Защита админки Joomla

Защита админки Joomla, 4.6 из 5 основанный на 34 голосах.

Анализируя лог-файлы сайтов под моим управлением, я обнаружил нескончаемые попытки подбора административного пароля. Причем попытки наблюдаются даже на проектируемом и не проиндексированном сайте, доменное имя для которого я зарегистрировал несколько недель назад. Возникла необходимость защитить административную часть Joomla от посягательств юных злоумышленников.

К сожалению, форма авторизации CMS Joomla всегда доступна по фиксированному адресу, фиксированным именем администратора и не оснащена каптчей. Это и дает возможность автоматической подборки административного пароля.


Из этих недостатков следуют и методы защиты:

  • Назначить другому пользователю административные права, а имя admin удалить. В таком случае злоумышленник не сможет подобрать пароль, ведь пользователя admin в системе больше не будет. Но бесполезная работа с перебором по отношению к вашему сайту все равно не прекратится.
  • Установить альтернативный компонент, оснащенный каптчей.
  • Установить какое-либо расширение, изменяющее адрес админки.

Посмотрев на доступные средства защиты Joomla, было найдено простое решение – плагин jlsecuremysite, который меняет адрес административной панели управления сайтом, прост в установке и работе.


Плагин jlsecuremysite

jlsecuremysite простой плагин для Joomla 2.5 и 3.0, который добавляет ключ и значение к адресу административной панели управления сайтом. Это позволяет предотвратить несанкционированный доступ посетителей к панели администратора без правильного указания ключа и значения. Например, если настроить плагин на использование key=foo и value=bar, URL-адреса для вашей панели администратора будет: http://www.yourdomain.com/administrator?foo=bar

Примечания:

  • Вы должны установить этот ключ и значение после установки плагина и включить плагин сразу же после этой операции.
  • KEY должен содержать только буквы: A-Z и a-z.
  • VALUE должен содержать только буквы и/или цифры: A-Z, a-z, 0-9.
  • После выхода из панели администратора, необходимо повторно ввести панели управления с парой KEY и VALUE, чтобы вновь войти в панель администратора.
  • KEY и VALUE в настройках плагина время от времени можно менять.

Скачать плагин jlsecuremysite

Скачать плагин можно на сайте разработчика http://www.jomland.com/free-stuff/secure-my-site или русскую локализацию на моем сайте jlsecuremysite_1.0.1_rus.zip.


Установка плагина jlsecuremysite

Установка плагина осуществляется встроенными средствами. Зайдите в административную панель управления CMS и выберите в меню «Расширения» пункт «Менеджер расширений». Выберите в представленной форме файл дистрибутива jlsecuremysite_1.0.1_rus.zip загруженный ранее на локальный компьютер и нажмите кнопку «Загрузить и установить». Плагин будет установлен в систему.

Установка плагина jlsecuremysite Установка плагина jlsecuremysite

Настройка плагина jlsecuremysite

В менеджере плагинов выберите jlsecuremysite и перейдите в режим конфигурации. На вкладке «Основные параметры» введите требуемые секретный ключ и его значение. Затем включите плагин, сохраните изменения и выйдите из административной части сайта.

Настройка плагина jlsecuremysite Настройка плагина jlsecuremysite Конфигурация плагина jlsecuremysite Конфигурация плагина jlsecuremysite

Плагин настроен, теперь админпанель сайта Joomla доступна по адресу, включающему в себя ключ и его значение.

Защита админки Joomla Защита админки Joomla

Помощь:

  • Если вы включили плагин со значениями по умолчанию, пытайтесь войти по следующей ссылке: http://www.yourdomain.com/administrator?secure_key=secure_value
  • Если это не сработало, вам необходимо войти в свой MySQL Admin (например PhpMyAdmin) и выполнить следующий запрос, чтобы отключить плагин:
UPDATE #__extensions SET enabled = 0 WHERE name LIKE '%jlsecure%' AND type='plugin' AND folder='system';
Замените #__ на префикс ваших таблиц. После этого плагин будет отключен и вы сможете войти как обычно.


Если эта статья показалась вам полезной, пожалуйста, проголосуйте за нее. Это поможет другим быстрее найти эту статью из множества других менее полезных.
( 34 Голосов ) 

Комментарии   

 
# Anwolf 06.08.2013 11:56
Скачал плагин,установил.Но при попытке изменить KEY и VALUE по умолчанию на свои,сохраняю,у меня не сохраняет,выдает Файл jlsecuremysite.xml не может быть найден.
Ответить | Ответить с цитатой | Цитировать
 
 
# Ковенко В.Б. 08.08.2013 19:57
Посмотрите в plugins/system/jlsecuremysite/jlsecuremysite.xml, если нет, закачайте файловым менеджером, если есть, проверьте права на запись и чтение.
Ответить | Ответить с цитатой | Цитировать
 
 
# Александр 07.08.2013 23:47
поставил по вашему рецепту плагин, но не установил предварительно key и value не могу теперь зайти как администратор. не помогает: пытайтесь войти по следующей ссылке: _http://www.yourdomain.com/administrator?secure_key=secure_value
Замените #__ на префикс ваших таблиц а вот это не знаю как и на что заменить. прошу подскажи пож.
Ответить | Ответить с цитатой | Цитировать
 
 
# Ковенко В.Б. 08.08.2013 20:02
В меню админ.панели перейдите Сайт-Общие настройки-Сервер.
На вкладке "Настройки базы данных" есть "Префикс таблиц базы данных" - это то, что вам необходимо.
Пример, там написано asdf_
Тогда вам необходим следующий SQL запрос
UPDATE asdf_extensions SET enabled = 0 WHERE name LIKE '%jlsecure%' AND type='plugin' AND folder='system';
Ответить | Ответить с цитатой | Цитировать
 
 
# Лёша 27.08.2013 17:11
А перенаправлять на другую страницу как?
Ответить | Ответить с цитатой | Цитировать
 
 
# Ковенко В.Б. 27.08.2013 20:09
Плагин jlsecuremysite как раз и сделает это за вас.
Ответить | Ответить с цитатой | Цитировать
 
 
# Ковенко В.Б. 29.08.2013 10:48
В plugins/system/jlsecuremysite/jlsecuremysite.php найдите в самом конце строку
$app->redirect(JURI::base() . '..');
Замените ее на
$app->redirect(JURI::root().'404.html');
где 404.html адрес нужной вам странички
или полный url к ней
$app->redirect('http://yandex.ru/yandsearch?text=%D0%B2%D0%B0%D0%BC%20%D1%81%D1%8E%D0%B4%D0%B0%20%D0%BD%D0%B5%D0%BB%D1%8C%D0%B7%D1%8F&lr=43');

Я бы посоветовал вам отправлять именно на страницу ошибки 404.
Ответить | Ответить с цитатой | Цитировать
 
 
# Лёша 29.08.2013 15:37
Ковенко В.Б Большое спасибо
С уважением Лёша.4
Ответить | Ответить с цитатой | Цитировать
 
 
# stardel 11.09.2013 23:47
Выставил новый путь на вход, записал его но не пускает( где посмотреть и изменить тот путь что я сделал? В БД? Какая таблица? спс)
Ответить | Ответить с цитатой | Цитировать
 
 
# Ковенко В.Б. 14.09.2013 20:25
В конце статьи раздел "Помощь". Там все написано о чем вы спрашиваете.
Ответить | Ответить с цитатой | Цитировать
 
 
# Семён 16.09.2013 21:55
Joomla 2.5.14, после установки плагина и его включения, он работает, но только один раз. Со второй попытки войти в админпанель, снова появляется стандартная страница Входа в панель управления. Плагин удаляю, ставлю - снова то же самое.
Ответить | Ответить с цитатой | Цитировать
 
 
# Ковенко В.Б. 21.09.2013 16:32
Плагин кеширования попробуйте отключить.
Ответить | Ответить с цитатой | Цитировать
 
 
# Андрей 07.10.2013 13:25
Спасибо огроменное!!!!!
Ответить | Ответить с цитатой | Цитировать
 
 
# Igrok 21.02.2014 03:28
Есть еще очень неплохой плагин этого же направления - EasyCalcCheck PLUS, который имеет большое количество антиспамовых настроек и добавляет к адресу админки токен, без знания которого искать ее становится совершенно бесполезно. Рекомендую, возможно вам понравится.

За подробные статьи о расширениях весьма благодарю - несмотря на относительно небольшое их количество, они отличаются безупречным качеством исполнения.
Ответить | Ответить с цитатой | Цитировать
 

Добавить комментарий

Уважаемые посетители!
Комментарии модерируются, активные ссылки на сайты не публикуются. Пожалуйста, не тратьте понапрасну свое и мое время на попытку размещения спамерских ссылок.
Спасибо.


Защитный код
Обновить