Joomla - Zabezpečení administrace



Za poslední období evidujeme masivní útoky na stránky s aplikací Joomla. Útočník se snaží prolomit heslo administrátora stránek opakovaným přístupem na přihlašovací formulář do administrace aplikace. Proto je důležité provést některé z následujících opatření, které nežádoucí útoky eliminují.

Přístup pouze některým uživatelům

Pomocí serverové autentifikace lze povolit přístup pouze autorizovanému uživateli. Na přihlašovací stránku do administrace aplikace Joomla se pak dostanete jen po zadání správných přihlašovacích údajů.


Vygenerování obsahu souborů

Následující formulář automaticky vygeneruje řádky, které vložíte do souboru .htpasswd a .htaccess, a zobrazí postup úpravy. Stačí zadat přihlašovací jméno uživatele, heslo a název stránek.

Uživatel:
Heslo:
Název stránek:

Obsah souboru .htaccess

Vytvořte (např. pomocí aplikace PSPad) soubor .htaccess s tímto obsahem:

AuthUserFile /data/www/webhosting-c4.cz/www.webhosting-c4.cz/administrator/.htpasswd
AuthName "Autorizace"
AuthType Basic
ErrorDocument 401 "Pro vstup musite zadat prihlasovaci udaje"
<Files "index*">
  Require valid-user
</Files>

Obsah souboru .htpasswd

Vytvořte soubor .htpasswd s tímto obsahem:

Josef:$2y$10$XCyg07B8OS4q3cbH3Qke3eeB8lWayLB2qikHTErENfH7Kzd/xXjhm

Nahrání souborů na server

Oba soubory .htaccess a .htpasswd zkopírujte pomocí FTP klienta na server do složky administrator. Tím dojde k zabezpečení přihlašovacího formuláře.

Ověření zabezpečení složky

Pokud nyní vstoupíte na přihlašovací formulář do administrace aplikace Joomla, budete vyzváni k vyplnění přihlašovacích údajů.

Autentifikace v prohlížeči Internet Explorer
Autentifikace v prohlížeči Internet Explorer

Přístup pouze z Vaší IP adresy

Další možností je povolení přístupu pouze z Vaší IP adresy. Nepovolené adresy budou blokovány.

Obsah souboru .htaccess

Vytvořte (např. pomocí aplikace PSPad) soubor .htaccess s tímto obsahem:

<Files "index*">
  Order Deny,Allow
  Deny from all
  Allow from 123.123.123.123
</Files>

Ukázkovou IP adresu 123.123.123.123 nahraďte vaší IP adresou, kterou lze zjistit například na stránkách http://www.mojeip.cz/. Pokud chcete povolit přístup z více adres, stačí přidat nový řádek s další IP adresou:

<Files "index*">
  Order Deny,Allow
  Deny from all
  Allow from 123.123.123.123
  Allow from 124.124.124.124
</Files>

Nahrání souboru na server

Soubor .htaccess zkopírujte pomocí FTP klienta na server do složky administrator. Tím dojde k zabezpečení přihlašovacího formuláře.

Ověření zabezpečení

Pokud nyní vstoupíte na přihlašovací formulář do administrace aplikace Joomla z povolené IP adresy, žádná změna nebude patrná. Pouze při přístupu z nepovolené IP adresy se zobrazí chybová stránka.

Dvojité zabezpečení

Na stránkách můžete aplikovat obě metody zabezpečení. Za vygenerované řádky pro serverovou autentifikaci stačí přidat řádky pro blokaci IP adres. Obsah souboru .htaccess pak bude vypadat např.:

AuthUserFile /data/www/webhosting-c4.cz/www.webhosting-c4.cz/administrator/.htpasswd
AuthName "Autorizace"
AuthType Basic
ErrorDocument 401 "Pro vstup musite zadat prihlasovaci udaje"
<Files "index*">
  Require valid-user
  Order Deny,Allow
  Deny from all
  Allow from 123.123.123.123
</Files>

Tím dojde k dvojitému zabezpečení přihlašovacího formuláře pomocí serverové autentifikace i IP adresy.

Změna přihlašovacích údajů

Většina uživatelů používá pro účet administrátora uživatelské jméno "admin". Tím usnadňují napadení svých stránek, protože útočníkovi pak stačí prolomit pouze heslo. Proto je důležité zvolit jiné přihlašovací jméno administrátora (ideálně nějaké nestandardní slovo). A stejně důležité je heslo administrátorského účtu, které by mělo mít složitější tvar (např. A5rtOs8+). Administrátorské účty, které nepoužíváte, smažte nebo zablokujte.


Joomla - Zabezpečení administrace
Aplikace: Joomla 1.5
Ověřeno pro: Joomla 1.5.26
Publikace: 29.3.2012
Kontrola: 30.3.2015
Přehled změn a kontrol
Diskuzní fórum
  • Webové aplikace
  • Tvorba web stránek
  • PHP, MySQL

forum.c4.cz