Ochrona instalacji Joomli przed atakami "brute force" Drukuj

  • 7

Atak typu "brute force" polega na nieustannych próbach logowania się na konto, bez znajomości prawidłowego loginu i hasła. Atakujący podaje losowe wartości, najczęściej w oparciu o najpopularniejsze hasła i loginy użytkowników. Dlatego instalując własną Joomle na serwerze, bardzo istotna jest zmiana nazwy użytkownika na mniej oczywistą niż "admin" oraz zmiana hasła, które posiada co najmniej 8 znaków w tym cyfry, małe i duże litery oraz znaki. Atak typu "brute force" nie polega na wykorzystaniu luk bezpieczeństwa w danej aplikacji, tylko na użyciu odpowiedniej mocy obliczeniowej do ciągłego przeprowadzania prób logowania na podstawie określonego słownika haseł (atak słownikowy) lub losowo generowanych ciągów znaków.

Poza tym, ogromnym problemem podczas ataków typu "brute force" na instalację CMS typu Joomla jest znaczne obciążenie serwera ciągłymi próbami logowania. Rozwiązaniem tego problemu może być wprowadzenie podwójnego logowania do swojego CMS. Poprzez pliki .htaccess i .htpasswd możemy ustawić dodatkowe logowanie do katalogu administratora w Joomli domena.pl/administrator. W ten sposób podwójnie zabezpieczymy się przed atakami typu "brute force" - pod warunkiem, że ustawimy inny login i hasło niż do panelu logowania Joomli. Dodatkowa korzyść polega na znacznym zmniejszeniu obciążenia serwera podczas takich ataków, ponieważ autoryzację po pliku .htpasswd obsługuje serwer www Apache, a nie skrypt CMS napisany w PHP.

Ochrona katalogu logowania Joomli w cPanelu

1. Logujemy się do swojego konta cPanel - standardowy link logowania ma postać:


nazwa_konta.kylos.pl/cpanel
twoja_domena.pl/cpanel

2. W sekcji "Pliki" odnajdujemy ikonę "Ochrona katalogów" i klikamy na nią.


3. Zaznaczamy "Katalog domowy (public_html/www) a następnie klikamy przycisk "Go".


3. W otworzonym oknie odszukujemy katalog z zainstalowaną Joomlą i wchodzimy do niego. W katalogu z Joomlą powinien znajdować się katalog o nazwie "administrator" - należy go wybrać (klikając na nazwę).
Uwaga: Aby przechodzić między katalogami, należy klikać na ikony katalogu. W celu wybrania danego katalogu klikamy na jego nazwę.


4. Po wybraniu właściwego katalogu ukaże się nam kreator umożliwiający konfigurację ochrony wybranego katalogu dodatkowym hasłem. Zaznaczamy opcję "Chroń hasłem ten katalog", a następnie podajemy nazwę katalogu "administrator" i klikamy "Zapisz".


5. Po zapisie naciskamy przycisk "Wstecz", aby ponownie wrócić do poprzedniego okna - tym razem w celu zdefiniowania nazwy użytkownika i hasła, na które będziemy się logować do zabezpieczonego katalogu.


6. Po powrocie do kreatora tworzymy nowego użytkownika, który będzie mógł zalogować się do chronionego katalogu. Podajemy "Nazwę użytkownika" - niech to będzie coś innego niż "admin" oraz hasło - najlepiej użyć dołączonego generatora hasła "Generuj hasło". Hasło powinno zawierać małe i duże litery, cyfry, znaki oraz powinno być dosyć długie min. 8 znaków. Po wpisaniu wszystkich istotnych informacji klikamy "Zapisz".


7. Od teraz po wywołaniu strony logowania w Joomli wyskoczy nam dodatkowe okno logowania. Gotowe - możemy się wylogować z cPanelu.



Ochrona katalogu logowania Joomli w panelu DirectAdmin.

1. Logujemy się do swojego panelu administracyjnego DirectAdmin. Standardowy link logowania wygląda następująco:

adres_IP_serwera:2222
twoja_domena.pl:2222

2. Po zalogowaniu się na konto użytkownika domeny, którą chcemy ochronić - wybieramy opcję "Katalogi chronione hasłem" w sekcji "Twoje konto".


3. Następnie w nowo otworzonym oknie klikamy na opcję "Znajdź katalog chroniony hasłem".


4. Odszukujemy właściwy katalog, który chcemy ochronić dodatkowym hasłem. Dla standardowej instalacji Joomli jest to katalog o nazwie "administrator" i klikamy przy nim na opcję "Zabezpiecz".


5. Otworzy nam się nowe okno, gdzie musimy podać nazwę katalogu, nazwę użytkownika (lub wybrać już istniejącego) oraz hasło. Na koniec zaznaczamy opcję "Zabezpieczenie włączone" i klikamy "Zapisz".


6. Gotowe - katalog administracyjny panelu Joomli powinien być już dodatkowo chroniony hasłem. W celu weryfikacji proszę udać się na swoją domenę gdzie zainstalowana jest Joomla np. twoja_domena.pl/administrator i zweryfikować czy jesteśmy proszeni o podanie nazwy użytkownika i hasła, które przed chwilą utworzyliśmy.


Czy ta odpowiedź była pomocna?

« Powrót