![Logo aplikace Joomla 1.5](/logo/joomla-1-5.jpg)
Joomla - Zabezpečení administrace
Návody pro C4
Za poslední období evidujeme masivní útoky na stránky s aplikací Joomla. Útočník se snaží prolomit heslo administrátora stránek opakovaným přístupem na přihlašovací formulář do administrace aplikace. Proto je důležité provést některé z následujících opatření, které nežádoucí útoky eliminují.
Přístup pouze některým uživatelům
Pomocí serverové autentifikace lze povolit přístup pouze autorizovanému uživateli. Na přihlašovací stránku do administrace aplikace Joomla se pak dostanete jen po zadání správných přihlašovacích údajů.
Vygenerování obsahu souborů
Následující formulář automaticky vygeneruje řádky, které vložíte do souboru .htpasswd a .htaccess, a zobrazí postup úpravy. Stačí zadat přihlašovací jméno uživatele, heslo a název stránek.
Obsah souboru .htaccess
Vytvořte (např. pomocí aplikace PSPad) soubor .htaccess s tímto obsahem:
AuthUserFile /data/www/webhosting-c4.cz/www.webhosting-c4.cz/administrator/.htpasswd AuthName "Autorizace" AuthType Basic ErrorDocument 401 "Pro vstup musite zadat prihlasovaci udaje" <Files "index*"> Require valid-user </Files>
Obsah souboru .htpasswd
Vytvořte soubor .htpasswd s tímto obsahem:
Josef:$2y$10$hvrJn5gG.5No.oEKMMYtJ.ds2pnJqXJ9xZzFqAIEwfywf8UvWPLP2
Nahrání souborů na server
Oba soubory .htaccess a .htpasswd zkopírujte pomocí FTP klienta na server do složky administrator. Tím dojde k zabezpečení přihlašovacího formuláře.
Ověření zabezpečení složky
Pokud nyní vstoupíte na přihlašovací formulář do administrace aplikace Joomla, budete vyzváni k vyplnění přihlašovacích údajů.
![Autentifikace v prohlížeči Internet Explorer](http://navody.c4.cz/img/okno_autentizace.jpg)
Přístup pouze z Vaší IP adresy
Další možností je povolení přístupu pouze z Vaší IP adresy. Nepovolené adresy budou blokovány.
Obsah souboru .htaccess
Vytvořte (např. pomocí aplikace PSPad) soubor .htaccess s tímto obsahem:
<Files "index*"> Order Deny,Allow Deny from all Allow from 123.123.123.123 </Files>
Ukázkovou IP adresu 123.123.123.123 nahraďte vaší IP adresou, kterou lze zjistit například na stránkách http://www.mojeip.cz/. Pokud chcete povolit přístup z více adres, stačí přidat nový řádek s další IP adresou:
<Files "index*"> Order Deny,Allow Deny from all Allow from 123.123.123.123 Allow from 124.124.124.124 </Files>
Nahrání souboru na server
Soubor .htaccess zkopírujte pomocí FTP klienta na server do složky administrator. Tím dojde k zabezpečení přihlašovacího formuláře.
Ověření zabezpečení
Pokud nyní vstoupíte na přihlašovací formulář do administrace aplikace Joomla z povolené IP adresy, žádná změna nebude patrná. Pouze při přístupu z nepovolené IP adresy se zobrazí chybová stránka.
Dvojité zabezpečení
Na stránkách můžete aplikovat obě metody zabezpečení. Za vygenerované řádky pro serverovou autentifikaci stačí přidat řádky pro blokaci IP adres. Obsah souboru .htaccess pak bude vypadat např.:
AuthUserFile /data/www/webhosting-c4.cz/www.webhosting-c4.cz/administrator/.htpasswd AuthName "Autorizace" AuthType Basic ErrorDocument 401 "Pro vstup musite zadat prihlasovaci udaje" <Files "index*"> Require valid-user Order Deny,Allow Deny from all Allow from 123.123.123.123 </Files>
Tím dojde k dvojitému zabezpečení přihlašovacího formuláře pomocí serverové autentifikace i IP adresy.
Změna přihlašovacích údajů
Většina uživatelů používá pro účet administrátora uživatelské jméno "admin". Tím usnadňují napadení svých stránek, protože útočníkovi pak stačí prolomit pouze heslo. Proto je důležité zvolit jiné přihlašovací jméno administrátora (ideálně nějaké nestandardní slovo). A stejně důležité je heslo administrátorského účtu, které by mělo mít složitější tvar (např. A5rtOs8+). Administrátorské účty, které nepoužíváte, smažte nebo zablokujte.
Joomla - Zabezpečení administrace
Aplikace: | Joomla 1.5 |
Ověřeno pro: | Joomla 1.5.26 |
Publikace: | 29.3.2012 |
Kontrola: | 30.3.2015 |
Přehled změn a kontrol |
Diskuzní fórum
- Webové aplikace
- Tvorba web stránek
- PHP, MySQL
Joomla partneři
- PekneWeby
http://pekneweby.cz - FORdesign - webdesign studio
http://www.for-design.cz - WebSite4u.cz
http://www.website4u.cz - AW-dev, v.o.s.
http://www.aw-dev.cz/ - Pavel Grof - PG servis
http://www.pg-servis.cz - Vít Kratochvíl
http://web.statek-vysoke.cz/