0 Пользователей и 1 Гость просматривают эту тему.
  • 89 Ответов
  • 2443 Просмотров
*

Igoritaly

  • Давно я тут
  • 619
  • 1 / 0
Альтернативный Jsecure. Знаю только его. Но он мне не нравится, так как при переносе сайта с одного сервака на другой (например с локального на хостинг) всегда появляются какие-то ошибки.
*

vipiusss

  • Гуру
  • 5748
  • 343 / 10
  • Скайп: renor_
я бы ручками лучше делал
начало в теме тут http://joomlaforum.ru/index.php?topic=272896.0
тут продолжение и неплохое решение http://joomlaforum.ru/index.php/topic,272393.msg1358465.html#msg1358465
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями
*

Igoritaly

  • Давно я тут
  • 619
  • 1 / 0
я бы ручками лучше делал
начало в теме тут http://joomlaforum.ru/index.php?topic=272896.0
тут продолжение и неплохое решение http://joomlaforum.ru/index.php/topic,272393.msg1358465.html#msg1358465
Спасибо. А в чем преимущество ручного варианта над интеграцией плагина?
*

vipiusss

  • Гуру
  • 5748
  • 343 / 10
  • Скайп: renor_
ну, тут всё индивидуально, имхо:просто в этом случае плюсы:нет запросов в БД и лишнего кода, лишнего расширения.
минусы-ручками делать.
///
я скриптом делаю у себя, свой написал, но тоже не совсем уверен, что это безопасно.
« Последнее редактирование: 11.11.2015, 09:32:03 от vipiusss »
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями
*

AlekVolsk

  • Гуру
  • 6406
  • 361 / 4
htaccess-авторизация
*

vipiusss

  • Гуру
  • 5748
  • 343 / 10
  • Скайп: renor_
htaccess-авторизация
Алек, тогда проще запрет/разрешение по IP админу в том же файле.
Я образно ответил, исходя из разных входов с разных IP и девайсов.
Но думаю расширение для этого-не выход:нет контроля кода, фиг его знает, что это расширение принесёт:может ещё больше уязвимость или дырки в коде.
Повторюсь:лучше ручками!
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями
*

AlekVolsk

  • Гуру
  • 6406
  • 361 / 4
IP может быть постоянно динамическим, это не вариант, а прямая htaccess-авторизация - лучше пока еще не придумали.
тут в первую очередь все решается грамотной настройкой сервера, в самой J все известные дыры с последним патчем закрыли, новых вроде нет пока.

ТС: не надо дублировать топики, уточняющие вопросы той же тематики вы можете задавать здесь.
*

flyingspook

  • Живу я здесь
  • 3588
  • 247 / 9
IP может быть постоянно динамическим, это не вариант, а прямая htaccess-авторизация - лучше пока еще не придумали.
тут в первую очередь все решается грамотной настройкой сервера, в самой J все известные дыры с последним патчем закрыли, новых вроде нет пока.
Правильно, на любом хосте в панели выставляется ограничение на папку, все просто до нельзя в наше время.
*

Igoritaly

  • Давно я тут
  • 619
  • 1 / 0
прямая htaccess-авторизация - лучше пока еще не придумали.
Можете по подробнее рассказать о прямой htaccess-авторизации?
И чем она отличается от варианта предложенного vipiusss-ом? Ведь в том случае, также идет работа с файлом htaccess.
*

flyingspook

  • Живу я здесь
  • 3588
  • 247 / 9
Это она и есть та что в примере. Настраивать можно практически из любой панели на хостинге на любые папки. Если сами не знаете то можете у ТП спросить.
*

vipiusss

  • Гуру
  • 5748
  • 343 / 10
  • Скайп: renor_
+1 Алеку, даже не видел ранее мануал этот.
Спойлер
[свернуть]
« Последнее редактирование: 11.11.2015, 10:12:35 от vipiusss »
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями
*

flyingspook

  • Живу я здесь
  • 3588
  • 247 / 9
Раньше и не было такой возможности и делали скриптами все  ^-^
После массовых взломов встроино это дело во все панели isp cpanel плеск и какие можно те что на хостах менеджер файлов предоставляет. Назвали почти все перевод по рус., это - ограничение доступа.
*

vipiusss

  • Гуру
  • 5748
  • 343 / 10
  • Скайп: renor_
Думаю нужно в FAQ добавить нужные 2 решения:ручками и правильный плагин(компонент)
Можно и 3-тие-скрипт.
Врятли новички знают, как обезопасить админку.
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями
*

voland

  • Легенда
  • 9870
  • 544 / 107
  • Эта строка съедает место на вашем мониторе
Зато хостеры знают и делают.
*

vipiusss

  • Гуру
  • 5748
  • 343 / 10
  • Скайп: renor_
Зато хостеры знают и делают.
Joomlaхостеры?
это кто так делает?рег ру неудачный?
или те, кто просто 1+1=2 ставят типа капчей?
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями
*

Igoritaly

  • Давно я тут
  • 619
  • 1 / 0
Великолепный топик получается. Столько новой и интересной, а главное полезной инфы.
Спасибо всем
http://www.webpress.uz/Alexandr/htaccess/Avtorizatsiya-s-pomoshchyu-htaccess

Перенесем обсуждение соседнего топика сюда.
Дыр нету, пароль сложный и ограничению доступа на папку средствами htaccess.
Весь набор безопасности

Буду знать, спасибо.
*

flyingspook

  • Живу я здесь
  • 3588
  • 247 / 9
Joomlaхостеры?
это кто так делает?рег ру неудачный?
или те, кто просто 1+1=2 ставят типа капчей?
Если у кого то одного что то не удалось, это относится сработаться, то это не означает что у остальных десятков тысяч там ни чего не работает. Это высказывание похоже на топик Joomla умирает.
*

vipiusss

  • Гуру
  • 5748
  • 343 / 10
  • Скайп: renor_
наверно не то ляпнул...
но в итоге от хостера ничего не зависит в этом плане.
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями
*

flyingspook

  • Живу я здесь
  • 3588
  • 247 / 9
но в итоге от хостера ничего не зависит в этом плане.
Вот тут на все 100% правда, хостер дает железо и ПО остальное все в руках пользователя.
*

Филипп Сорокин

  • Сорокин Band
  • 1865
  • 153 / 4
  • разработчик.москва
Также можно сделать переадресацию со скрытой страницы, например, "/secret" на страницу "/administrator". К самой папке "/administrator" закрыть прямой доступ без наличия cookie, которая ставится на странице "/secret". Такой вариант мне кажется наиболее интересным, хотя сам пользуюсь прямым запретом в .htaccess по IP. Сторонними плагинами я бы не стал пользоваться.
*

vipiusss

  • Гуру
  • 5748
  • 343 / 10
  • Скайп: renor_
Сторонними плагинами я бы не стал пользоваться.
И я об этом!Не стоит нагружать движок этим.
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями
*

Igoritaly

  • Давно я тут
  • 619
  • 1 / 0
я бы ручками лучше делал
htaccess-авторизация
Это она и есть та что в примере. Настраивать можно практически из любой панели на хостинге на любые папки. Если сами не знаете то можете у ТП спросить.

Народ вот тут еще один такой вопрос назрел. Предлагаемый вами вариант выполнить все своими руками через файл .htaccess, с хранением пароля в .htpassword кажется лучшим. Но есть ли там вариант изменение самого ключевого запроса administrator, как к примеру это можно реализовать посредством Jsecure.
Если нет, то получается потенциальный злоумышленник введет название-сайта.ру/администратор, увидит форму для ввода логина и пароля (пусть и отличную от Joomla) и таки поймет, что это Joomla.
*

voland

  • Легенда
  • 9870
  • 544 / 107
  • Эта строка съедает место на вашем мониторе
Э.. Филипп же только что это советовал!
*

vipiusss

  • Гуру
  • 5748
  • 343 / 10
  • Скайп: renor_
Если нет, то получается потенциальный злоумышленник введет название-сайта.ру/администратор, увидит форму для ввода логина и пароля (пусть и отличную от Joomla) и таки поймет, что это Joomla.
Это как он введёт? сразу как только ссылка на админку, нах пошлёт куда вы напишите.
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями
*

Филипп Сорокин

  • Сорокин Band
  • 1865
  • 153 / 4
  • разработчик.москва
Народ вот тут еще один такой вопрос назрел. Предлагаемый вами вариант выполнить все своими руками через файл .htaccess, с хранением пароля в .htpassword кажется лучшим. Но есть ли там вариант изменение самого ключевого запроса administrator, как к примеру это можно реализовать посредством Jsecure.
Если нет, то получается потенциальный злоумышленник введет название-сайта.ру/администратор, увидит форму для ввода логина и пароля (пусть и отличную от Joomla) и таки поймет, что это Joomla.

Опишу моё решение подробнее. Всё это можно выполнить средствами Apache, но может и не сработать, если ваш хостер использует Nginx в качестве фронт-энда и сконфигурировал его так, что настройки Apache игнорируются. А решение такое:

Код
RewriteEngine On
RewriteCond %{REQUEST_URI} ^/administrator
#придумайте что-нибудь уникальное
RewriteCond %{HTTP_COOKIE} !antihack
RewriteRule .? - [F]

#ваша секретная страничка
RewriteCond %{REQUEST_URI} ^/secret$
#измените site.ru на ваш домен
RewriteRule .? /administrator/ [CO=antihack:1:site.ru:0:/administrator,R,L]

Сессия длится до тех пор, пока вы не закроете окно браузера. Прямой доступ к каталогу "/administrator" закрыт.
*

voland

  • Легенда
  • 9870
  • 544 / 107
  • Эта строка съедает место на вашем мониторе
О, куку можно читать\ставить прямо через htaccess?
*

vipiusss

  • Гуру
  • 5748
  • 343 / 10
  • Скайп: renor_
да не гоните:
просто запретить или указать доступ по ИП админке.
Код
 Order deny,allow
 Deny from all
 Allow from 0.0.0.0
могу скрипт выложить.
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями
*

Филипп Сорокин

  • Сорокин Band
  • 1865
  • 153 / 4
  • разработчик.москва
О, куку можно читать\ставить прямо через htaccess?
Я об этом тоже не знал, пока не прочитал документацию :)
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Компонент онлайн диагностики

Автор sannikovanton

Ответов: 0
Просмотров: 123
Последний ответ 29.04.2018, 21:35:38
от sannikovanton
Компонент энциклопедии

Автор Rebarun

Ответов: 31
Просмотров: 673
Последний ответ 03.04.2018, 18:44:28
от beliyadm
Компонент для вопросов и ответов

Автор dimon7772

Ответов: 6
Просмотров: 728
Последний ответ 03.04.2018, 15:28:37
от Invictus
Компонент для страницы вопрос-ответ

Автор zahar_92

Ответов: 1
Просмотров: 227
Последний ответ 17.03.2018, 12:47:17
от ejik_off
Плагин / модуль / компонент – карточки товара на сайте

Автор pips

Ответов: 7
Просмотров: 226
Последний ответ 10.03.2018, 15:51:28
от pips