Подскажите компонент защиты админки

  • 89 Ответов
  • 2245 Просмотров

0 Пользователей и 1 Гость просматривают эту тему.

*

Igoritaly

Альтернативный Jsecure. Знаю только его. Но он мне не нравится, так как при переносе сайта с одного сервака на другой (например с локального на хостинг) всегда появляются какие-то ошибки.


*

vipiusss

  • ********
  • 5452
  • [+]327 / [-]10
  • JoomlaNet
я бы ручками лучше делал
начало в теме тут http://joomlaforum.ru/index.php?topic=272896.0
тут продолжение и неплохое решение http://joomlaforum.ru/index.php/topic,272393.msg1358465.html#msg1358465
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями

*

Igoritaly

я бы ручками лучше делал
начало в теме тут http://joomlaforum.ru/index.php?topic=272896.0
тут продолжение и неплохое решение http://joomlaforum.ru/index.php/topic,272393.msg1358465.html#msg1358465
Спасибо. А в чем преимущество ручного варианта над интеграцией плагина?

*

vipiusss

  • ********
  • 5452
  • [+]327 / [-]10
  • JoomlaNet
ну, тут всё индивидуально, имхо:просто в этом случае плюсы:нет запросов в БД и лишнего кода, лишнего расширения.
минусы-ручками делать.
///
я скриптом делаю у себя, свой написал, но тоже не совсем уверен, что это безопасно.
« Последнее редактирование: 11.11.2015, 11:32:03 от vipiusss »
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями

*

AlekVolsk

htaccess-авторизация

*

vipiusss

  • ********
  • 5452
  • [+]327 / [-]10
  • JoomlaNet
htaccess-авторизация
Алек, тогда проще запрет/разрешение по IP админу в том же файле.
Я образно ответил, исходя из разных входов с разных IP и девайсов.
Но думаю расширение для этого-не выход:нет контроля кода, фиг его знает, что это расширение принесёт:может ещё больше уязвимость или дырки в коде.
Повторюсь:лучше ручками!
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями

*

AlekVolsk

IP может быть постоянно динамическим, это не вариант, а прямая htaccess-авторизация - лучше пока еще не придумали.
тут в первую очередь все решается грамотной настройкой сервера, в самой J все известные дыры с последним патчем закрыли, новых вроде нет пока.

ТС: не надо дублировать топики, уточняющие вопросы той же тематики вы можете задавать здесь.

*

flyingspook

IP может быть постоянно динамическим, это не вариант, а прямая htaccess-авторизация - лучше пока еще не придумали.
тут в первую очередь все решается грамотной настройкой сервера, в самой J все известные дыры с последним патчем закрыли, новых вроде нет пока.
Правильно, на любом хосте в панели выставляется ограничение на папку, все просто до нельзя в наше время.

*

Igoritaly

прямая htaccess-авторизация - лучше пока еще не придумали.
Можете по подробнее рассказать о прямой htaccess-авторизации?
И чем она отличается от варианта предложенного vipiusss-ом? Ведь в том случае, также идет работа с файлом htaccess.


*

flyingspook

Это она и есть та что в примере. Настраивать можно практически из любой панели на хостинге на любые папки. Если сами не знаете то можете у ТП спросить.

*

vipiusss

  • ********
  • 5452
  • [+]327 / [-]10
  • JoomlaNet
+1 Алеку, даже не видел ранее мануал этот.
Спойлер
[свернуть]
« Последнее редактирование: 11.11.2015, 12:12:35 от vipiusss »
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями

*

flyingspook

Раньше и не было такой возможности и делали скриптами все  ^-^
После массовых взломов встроино это дело во все панели isp cpanel плеск и какие можно те что на хостах менеджер файлов предоставляет. Назвали почти все перевод по рус., это - ограничение доступа.

*

vipiusss

  • ********
  • 5452
  • [+]327 / [-]10
  • JoomlaNet
Думаю нужно в FAQ добавить нужные 2 решения:ручками и правильный плагин(компонент)
Можно и 3-тие-скрипт.
Врятли новички знают, как обезопасить админку.
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями

*

voland

  • ********
  • 9335
  • [+]520 / [-]101
  • СКАЙП утерян! Пишите в телеграм @volandku
Зато хостеры знают и делают.

*

vipiusss

  • ********
  • 5452
  • [+]327 / [-]10
  • JoomlaNet
Зато хостеры знают и делают.
Joomlaхостеры?
это кто так делает?рег ру неудачный?
или те, кто просто 1+1=2 ставят типа капчей?
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями

*

Igoritaly

Великолепный топик получается. Столько новой и интересной, а главное полезной инфы.
Спасибо всем
http://www.webpress.uz/Alexandr/htaccess/Avtorizatsiya-s-pomoshchyu-htaccess

Перенесем обсуждение соседнего топика сюда.
Дыр нету, пароль сложный и ограничению доступа на папку средствами htaccess.
Весь набор безопасности

Буду знать, спасибо.

*

flyingspook

Joomlaхостеры?
это кто так делает?рег ру неудачный?
или те, кто просто 1+1=2 ставят типа капчей?
Если у кого то одного что то не удалось, это относится сработаться, то это не означает что у остальных десятков тысяч там ни чего не работает. Это высказывание похоже на топик Joomla умирает.

*

vipiusss

  • ********
  • 5452
  • [+]327 / [-]10
  • JoomlaNet
наверно не то ляпнул...
но в итоге от хостера ничего не зависит в этом плане.
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями

*

flyingspook

но в итоге от хостера ничего не зависит в этом плане.
Вот тут на все 100% правда, хостер дает железо и ПО остальное все в руках пользователя.

Также можно сделать переадресацию со скрытой страницы, например, "/secret" на страницу "/administrator". К самой папке "/administrator" закрыть прямой доступ без наличия cookie, которая ставится на странице "/secret". Такой вариант мне кажется наиболее интересным, хотя сам пользуюсь прямым запретом в .htaccess по IP. Сторонними плагинами я бы не стал пользоваться.
Ставь лайк, если согласен, и делай репост!

  => мои публикации
    => мои работы
      => спектр моих услуг

*

vipiusss

  • ********
  • 5452
  • [+]327 / [-]10
  • JoomlaNet
Сторонними плагинами я бы не стал пользоваться.
И я об этом!Не стоит нагружать движок этим.
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями

*

Igoritaly

я бы ручками лучше делал
htaccess-авторизация
Это она и есть та что в примере. Настраивать можно практически из любой панели на хостинге на любые папки. Если сами не знаете то можете у ТП спросить.

Народ вот тут еще один такой вопрос назрел. Предлагаемый вами вариант выполнить все своими руками через файл .htaccess, с хранением пароля в .htpassword кажется лучшим. Но есть ли там вариант изменение самого ключевого запроса administrator, как к примеру это можно реализовать посредством Jsecure.
Если нет, то получается потенциальный злоумышленник введет название-сайта.ру/администратор, увидит форму для ввода логина и пароля (пусть и отличную от Joomla) и таки поймет, что это Joomla.

*

voland

  • ********
  • 9335
  • [+]520 / [-]101
  • СКАЙП утерян! Пишите в телеграм @volandku
Э.. Филипп же только что это советовал!

*

vipiusss

  • ********
  • 5452
  • [+]327 / [-]10
  • JoomlaNet
Если нет, то получается потенциальный злоумышленник введет название-сайта.ру/администратор, увидит форму для ввода логина и пароля (пусть и отличную от Joomla) и таки поймет, что это Joomla.
Это как он введёт? сразу как только ссылка на админку, нах пошлёт куда вы напишите.
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями

Народ вот тут еще один такой вопрос назрел. Предлагаемый вами вариант выполнить все своими руками через файл .htaccess, с хранением пароля в .htpassword кажется лучшим. Но есть ли там вариант изменение самого ключевого запроса administrator, как к примеру это можно реализовать посредством Jsecure.
Если нет, то получается потенциальный злоумышленник введет название-сайта.ру/администратор, увидит форму для ввода логина и пароля (пусть и отличную от Joomla) и таки поймет, что это Joomla.

Опишу моё решение подробнее. Всё это можно выполнить средствами Apache, но может и не сработать, если ваш хостер использует Nginx в качестве фронт-энда и сконфигурировал его так, что настройки Apache игнорируются. А решение такое:

Код
RewriteEngine On
RewriteCond %{REQUEST_URI} ^/administrator
#придумайте что-нибудь уникальное
RewriteCond %{HTTP_COOKIE} !antihack
RewriteRule .? - [F]

#ваша секретная страничка
RewriteCond %{REQUEST_URI} ^/secret$
#измените site.ru на ваш домен
RewriteRule .? /administrator/ [CO=antihack:1:site.ru:0:/administrator,R,L]

Сессия длится до тех пор, пока вы не закроете окно браузера. Прямой доступ к каталогу "/administrator" закрыт.
Ставь лайк, если согласен, и делай репост!

  => мои публикации
    => мои работы
      => спектр моих услуг

*

voland

  • ********
  • 9335
  • [+]520 / [-]101
  • СКАЙП утерян! Пишите в телеграм @volandku
О, куку можно читать\ставить прямо через htaccess?

*

vipiusss

  • ********
  • 5452
  • [+]327 / [-]10
  • JoomlaNet
да не гоните:
просто запретить или указать доступ по ИП админке.
Код
 Order deny,allow
 Deny from all
 Allow from 0.0.0.0
могу скрипт выложить.
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями

О, куку можно читать\ставить прямо через htaccess?
Я об этом тоже не знал, пока не прочитал документацию :)
Ставь лайк, если согласен, и делай репост!

  => мои публикации
    => мои работы
      => спектр моих услуг