jSecure Authentication - закрываем доступ в админку Joomla.

Дата Автор 

Доброе время суток дорогие друзья! Давно я ничего не писал про Joomla, и в этом посте я хочу рассказать Вам о защите админки Joomla, с помощью мощьного компонента  jSecure Authentication.

jSecure Authentication

Несмотря на то, что Joomla довольно таки защищенная CMS, у неё все-таки есть некоторые уязвимые места. В этом посте я расскажу Вам, об одной из главных уязвимостей Joomla, а так же расскажу, как её залатать с помощью jSecure Authentication.

 

Одной из уязвимых мест Joomla, является путь входа в админку, то есть /administrator. Как бы это смешно не звучало, но это так. Понять что сайт разработан на Joomal, не сложно, а следовательно злоумышленник будет знать, уже и путь к вашей админке.

 

Так же большинство пользователей данного движка, допускают грубейшую ошибку, оставляя стандартный логин входа (admin). Благодаря этому злоумышленникам остается разгадать только, пароль от админки и если им это понадобиться, то рано или поздно они добьются этого.

 

Так вот чтобы улучшить защиту админки в несколько раз, обязательно измените, стандартный логин admin, на какой-нибудь другой, а так же обязательно установите компонент jSecure Authentication. Кстати, компонент можно скачать в конце статьи во вложении, сразу под тегами.

 

 

 

Настройка jSecure Authentication

 

Как я и говорил выше, основной целью программы является защита доступа к админке, а вернее изменение её стандартного пути.  Именно это мы сейчас и будем делать. После установки компонента, откройте его. Перед Вами появиться появятся вот такие вот поля:

 

защита админки joomla

 

Вверху картинки форма блокирования  пути к админке, а внизу отображаются логи всех попыток набрать стандартный путь к административной панели Joomla. Чтобы блокировать стандартный доступ, нужно в поле Enable выбрать Yes. Далее в поле Pass Key выберите url, а в поле Key укажите пароль доступа, благодаря которому, Вы сможете попасть в админку. Ну и в последнем поле Redirect Options, выберите Redirect to index page (перенаправление на главную) или Custom page (Указанную страницу).  На мой взгляд, лучше всего делать редирект на главную страницу. Ну и сохраните установленные настройки.

 

Как это все работает? При наборе такого пути http://si te/administrator будет происходить редирект на главную или указанную страницу. Отсюда, появляется вполне логичный вопрос, как администратору сайта попасть в админку? Тут нам пригодиться ключ, который мы вводили в поле key. То есть вместо стандартного пути в административную панель, нужно прописать http://sit e/administrator?key. Естественно вместо слова key нужно написать ключ, который Вы указали в настройках компонента.

 

Как видите? благодаря этому компоненту, можно убрать одну из серьезных уязвимостей Joomla.  Используя jSecure Authentication, Вы раз и навсегда защитите доступ в административную панель сайта. Это не значит, что Ваш сайт абсолютно защищен, нет, защищен, только доступ в админку.

 

настройка почты в jSecure Authentication

 

Так же в компоненте есть расширенные настройки, благодаря которым вы будите в курсе всех событий авторизаций на сайте, а так же попыток авторизаций.  Так же в сообщении, Вам будет присылаться IP адрес, с которого была произведена авторизация или попытка набрать стандартный доступ в админку. Все это делается в пункте меню Advanced Configuration (расширенные настройки), во вкладках Master Mail и Mail.

 

блокировка ip в jSecure Authentication

 

Так же Вы можете заблокировать ip адреса злоумышленников, которые пытались получить доступ к административной панели Вашего сайта. Это можно настроить во вкладке ip, там нужно выбрать blocked IPs и ввести нужный адрес.

 

защита jSecure Authentication

 

У jSecure Authentication, ещё одна очень полезная функция, которую можно настроить во вкладке Master Password. Если доступ в админку имеет не один человек, и Вы не хотите чтобы остальные имели доступ к данному компоненту, просто установите на него пароль, главное не забудьте его.  

 

Собственно говоря, вот и все. Обязательно установите на свой сайт компонент jSecure Authentication, и защитите свою админку от взлома. Так же обязательно смените стандартный логин admin, на какой-нибудь другой.

 

P.S. Посмотрите видео и узнаете ещё один способ защиты админки Joomla!

 

Спасибо за внимание!!! С уважением Остапенко Илья.

Оцените материал
(0 голосов)
 

Комментарии   

 
lisenok
+2 # 14.06.2013 11:34
Хмм...Описано красиво, но все таки лучшим модулем для защиты админки остается AdminExile, тк у jSecure секретное слово хранится в незашифрованном виде...на форуме рдот-орг про него очень подробное описание присутствует. Вот так....)
Ответить | Ответить с цитатой | Цитировать
 
 
Остапенко Илья
-1 # Остапенко Илья 14.06.2013 15:56
На вкус и цвет, карандаши разные. Никто из тех кому я устанавливал, данный компонент, не жалуются.
Ответить | Ответить с цитатой | Цитировать
 
 
Как обычно
0 # Как обычно 30.06.2013 00:01
Причем тут цвет карандашей, когда речь идет о безопасности? И как могут жаловаться те, кто в этом вообще ничего не смыслят?
Ответить | Ответить с цитатой | Цитировать
 
 
Остапенко Илья
-1 # Остапенко Илья 30.06.2013 13:25
1. Ломается абсолютно все!!!
2. Не нравиться не ставьте.
3. Данные хранятся в зашифрованном виде =) Дабы вы не слушали всяких умников, которые знают, якобы, больше меня =) А лучше не верить никому и проверить самому.
4. Никто не жаловался, потому что, взломать jSecure Authentication, можно только двумя способами: подобрать или украсть ключевое слово или взломать аккаунт на хостинге. Вопросы есть?
Ответить | Ответить с цитатой | Цитировать
 
 
Владимир
0 # Владимир 22.10.2013 16:29
Илья, всё правильно написано. Прога действительно работает. До того хорошо работает, что и мне теперь говорит - не верный логин/пароль. Через PHPmyAdmin захожу, но по описаным вариантам в форумах не могу понять - где такой файл - jos_plugin. Нашел только лог - там о попытках подбора ключа в JSecure. Самому доступ закрыт в админку. что можно мне попробовать ещё?
Ответить | Ответить с цитатой | Цитировать
 
 
Остапенко Илья
0 # Остапенко Илья 23.10.2013 00:35
Здравствуйте Владимир. Как я писал в комментариях выше, взломать данный компонент можно двумя путями или подобрать пароль или же взломать аккаунт на хостинге. Видите, бесполезно искать пароль в БД, его там нет =) На вашем сервере пройдите по следующему пути /administrator/ components/com_ jsecure и в файле params.php для переменной public $publish установите значение 0. Не забудьте сохранить изменения и заходите в админку по старому способу. Вот и все =) Подписывайтесь на обновления блога, скоро я предложу ещё один интересный вариант защиты сайта на Joomla, намного проще чем этот.
Ответить | Ответить с цитатой | Цитировать
 
 
Андрей
0 # Андрей 20.11.2013 15:47
У меня похожая проблема, но в /administrator/ components/ папки com_ jsecure почему то нет. Странно.
Ответить | Ответить с цитатой | Цитировать
 
 
Остапенко Илья
0 # Остапенко Илья 20.11.2013 17:36
Быть такого не может. Откуда качали?
Ответить | Ответить с цитатой | Цитировать
 
 
Андрей
0 # Андрей 21.11.2013 12:26
А я помню? :)
Установлено уже лет пять наверно.
Ответить | Ответить с цитатой | Цитировать
 
Добавить комментарий


Защитный код
Обновить