные таким образом, чтобы Вы могли отслеживать любые изменения и иметь возможность откатиться на любую точку восстановления;
• Недавно обновленный пользовательский интерфейс привнес новые темы оформления, а также позволяет лучше работать пользователям;
• Новый Хеш сканер MD5, базовый сканер каталогов и измененный сканер файлов добавлены в состав поставки, что позволяет расширять мощности обработки данные и увеличивать эффективность проверок;
• Антивирус заменен новым динамическим сканером, который охватывает расширенную вирусную подписку и, по крайней мере, на 50% быстрее работает;
• Новый сканер разрешения и сканер уязвимости файлов добавлены, чтобы помочь идентифицировать системные лазейки;
• Резервное копирование теперь становится более удобным для пользователя с более простыми процедурами загрузки.

Поддержка клиентов:

Если Вы нуждаетесь в помощи в использовании плагина Centrora Security™, экономьте время, обратившись с Вашим запросом в службу поддержки онлайн, и мы соединим Вас с аналитиком по вопросам безопасности или даже главным консультантом по безопасности.

Брандмауэр безопасности:

• AntiSpam: использование списков черных IP-адресов со специализированных форумов безопасности;
• AntiVirus: поиск вирусов, который сканирует через Ваш сайт вредоносное программное обеспечение и другие варианты, которые являются известными угрозами нарушения безопасности, эвристикой черных ходов, троянцев, подозрительные коды и другие вопросы безопасности;
• IP Mangement: управление IP разрешает, блокирует и отслеживает IP-адреса, которые получают доступ к Вашему сайту.

joomla3x.ru

---

• 
  Джумла в складчину
• 
  Джумла куликов
• 
  Джумла цены
• 
  Джумла конструктор
• 
  Джумла смс
• 
  Джумла 4
• 
  Слайдер джумла 3
• 
  Джумла специалист
• 
  Джумла как работать
• 
  Джумла аккордеон
• 
  Джумла русификатор

Prostoy-Site | Все права защищены © 2018 | Карта сайта