AdminExile - защищаем доступ к админке в Joomla 3. Joomla 3 скрыть админку
kSecure или скрываем админку Joomla 3 от посторонних
Ни для кого не секрет, что окно авторизации к административной панели Joomla всех версий всегда находится по одному и тому же адресу. Поэтому любой желающий может поупражняться в ручном или автоматическом переборе паролей к вашему ресурсу, что может вызвать нежелательную нагрузку на веб-сервер. А вот для того, чтобы этого не происходило, можно поставить маленький, но достаточно полезный плагин для скрытия пути доступа к окну авторизации Joomla 3 под названием Kareebu Secure или сокращенно kSecure. Небольшой обзор переведенной мною версии данного плагина и собственно сам плагин вы можете найти в этом посте.
Для начала скачиваем сам плагин. Авторизованные пользователи могут скачать файл плагина kSecure-rus (русская версия) для установки из вложений в конце данного поста. Кому вломы регистрироваться или авторизовываться через соц.сети, могут скачать мой архив плагинов для Joomla 3 (сначала нужно распаковать и найти kSecure-rus) обзоры на которые я когда-либо писал с депозита по ссылке ниже:
Официальный сайт разработчика http://www.kareebu.com. Устанавливаем ваш плагин как обычно. Если все прошло хорошо, он не должен выдать никаких ошибок.
Далее переходим в меню Расширение - Менеджер плагинов. Находим наш плагин System - kareebo Secure и переходим к его настройке. Настройки я уже сам перевел для удобства использования. На что нужно обратить внимание:
Для начала устанавливаем секретное слово или как его называют тут пароль. Используйте хотя бы одну латинскую букву с цифрами, воздержитесь от кириллицы и простых паролей из цифр. После чего выбираем режим работы плагина. Режим HTTP Authentication более продвинутый и защищенный, работает через веб-сервер Апачи. Если у вас не Apachi, то выбирайте второй вариант Compatibility. Включаем сам плагин, сохраняемся и публикуем его. Вкладка описание содержит дополнительное описание плагина.
Далее выходим из админки. И сново пытаемся в нее войти по адресу вашсайт/administrator. Если вы выбрали первый режим, то браузер выдаст вам такое окошко, где предложит ввести только что установленный в плагине секретный код пароль:
Имя пользователя можно не вводить. Вводите ваш пароль и он вас пускает к окну авторизации в административную панель Joomla 3. Если же у вас выбран второй режим работы плагина, то вам нужно запрашивать окно авторизации следующим образом
где слово вашпароль - нужно заменить установленным вами ранее в плагине секретным словом. В противном случае плагин будет автоматически всех перенаправлять на главную страницу вашего сайта. Плагин лично тестировал на своей Joomla 3.2.1 на работоспособность.
Спокойствия за админку желаю вам и вашим сайтам! Понравилось? Не скупитесь на лайки, твиты и +1!
Добавить комментарий
yagnenok.com
AdminExile - защищаем доступ к админке в Joomla 3
Я знаком с Joomla еще с версии 1.0. Но за весь период ее развития я ни разу не встречал плагин, который бы закрывал доступ к странице авторизации в административную панель Joomla с таким шикарным функциональным набором как в расширении AdminExile. Плюс ко всему, чтобы он был бесплатен и актуален для Joomla версии 3. Поэтому я решил следующий обзор в моем блоге посвятить именно этому плагину. Считаю, что расширение AdminExile для Joomla 3 заслуживает отдельного внимания как начинающих, так и опытных Joomlaводов.
Взломщикам сайтов очень легко определить, что ваш сайт использует CMS Joomla. Банально добавить в адресную строку к адресу сайта "/administrator" и вот вам пожалуйста панель авторизации. Даже не нужно открывать исходный код страницы и можно начинать перебирать логины и пароли. Плагин AdminExile позволяет устранить этот недостаток, а также подкинуть вам немного полезной информации, если почувствует что происходит что-то подозрительное.
1. Скачивание и установка плагина AdminExile для Joomla 3.
Несмотря на то, что этот плагин был написан под Joomla 2.5, но он также прекрасно работает и на 3й ветке нашей любимой CMS. Плагин бесплатный, скачать его можно следующими способами:
1. Посетить официальный сайт разработчика http://richeyweb.com/ и скачать ее из первых рук, но без русификации.
2. Скачать плагин AdminExile с сервиса dfiles.ru, архив распаковать и найти там установочный файл plg_adminexile_rus.zip
Далее устанавливаем плагин как обычное приложение Joomla через менеджер расширений.
2. Секретные ключи
Основным принципом работы AdminExile является установка секретных ключей и их значений для доступа к панели администратора Joomla 3.
Примеры использование ключей AdminExile:
- /administrator?секретноеслово
- /administrator?секретноеслово=секретныйключ
Можно использовать комбинацию в виде слова и ключа, либо просто секретное слово.
При включении опции "Разрешить повторный вход" - пользователь может вернуться в панель администратора Joomla без ввода каких-либо ключей в течении определенного количества секунд, установленных в настройках плагина. Для тех, кто не знает ключей доступа - можно установить страницу перенаправления. Будь то главная, страницы 404 или любая другая произвольная с полным адресом.
3. Ограничение для фронтенда сайта
Во вкладке ограничения для фронтенда сайта вы можете установить ограничения в виде запрета входа на сайт определенным группам пользователей. Для этого нужно включить опцию и выбрать нужную вам группу.
4. Запрос секретного слова и секретного ключа по почте
В случае если вы часто забываете секретные слова и ключи для доступа к админке вашего сайта, то предварительно можно включить напоминание данных ключей по запросу на ваш e-mail. Включаете опцию, указываете группу пользователей, которая имеет право на запрос. Соответственно лучше выбрать только группу SuperUsers, к которй вы скорее всего и относитесь.
После чего обратившись с запросом в адресной строке вашего сайта:
- /administrator?email=вашникнасайте
на ваш почтовый адрес, привязанный к имени пользователя на сайте, придет письмо с полезными для авторизации данными.
5. Защита админки Joomla 3 по IP пользователя
В случае если у вас есть постоянный IP адрес, то вы можете включить его в белый список адресов, с которых разрешено запрашивать панель авторизации к Joomla 3.
А в случае, если хотите наоборот ограничить запросы с определенных адресов, то требуется внести их в черный список. C этими фишками нужно быть аккуратнее. Так как можно и самому по ошибке получить бан на вход.
В случае попыток доступа к панели авторизации пользователями, чьи IP адреса есть в списках - то плагин может сообщить вам об этом на ваш email. Надо всего лишь включить данное уведомление. Ну и, конечно, выбрать получателя писем счастья.
6. Защита админки Joomla 3 от брутфорса
Перебор паролей не такая уж и фантастика в наше время. Поэтому не плохо блокировать все попытки перебора уже после нескольких неверных попыток подбора ключевого слова и\или кода. За это в плагине AdminExile отвечает вкладка с одноименным названием. О результатах работы такой защиты также можно получать инфу на почту.
7. Заключение
AdminExile очень полезный плагин, другие плагины защиты панели администрирования в Joomla 3 типа KSecure - урезаны донельзя по сравнению с этим. Ведь не просто так он занимает 1 место по скачиваниям на сайте автора. Надеюсь сам плагин, а также мой русский перевод для него окажутся в конечном счете полезны пользователям Joomla 3.
jedir.ru
Как закрыть вход в админку Joomla!
Автор: Root Опубликовано: 05 декабря 2013 Просмотров: 5320Чаще всего сайты взламывают отыскивая уязвимости в скриптах. Но бывает что используется банальный перебор паролей. Конечно если вы используете криптостойкие пароли то методом перебора их почти невозможно подобрать. И всё же наблюдать в логах сервера например такую картину неприятно.
В данном логе видно что злоумышленник пытается подобрать пароль к админке вводя пароли непосредственно в форме авторизации которая по умолчанию в Joomla! находится по адресу: http://domen.ru/administrator Я считаю очень странным что разработчики до сих пор не решили эту проблему. Решение сокрытия страницы авторизации есть – это использование компонента jSecure Lite. Скачать его можно бесплатно на официальном сайте пройдя регистрацию.
Установка компонента стандартная через менеджер расширений. После установки переходим к меню настройки - Basic Configuration Включаем его выбирая в первом выпадающем списке - Yes. Настройка - Pass Key определяет какое событие будет происходить при попытке попасть в форму авторизации админки. Если как на скриншоте выбрать Url а в списке Redirect Options выбрать Redirect to index page то будет происходить редирект на главную страницу сайта. Вводится секретний ключ так - http://domen/administrator/?yemkv где yemkv это ключ. Если выбрать Form то будет редирект на страницу с вот такой формой.
В которую нужно будет ввести пароль который прописывается в поле Key. После чего будет происходить редирект на форму авторизации в административной панели Joomla!
Если выбрать Custom Path то появится ещё одна настройка позволяющая сделать редирект на страницу с ошибкой. Эту страницу можно отредактировать под свои нужды, по умолчанию путь до неё plugins/system/jsecurelite/404.html Станица по умолчанию выглядит так.
Теперь скажу на счёт секретного пароля Key В нём можно использовать латинские буквы в разном регистре но нельзя использовать пробелы и спецсимволы!
Добавить комментарийjoomla-guru.ru