Форум русской поддержки Joomla!® CMS
08.12.2016, 20:10:15 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1] 2 3  Все   Вниз
  Добавить закладку  |  Печать  
Автор

Подскажите компонент защиты админки

 (Прочитано 1898 раз)
0 Пользователей и 1 Гость смотрят эту тему.
Igoritaly
Завсегдатай
*****

Репутация: +0/-0
Offline Offline

Сообщений: 464


« : 11.11.2015, 08:31:40 »

Альтернативный Jsecure. Знаю только его. Но он мне не нравится, так как при переносе сайта с одного сервака на другой (например с локального на хостинг) всегда появляются какие-то ошибки.
Записан
Arkadiy
Группа развития
*****

Репутация: +432/-0
Offline Offline

Пол: Мужской
Сообщений: 5316


Крепитесь, други.


« Ответ #1 : 11.11.2015, 09:05:16 »

https://www.akeebabackup.com/products/admin-tools.html
Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #2 : 11.11.2015, 09:25:32 »

я бы ручками лучше делал
начало в теме тут http://joomlaforum.ru/index.php?topic=272896.0
тут продолжение и неплохое решение http://joomlaforum.ru/index.php/topic,272393.msg1358465.html#msg1358465
Записан
Igoritaly
Завсегдатай
*****

Репутация: +0/-0
Offline Offline

Сообщений: 464


« Ответ #3 : 11.11.2015, 10:18:58 »

я бы ручками лучше делал
начало в теме тут http://joomlaforum.ru/index.php?topic=272896.0
тут продолжение и неплохое решение http://joomlaforum.ru/index.php/topic,272393.msg1358465.html#msg1358465
Спасибо. А в чем преимущество ручного варианта над интеграцией плагина?
Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #4 : 11.11.2015, 10:24:39 »

ну, тут всё индивидуально, имхо:просто в этом случае плюсы:нет запросов в БД и лишнего кода, лишнего расширения.
минусы-ручками делать.
///
я скриптом делаю у себя, свой написал, но тоже не совсем уверен, что это безопасно.
« Последнее редактирование: 11.11.2015, 10:32:03 от vipiusss » Записан
AlekVolsk
Профи
********

Репутация: +317/-3
Offline Offline

Пол: Мужской
Сообщений: 6460



« Ответ #5 : 11.11.2015, 10:32:34 »

htaccess-авторизация
Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #6 : 11.11.2015, 10:34:36 »

htaccess-авторизация
Алек, тогда проще запрет/разрешение по IP админу в том же файле.
Я образно ответил, исходя из разных входов с разных IP и девайсов.
Но думаю расширение для этого-не выход:нет контроля кода, фиг его знает, что это расширение принесёт:может ещё больше уязвимость или дырки в коде.
Повторюсь:лучше ручками!
Записан
AlekVolsk
Профи
********

Репутация: +317/-3
Offline Offline

Пол: Мужской
Сообщений: 6460



« Ответ #7 : 11.11.2015, 10:38:24 »

IP может быть постоянно динамическим, это не вариант, а прямая htaccess-авторизация - лучше пока еще не придумали.
тут в первую очередь все решается грамотной настройкой сервера, в самой J все известные дыры с последним патчем закрыли, новых вроде нет пока.

ТС: не надо дублировать топики, уточняющие вопросы той же тематики вы можете задавать здесь.
Записан
flyingspook
Профи
********

Репутация: +226/-9
Offline Offline

Сообщений: 3537


« Ответ #8 : 11.11.2015, 10:55:32 »

IP может быть постоянно динамическим, это не вариант, а прямая htaccess-авторизация - лучше пока еще не придумали.
тут в первую очередь все решается грамотной настройкой сервера, в самой J все известные дыры с последним патчем закрыли, новых вроде нет пока.
Правильно, на любом хосте в панели выставляется ограничение на папку, все просто до нельзя в наше время.
Записан
Igoritaly
Завсегдатай
*****

Репутация: +0/-0
Offline Offline

Сообщений: 464


« Ответ #9 : 11.11.2015, 11:00:20 »

прямая htaccess-авторизация - лучше пока еще не придумали.
Можете по подробнее рассказать о прямой htaccess-авторизации?
И чем она отличается от варианта предложенного vipiusss-ом? Ведь в том случае, также идет работа с файлом htaccess.
Записан
AlekVolsk
Профи
********

Репутация: +317/-3
Offline Offline

Пол: Мужской
Сообщений: 6460



« Ответ #10 : 11.11.2015, 11:03:34 »

http://www.webpress.uz/Alexandr/htaccess/Avtorizatsiya-s-pomoshchyu-htaccess
Записан
flyingspook
Профи
********

Репутация: +226/-9
Offline Offline

Сообщений: 3537


« Ответ #11 : 11.11.2015, 11:03:37 »

Это она и есть та что в примере. Настраивать можно практически из любой панели на хостинге на любые папки. Если сами не знаете то можете у ТП спросить.
Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #12 : 11.11.2015, 11:08:25 »

+1 Алеку, даже не видел ранее мануал этот.
Показать текстовый блок
« Последнее редактирование: 11.11.2015, 11:12:35 от vipiusss » Записан
flyingspook
Профи
********

Репутация: +226/-9
Offline Offline

Сообщений: 3537


« Ответ #13 : 11.11.2015, 11:19:21 »

Раньше и не было такой возможности и делали скриптами все  Smiley
После массовых взломов встроино это дело во все панели isp cpanel плеск и какие можно те что на хостах менеджер файлов предоставляет. Назвали почти все перевод по рус., это - ограничение доступа.
Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #14 : 11.11.2015, 11:23:02 »

Думаю нужно в FAQ добавить нужные 2 решения:ручками и правильный плагин(компонент)
Можно и 3-тие-скрипт.
Врятли новички знают, как обезопасить админку.
Записан
voland
Профи
********

Репутация: +488/-86
Online Online

Пол: Мужской
Сообщений: 8724


любит наш народ всякое гавно...


« Ответ #15 : 11.11.2015, 11:26:04 »

Зато хостеры знают и делают.
Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #16 : 11.11.2015, 11:37:15 »

Зато хостеры знают и делают.
Joomlaхостеры?
это кто так делает?рег ру неудачный?
или те, кто просто 1+1=2 ставят типа капчей?
Записан
Igoritaly
Завсегдатай
*****

Репутация: +0/-0
Offline Offline

Сообщений: 464


« Ответ #17 : 11.11.2015, 12:06:55 »

Великолепный топик получается. Столько новой и интересной, а главное полезной инфы.
Спасибо всем

Перенесем обсуждение соседнего топика сюда.
Дыр нету, пароль сложный и ограничению доступа на папку средствами htaccess.
Весь набор безопасности

Буду знать, спасибо.
Записан
flyingspook
Профи
********

Репутация: +226/-9
Offline Offline

Сообщений: 3537


« Ответ #18 : 11.11.2015, 18:24:34 »

Joomlaхостеры?
это кто так делает?рег ру неудачный?
или те, кто просто 1+1=2 ставят типа капчей?
Если у кого то одного что то не удалось, это относится сработаться, то это не означает что у остальных десятков тысяч там ни чего не работает. Это высказывание похоже на топик Joomla умирает.
Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #19 : 11.11.2015, 18:26:39 »

наверно не то ляпнул...
но в итоге от хостера ничего не зависит в этом плане.
Записан
flyingspook
Профи
********

Репутация: +226/-9
Offline Offline

Сообщений: 3537


« Ответ #20 : 11.11.2015, 18:29:19 »

но в итоге от хостера ничего не зависит в этом плане.
Вот тут на все 100% правда, хостер дает железо и ПО остальное все в руках пользователя.
Записан
Филипп Сорокин
Живу я здесь
******

Репутация: +121/-4
Offline Offline

Пол: Мужской
Сообщений: 1464


« Ответ #21 : 11.11.2015, 18:34:55 »

Также можно сделать переадресацию со скрытой страницы, например, "/secret" на страницу "/administrator". К самой папке "/administrator" закрыть прямой доступ без наличия cookie, которая ставится на странице "/secret". Такой вариант мне кажется наиболее интересным, хотя сам пользуюсь прямым запретом в .htaccess по IP. Сторонними плагинами я бы не стал пользоваться.
Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #22 : 11.11.2015, 18:37:14 »

Сторонними плагинами я бы не стал пользоваться.
И я об этом!Не стоит нагружать движок этим.
Записан
Igoritaly
Завсегдатай
*****

Репутация: +0/-0
Offline Offline

Сообщений: 464


« Ответ #23 : 11.11.2015, 18:41:45 »

я бы ручками лучше делал
htaccess-авторизация
Это она и есть та что в примере. Настраивать можно практически из любой панели на хостинге на любые папки. Если сами не знаете то можете у ТП спросить.

Народ вот тут еще один такой вопрос назрел. Предлагаемый вами вариант выполнить все своими руками через файл .htaccess, с хранением пароля в .htpassword кажется лучшим. Но есть ли там вариант изменение самого ключевого запроса administrator, как к примеру это можно реализовать посредством Jsecure.
Если нет, то получается потенциальный злоумышленник введет название-сайта.ру/администратор, увидит форму для ввода логина и пароля (пусть и отличную от Joomla) и таки поймет, что это Joomla.
Записан
voland
Профи
********

Репутация: +488/-86
Online Online

Пол: Мужской
Сообщений: 8724


любит наш народ всякое гавно...


« Ответ #24 : 11.11.2015, 18:44:37 »

Э.. Филипп же только что это советовал!
Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #25 : 11.11.2015, 18:47:25 »

Если нет, то получается потенциальный злоумышленник введет название-сайта.ру/администратор, увидит форму для ввода логина и пароля (пусть и отличную от Joomla) и таки поймет, что это Joomla.
Это как он введёт? сразу как только ссылка на админку, нах пошлёт куда вы напишите.
Записан
Филипп Сорокин
Живу я здесь
******

Репутация: +121/-4
Offline Offline

Пол: Мужской
Сообщений: 1464


« Ответ #26 : 11.11.2015, 19:32:36 »

Народ вот тут еще один такой вопрос назрел. Предлагаемый вами вариант выполнить все своими руками через файл .htaccess, с хранением пароля в .htpassword кажется лучшим. Но есть ли там вариант изменение самого ключевого запроса administrator, как к примеру это можно реализовать посредством Jsecure.
Если нет, то получается потенциальный злоумышленник введет название-сайта.ру/администратор, увидит форму для ввода логина и пароля (пусть и отличную от Joomla) и таки поймет, что это Joomla.

Опишу моё решение подробнее. Всё это можно выполнить средствами Apache, но может и не сработать, если ваш хостер использует Nginx в качестве фронт-энда и сконфигурировал его так, что настройки Apache игнорируются. А решение такое:

Код:
RewriteEngine On
RewriteCond %{REQUEST_URI} ^/administrator
#придумайте что-нибудь уникальное
RewriteCond %{HTTP_COOKIE} !antihack
RewriteRule .? - [F]

#ваша секретная страничка
RewriteCond %{REQUEST_URI} ^/secret$
#измените site.ru на ваш домен
RewriteRule .? /administrator/ [CO=antihack:1:site.ru:0:/administrator,R,L]

Сессия длится до тех пор, пока вы не закроете окно браузера. Прямой доступ к каталогу "/administrator" закрыт.
Записан
voland
Профи
********

Репутация: +488/-86
Online Online

Пол: Мужской
Сообщений: 8724


любит наш народ всякое гавно...


« Ответ #27 : 11.11.2015, 19:39:39 »

О, куку можно читать\ставить прямо через htaccess?
Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #28 : 11.11.2015, 19:41:53 »

да не гоните:
просто запретить или указать доступ по ИП админке.
Код:
Order deny,allow
 Deny from all
 Allow from 0.0.0.0
могу скрипт выложить.
Записан
Филипп Сорокин
Живу я здесь
******

Репутация: +121/-4
Offline Offline

Пол: Мужской
Сообщений: 1464


« Ответ #29 : 11.11.2015, 19:44:17 »

О, куку можно читать\ставить прямо через htaccess?
Я об этом тоже не знал, пока не прочитал документацию Azn
Записан
Страниц: [1] 2 3  Все   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet