Proste zabezpieczenie panelu administracyjnego w Joomla

Facebooktwittergoogle_plusredditpinterestlinkedintumblrmailFacebooktwittergoogle_plusredditpinterestlinkedintumblrmail

ochrona_joomlaBez względu na to jaką wersją Joomla (2.5 / 3.2) dysponujesz  jeden problem pozostaje bez zmian – dostęp do panelu administracyjnego uzyskuje się po wpisaniu /administrator – do nazwy domeny. Owszem istnieją różnego rodzaju metody lub rozszerzenia, które mają na celu uchronić ten adres   – myślę jednak że poniższa porada mimo, iż banalnie prosta może uchronić przed częścią prostych ataków.

Otóż wystarczy dodać pusty plik : index.html  – do folderu /administrator – aby osoba, która będzie próbować się zalogować „po staremu” zobaczy pustą stronę. Można również lekko zmodyfikować ów plik dodając w nim automatyczne odesłanie np. za pomocą:

 <meta http-equiv="refresh" content="0;url=http://elimu.pl">

do strony głównej, co tym bardziej będzie wskazywać, że zalogowanie nie będzie możliwe.

Oczywiście nadal można się zalogować pamiętając, że najważniejszy jest przecież plik index.php, a nie domyślnie wczytywany index.html.

Zatem podsumowując:

  • www.elimu.pl/administrator – pusta strona;
  • www.elimu.pl/administrator – po sekundzie przekierowanie na stronę główną, jeśli dodasz przekierowanie w index.html;
  • www.elimu.pl/administrator/index.php  – typowy ekran logowania Joomla;

 

  • mattcobosca

    Fajny myk.

    Tak jeszcze sobie pomyślałem, że może zamiast przekierowania dać standardową stronę błędu serwera? 404 Not Found
    The page that you have requested could not be found?

    W ten sposób może chociaż część osób zniechęcimy (pusta strona lub przekierowanie na stronę główną niektórym może dać do myślenia).

  • waldek

    Trochę to słabe bo jeżeli ktoś wie, że trzeba wpisać strona/administrator to wie też, że może wpisać strona/administrator/index.php

  • Owszem, ale na laików działa. Szczególnie jak ktoś ci wisi kasę za twoja pracę.

  • Basili

    Moim zdaniem najlepszym z najprostszych sposobów jest hasło poprzez .htaccess i .htpasswd i ewentualnie ograniczenie ilosci prob do 3

  • k2art

    Chyba najlepszym sposobem jest zablokowanie dostępu do katalogu administrator wpisem w .htaccess umieszczonym w katalogu administrator:

    RewriteEngine On
    RewriteCond %{REQUEST_URI} ^/administrator
    RewriteCond %{HTTP_COOKIE} !JoomlaAdminSession=dowolnyciagznakowktoryjestzabezpieczeniemsesji
    RewriteRule .* – [L,F]

    Tworzymy dowolny katalog np: /innydostepdoadmin i w min umieszczamy nowy plik index.php o treści:

    Wywołanie katalogu administrator powoduje wyświetlenie komunitaku:

    Forbidden
    You don’t have permission to access /administrator on this server.

    Aby dostać się do panelu administracyjnego wywołujemy http://www.naszadomena/innydostepdoadmin i zostajemy przekierowani do panelu administracyjnego

    Nikt kto nie zna nazwy katalogu nie dostanie się do naszego panelu.

    Sposobu sam niw wymyśliłem. Znalazłem lata temu na jakimś forum.
    Nie przypisuję sobie autorstwa, ale spobób bardzo dobry. Osobiście używam od kilku lat i polecam.

  • Zogatn

    Tworzymy dowolny katalog np: /innydostepdoadmin i w min umieszczamy nowy plik index.php o treści:

    jakiej treści?

    A po wywołaniu /administrator.index.php nie pokaże strony logowania ?