Bezpieczna Joomla! odc.1 – IP oraz jSecure Authentication

Facebooktwittergoogle_plusredditpinterestlinkedintumblrmailFacebooktwittergoogle_plusredditpinterestlinkedintumblrmail

Jedną z największych wad Joomla! jest to, że każdy kto choć raz się nią „bawił” wie, że panel administracyjny „schowany” jest pod ścieżką http://nazwa-domeny.pl/administrator/. Oczywiście jest okno logowania, a w nim pole podaj nazwę użytkownika (niestety często zbyt proste do odgadnięcia) oraz hasło. Jeśli to drugie jest z puli trudnych lub bardzo trudnych, możemy być średnio pewni, że będzie okey. Ale …. nie możemy spać spokojnie, jak mówi staropolskie przysłowie „Licho nie śpi”, a szczególnie tureccy i rosyjscy hackerzy, już nie mówiąc o polskich. Ci pierwsi są z grupy „shakować, dodać swoją flagę i pochwalić się na swoim forum”, nie chcemy chyba tam trafić, hmm?

Sposób 1:
W folderze /administrator dodać plik .htaccess a w nim:

deny from all
allow from xx.xxx.xx.xx

xx – to nasz numer IP, metoda dobra, ale tylko wtedy kiedy łącząc się z internetem zawsze mamy taki sam IP. Wtedy tylko osoba z „allow from” IP może się zobaczyć ekran logowania. Uwaga! Darmowe serwery z reguły nie obsługują plików .htaccess !

Sposób 2:
Skorzystajmy z dodatku jSecure Authentication, który utrudnia niepowołanym osobom dostęp do ekranu logowania. Pobierz dodatek, następnie zainstaluj. Przejdź do listy dodatków i odnajdź System – jSecure Authentication, wejdź w odnośnik, włącz dodatek. Jak widzisz po prawej stronie w polu Ustawienia dodatku widnieje domyślne hasło : „jSecure”. Możesz, a nawt wymagane jest, abyś je zmienił na inne. Uwaga, można używac wyłącznie liter (małe i DUŻE), bez cyfr i polskich znaków typu: ó, ł, ę, ą etc.. Od teraz po zapisaniu do panelu logujesz się korzystając ze ścieżki:

http://www.nazwa-domeny.pl/administrator/?slowoKlucz

– gdzie ?slowoKlucz -> to ów sekretne słowo! Zapamiętaj je i chroń przed obcymi.

  • Ad.1. A jeśli nie mamy stałego IP? 😉

    W paru moich serwisach, które nie są zbyt często aktualizowane stosuję .htaccess tylko z:
    deny from all

    A jak trzeba coś zmienić, to szybkie logowanie przez Direct Admina czy klienta FTP i szybka zmiana pliku na czas wprowadzanych zmian. Może na około, ale jak na razie skutecznie, bo nikt poza mną nie grasuje mi po zapleczu.

    Czekam na kolejne części 🙂

  • Bardzo dobry i prosty pomysł na zabezpieczenie panelu, dzięki za ten post bardzo mi się przydał.