ЗАПИСКИ ВЭБМАСТЕРА

Защита админки Joomla с помощью плагина AdminExile

Многие пользователи Joomla сталкивались с проблемой Брутфорса — перебора паролей для несанкционированного доступа к сайту. Злоумышленнику достаточно указать URL админки вашего сайта и начать перебор паролей. В итоге сайт может быть взломан (если пароль слабый) или получить значительную нагрузку на процессор хостинга (в результате — предупреждение, отключение или списание денежных средств хостером).

Как с этим бороться?

Есть несколько расширений для Joomla, решающих эту проблему. Все они работают с разной степенью эффективности. Мы рассмотрим одно из этих расширений — плагин AdminExile. Он совершенно бесплатен (желающие могут поблагодарить автора на его сайте) и, на наш взгляд, является одним из самых удачных вариантов. Скачать плагин AdminExile можно на официальном сайте. Поддерживаются Joomla 2.5 и Joomla 3.x

Как это работает?

Основным способом защиты AdminExile является добавление ключа (или нескольких ключей) к адресу административной панели сайта. При активации плагина он добавляет несколько уровней безопасности.

Самый простой вариант — добавление ключа (кодового слова) для доступа в административную панель сайта. Например: МойСайт.ру/administrator?key (вместо?key можно указать любое слово, не состоящее из одних цифр).

Более сложный вариант — ключ + значение. Например: МойСайт.ру/administrator?key=keyvalue (опять таки, использовать можно любые слова не состоящие из одних цифр, это ограничение безопасности самой Joomla).

При стандартном наборе URL админки сайта (например МойСайт.ру/administrator), происходит перенаправление на заранее указанную страницу (или на несуществующую для получения ошибки 404). Это можно указать в настройках плагина.

Что делать, если ключ забыт или потерян?

Для этого служит функция Mail Link, позволяющая сделать запрос ключа на ваш почтовый адрес. Разумеется, если вы являетесь администратором сайта или состоите в группе с указанным электронным адресом для этой группы.

Запрос должен выглядеть следующим образом: МойСайт.ру/administrator?email=username

Вам на почту придет ссылка для доступа в административную панель вашего сайта.

Фильтрация по IP адресу (Black/White Lists)

Плагин AdminExile предоставляет возможность составлять белые и черные списки для более надежной защиты вашего сайта. Также есть возможность указывать диапазон адресов. Синтаксис указывается следующий:

192.168.0.0/16
169.254.0.0/16
172.16.0.0/12
10.0.0.0/8

Защита от Brute Force

«Грубая сила» — это атака вашего сайта путем перебора паролей. Современные компьютеры справляются с этим довольно быстро. Мы всегда предупреждаем пользователей о необходимости использования сложных паролей и периодической их замене.

В настройках плагина AdminExile есть возможность обнаружения Brute Force атаки и ограничения доступа к сайту для атакующего IP.

  • Указывается количество попыток перебора пароля
  • Указывается штраф (время в минутах) ограничивающее доступ с данного IP
  • Указывается множитель штрафа, при повторной атаке (например множитель 2, при первой атаке IP блокируется на указанное время, допустим 5 минут, при второй уже 10, при третьей 20 и т. д.)
  • Письмо на адрес администратора сайта с указанием подробностей (IP, времени и т. п.)
  • Письмо на дополнительный (произвольный) адрес

Если что-то сломалось или пошло не так?

Несмотря на серьезную защиту вы всегда сможете получить доступ к вашему сайту отключив плагин AdminExile через FTP.

ВНИМАНИЕ! Ни в коем случае ничего не удаляйте. Вы можете повредить сайт. Плагин записывает информацию в базу данных из которой вы не сможете ее удалить. Для восстановления доступа существует следующая отлаженная процедура:

Для отключения плагина AdminExile зайдите на ваш сервер через FTP-менеджер или иным способом, дающим доступ к вашим файлам. Нам нужна папка plugins/system/adminexile. Нужно переименовать файл adminexile.php, например в xadminexile.php. Таким образом вы не даете Joomla загрузить плагин и он больше не защищает ваш сайт. Зайдите в панель администрирования обычным способом и выключите плагин в менеджере плагинов. После этого верните прежнее имя файлу adminexile.php. Теперь вы можете удалить плагин стандартными инструментами Joomla.

ПОИСК В ЗАПИСКАХ

ЕСЛИ ВЫ ЖЕЛАЕТЕ РАЗМЕСТИТЬ ЗАКАЗ ИЛИ У ВАС ОСТАЛИСЬ ВОПРОСЫ:

Контакты Интернет Консалтинг

Чтобы добавить контакт в адресную книгу вашего мобильного устройства сосканируйте этот код. Если требуется больший размер QR кода

нажмите здесь.

Пожалуйста, представьтесь.

Пожалуйста, укажите ваш e-mail

Invalid Input

Неверный ввод

Invalid Input