jSecure Authentication 3. Захист адмінки Joomla

Наша взаимовыгодная связь https://banwar.org/

У попередній статті « Огляд jSecure Authentication. Захист адмінки Joomla »Була розглянута версія jSecure Authentication 2.1.8 на базі Joomla 1.5.23. З тих пір (30.07.2011) змінилося дуже багато чого. В даному огляді бере участь остання на момент написання статті (28.01.2013) стабільна версія jSecure Authentication 3.0 (російська мова для jSecure Authentication можна скачати на сторінці « Русифікатор jSecure Authentication ») На прикладі роботи з Joomla 3.0.2. До основних можливостей jSecure Joomla слід віднести наступні:

• Підтримка Joomla 1.5 - 3.0.
• Зручний і зрозумілий інтерфейс.
• Автоматична перевірка наявності нових версій jSecure Joomla на сайті розробника в інтерфейсі самого компонента.
• Захист адмінки Joomla шляхом зміни стандартного адреси «http://aleksius.com/administrator» на «унікальний», наприклад на «http://aleksius.com/administrator/?alEksius1Com».
• Захист адмінки Joomla шляхом додавання форми введення додаткового пароля перед введенням основного пароля при вході в адміністративну зону сайту.
• Перенаправлення користувачів засобами jSecure Joomla на стартову або будь-яку задану сторінку сайту при введенні неправильного «ключа» доступу до адміністративної частини сайту.
• Захист адмінки Joomla шляхом блокування IP адреси або діапазону IP адрес.
• Захист параметрів jSecure Joomla 2.5 - 3.0 паролем.
• Заборона одночасного входу одного і того ж користувача з різних браузерів.
• Захист адмінки сайту за допомогою файлів .htaccess і .htpasswd.
• Перегляд «небезпечних» дозволів на файли і папки засобами jSecure Joomla 2.5 - 3.0.
• Відправлення повідомлень на поштову адресу (адреси) про спроби входу в адміністративну частину сайту (вдалих і не вдалих) і про зміни налаштувань самого jSecure Joomla 2.5 - 3.0.
• Журнал роботи входів на сайт і зміни налаштувань компонента jSecure Authentication Joomla.
• Управління мета тегами Joomla.
• Можливість завершення сеансів всі перелічені на сайт користувачів одним натисканням кнопки.
• Наочна довідка.

У циклі статей « захист Joomla »Були розглянуті різні способи підвищення захисту сайту від злому і несанкціонованого доступу. Захист адмінки Joomla - це один з контурів захисту сайту в цілому. Також це допоможе в приховуванні слідів того, що сайт зроблений саме на Joomla. Детальніше про це можна прочитати в статті « Захист Joomla (частина 9) ».

Зовсім недавно jSecure Authentication Joomla 2.5 - 3.0 (і для інших версій Joomla) стало доступним по 3 тарифами.

1. 81 грн. (298 руб.) (На 28.01.2013). Оновлення до нових версій програми і технічна підтримка протягом 90 днів. Вартість одного місяця приблизно 27 грн. (100 руб.)
2. 146 грн. (537 руб.) (На 28.01.2013). Оновлення до нових версій програми і технічна підтримка протягом 180 днів. Вартість одного місяця приблизно 24 грн. (90 руб.)
3. 211 грн. (776 руб.) (На 28.01.2013). Оновлення до нових версій програми і технічна підтримка протягом 365 днів. Вартість одного місяця приблизно 18 грн. (65 руб.).

Купуючи jSecure Joomla на той чи інший період Ви отримуєте доступ до існуючої версії компонента і до всіх версій, які вийдуть протягом всього терміну активності Вашої підписки. На цей же період Ви отримуєте право скористатися технічною підтримкою розробників компонента. Після закінчення підписки Ви не зможете отримувати технічну підтримку і не можете завантажувати нові версії програми. Але встановлена ​​на Вашому сайті версія jSecure Joomla буде працювати не обмежений термін часу. І це не буде порушенням ліцензії.

Як видно з простих математичних розрахунків, наведених вище, покупка підписки на рік (365 днів), в результаті вигідніше, ніж покупка підписки на 3 місяці (180 днів). Ви економите приблизно понад 33% на вартості 1 місяця (30 днів). Але варто враховувати також ще один факт. Якщо Ви створили сайт, наприклад, на Joomla 1.5-3.0 (на поточний момент (28.01.2013) jSecure Joomla підтримує якраз ці версії 1.5-3.0), не збираєтеся переходити на Joomla 3.5, яка за деякими даними може вийти в кінці 2013 року , то можна купити ліцензію на 3 місяці (180 днів). А якщо збираєтеся переходити на нові версії або використовувати jSecure Authentication і далі, то вигідніше річна передплата (365 днів).

Зверніть увагу на те, що розробники рекомендують видалити jSecure Authentication 2 перед установкою jSecure Authentication 3.

У головному вікні (малюнок нижче) доступні всі інструменти jSecure.

Крім цього в правій його частині Ви можете бачити інформацію про поточну версію компонента і про нову, а також примусово запустити перевірку наявності нової версії компонента або перейти на форум технічної підтримки.

базові настройки

У розділі Базові настройки (малюнок нижче) доступні такі опції jSecure Authentication.

• Включити. Включає захист адмінки Joomla.
• Тип захисту. Доступно два типи захисту адмінки Joomla. URL і Форма. При виборі типу URL Ви зможете ввести спеціальний ключ (в поле Ключ), який потрібно буде вводити після стандартного адреси адмінки Joomla. Якщо, наприклад, ключ alEksius1Com а адреса сайту http://aleksius.com, то новий шлях до адміністративної частини буде виглядати так http://aleksius.com/administrator/?alEksius1Com. Якщо Ви вибрали тип Форма, то стандартний адреса не буде замінений, але користувач побачить наступне повідомлення (рисунок нижче) на білому тлі. Після введення ключа, він потрапить на стандартну сторінку авторизації Joomla. Зазначу, що вводиться в це поле ключ не замінюється символами ***, а видно кожному, хто стоїть поруч з монітором. Також тип захисту Форма, на мій погляд, гірше, ніж URL. Так як URL «змінює» безпосередньо адреса адмінки.

• Ключ. Секретне слово, яке необхідно вводити в поле авторизації при типі захисту Форма, або в кінці адреси адміністративної частини сайту (після знака «?» (Без лапок)) при типі захисту URL. Зверніть увагу на наступні правила. Ключ не повинен складатися тільки з цифр, ключ регістра залежний ( «alEksius1Com» і «alеksius1сom» це різні ключі), ключ не повинен містити спеціальних символів (наприклад, (,;,! І так далі), прогалин і букв не англійського алфавіту. рекомендую використовувати не логічне вираз, що складається з букв різного регістра і цифр. Завдовжки близько 6-8 символів.
• Налаштування перенаправлення. jSecure Authentication дозволяє перенаправити користувача, який спробував дістати несанкціонований доступ до адмінки Joomla (не вірно ввів ключ), як на головну сторінку, так і на задану Вами (малюнок нижче).

jSecure Joomla за допомогою перенаправлення на вказану статтю може дати Вам деяку статистику з цього питання. Наприклад, можна створити сторінку конкретно для перенаправлення і ніде не вказувати на неї посилання. А потім, наприклад, за допомогою Google Analytics або Яндекс Метрика отримувати статистичні дані про «відвідуваності» цієї сторінки. Думаю, краще перенаправлення на головну сторінку. Так як у деяких CMS є можливість при введенні користувачем неіснуючого адреси перенаправляти його на головну сторінку. Це може трохи заплутати зловмисника.

Аварійне відключення захисту jSecure Authentication

Що робити, якщо Ви встановили jSecure Joomla, чи не вводили ключ, але вийшли з адміністративної зони і тепер не можете увійти? Спершу, спробуйте використовувати в якості ключа слово «jSecure» (без лапок з урахуванням регістру). Тобто, якщо адреса сайту «http://aleksius.com», то доступ до адмінки Joomla можна спробувати отримати за адресою «http://aleksius.com/administrator/?jSecure». Якщо не вийшло, то встановіть з'єднання з FTP свого сайту, перейдіть в папку \ administrator \ components \ com_jsecure і в файлі «params.php» знайдіть рядок:

public $ publish = '1';

і замініть на:

public $ publish = '0';

Після цього можна увійти в адмінку Joomla без використання ключа jSecure Authentication. У базових налаштуваннях можна буде ввести потрібний ключ і активувати компонент.

Способи відключення інших контурів захисту jSecure Authentication описані нижче по ходу розгляду кожного інструменту.

Ще один спосіб. Якщо не вийшло, то встановіть з'єднання з FTP свого сайту, перейдіть в папку plugins \ system, в ній перейменуйте папку «jsecure», наприклад, на «jsecure1». Після цього можна увійти в адмінку Joomla без використання ключа jSecure Authentication. У базових налаштуваннях можна буде ввести потрібний ключ, а потім перейменувати назад папку в «jsecure».

Спостерігав кілька разів проблему із запам'ятовуванням паролів в браузерах (на прикладі Mozilla Firefox). Якщо Ви включили запам'ятовування паролів і в браузері зберігається пароль до Вашої адмінки Joomla, то при переході на сторінку Базові настройки jSecure Authentication браузер може підставити Ваш пароль адміністратора сайту в поле Ключ. Якщо Ви збережете якісь зміни в компоненті, то «автоматично» може помінятися Ваш ключ.

IP

Ви можете обмежити доступ до адміністративної частини сайту користувачів тільки з певного (певних) IP адреси (адрес). Це можна зробити на вкладці IP (нижче).

Захист адмінки Joomla будується на використанні дозволених ( «білих») і заблокованих ( «чорних») IP адрес. Це відноситься тільки до адміністративної частини сайту. Наприклад, якщо Ви введете в «білий» список один IP адреса, то админка буде доступна тільки з цього IP адреси. Якщо Ви введете кілька IP адрес в «чорний» список, то админка не буде доступна з цих адрес. Можна використовувати маску при створенні діапазонів IP адрес. Наприклад, 192.168.0. *. Чи означає, що будуть заблоковані (або дозволені) все IP адреси в діапазоні від 192.168.0.1 до 192.168.0.255. Не варто вказувати діапазон типу «*. *. *. *».

Майстер-пароль

Якщо до адміністративної частини сайту крім Вас хтось ще маєте доступ, то можна задати пароль на доступ до однієї, всіх або декількох функцій програми. Для цього призначена вкладка Майстер пароль (малюнок нижче).

jSecure Joomla 2.5 - 3.0 дозволяє задати пароль для доступу до таких розділів компонента як:

• Базова конфігурація.
• Захист адміністративної частини паролем.
• Пошта.
• IP.
• Головна пошта.
• Журнал.
• Показати журнал.
• Список директорій.
• Зміна ID супер адміністратора.
• Контроль входу.
• Контроль мета даних.
• Розрив сесії.

Можна заборонити доступ до всього або до чогось конкретно. При неавторизованих спробі доступу до функціональних можливостей розширення, які закриті за допомогою майстер-пароля, користувач отримає наступне повідомлення (рисунок нижче).

Для jSecure Authentication Joomla рекомендую використовувати наступні правила при складанні майстер-пароля: застосовуйте малі літери англійського алфавіту і цифри, не застосовуйте пробіли та спеціальні символи, наприклад,:? * ( «№% і так далі), довжина пароля 4-8 знаків.

Якщо Ви забули майстер-пароль або не можете отримати доступ до jSecure, то можете скористатися способом отримання доступу шляхом, описаному вище в розділі « Аварійне відключення захисту jSecure Authentication ». Тільки шукайте рядок:

public $ enableMasterPassword = '1';

і замініть її на:

public $ enableMasterPassword = '0';

контроль входу

Якщо Ви хочете, щоб одночасно користувач міг входити на сайт (поширюється на адміністративну і фронтальну частини сайту) тільки з одного браузера, то jSecure Authentication Joomla 2.5 - 3.0 дозволяє і таке інше.

Зверніть увагу, що в разі некоректного завершення сеансу, наприклад, закриття вікна браузера без завершення сесії користувача, для повторного входу на сайт доведеться чекати час, який зазначено в глобальних налаштуваннях Joomla на вкладці Система, параметр Час кешування (малюнок нижче). За замовчуванням 15 хвилин.

Якщо Ви не можете зайти (і не хочете чекати), то можна скористатися одним з варіантів відключення захисту, описаним вище в розділі « Аварійне відключення захисту jSecure Authentication ». Тільки шукайте рядок:

public $ include_purgesessions = '1';

і замініть її на:

public $ include_purgesessions = '0';

Захист адмінки сайту паролем за допомогою .htaccess і .htpasswd

Захист адмінки сайту паролем за допомогою .htaccess і .htpasswd буде працювати тільки на веб-сервері Apache. Це ще один контур захисту адмінки Joomla. Його можна реалізувати і без jSecure Authentication. Компонент просто надає більш зручний спосіб (рисунок нижче).

На малюнку вище показаний приклад з використанням небезпечного логіна і пароля. Ні в якому разі не повторюйте його. Рекомендую використовувати безпечні паролі. Як їх складати, описано в статті « безпечний пароль ». Після застосування настройки перед тим, як перейти на сторінку авторизації в адмінці Jooma, користувачеві буде запропоновано ввести пароль (на прикладі браузера Google Chrome 24.0.1312.56 m) (малюнок нижче)

Якщо пароль (і \ або ім'я користувача) невірний, то користувач отримає наступне повідомлення: «Authorization Required. This server could not verify that you are authorized to access the document requested. Either you supplied the wrong credentials (eg, bad password), or your browser does not understand how to supply the credentials required. »

Зверніть увагу на те, що навіть якщо Ви використовуєте секретне слово для додавання його в закінченні посилання на адміністративну зону, то при використанні захисту адмінки Joomla паролем за допомогою .htaccess і .htpasswd це не буде працювати. Повернеться стандартна адреса. Без секретного слова.

Якщо Ви не можете зайти, то спробуйте скористатися одним з варіантів відключення захисту, описаним вище в розділі « Аварійне відключення захисту jSecure Authentication ». Тільки шукайте рядок:

public $ adminpasswordpro ​​= '1';

і замініть її на:

public $ adminpasswordpro ​​= '0';

список директорій

Список директорій (малюнок нижче) містить таблицю, що складається з 4-х стовпців.

1. File. Файл або папки (директорії) Вашого сайту.
2. Size. Розмір файлу.
3. Last Modified. Дата внесення останніх змін і \ або директорії. Може допомогти при виявленні слідів злому сайту. Детальніше про це можна прочитати в статті « Захист Joomla (частина 7). Перевірка сайту на віруси ».
4. Permissions. Права доступу до файлів і тек. Рекомендується, для підвищення безпеки всіх файлів задати права 644, папок 555 (крім папок з кешем і папок, куди постійно необхідно завантажувати файли). На файли, що знаходяться в корені сайту рекомендовано задати права 444. Детальніше про це можна прочитати в статті « Захист Joomla (частина 4). Створення резервних копій сайту ».

Ви зможете сортувати об'єкти за допомогою одного з стовпців (за зростанням або спаданням), а над таблицею знаходиться панель (у вигляді хлібних крихт), яка показує Ваше поточне положення в ієрархії папок, починаючи від кореневого каталогу сайту.

листи

Ви можете налаштувати jSecureAuthenticationJoomla на відправку листів в разі доступу і \ або спроби доступу до адмінки сайту. Для цього призначена вкладка Письма (малюнок нижче)

• Відправляти пошту. Включає \ відключає відправку повідомлень.
• Відправляти інформацію в листах. Доступно 3 параметра.

1. Правильний ключ. Лист буде відправлено в тому випадку, якщо користувач отримав доступ до адміністративної частини сайту з правильним ключем.
2. Неправильний ключ. Лист буде відправлено в тому випадку, якщо користувач намагався отримати доступ до адміністративної частини сайту з неправильним ключем.
3. Оба. Лист буде відправлено в будь-якому випадку.

• E-mail. Адреса або адреси електронної пошти, на які будуть відправлені повідомлення. При вказівці декількох адрес їх потрібно розділяти комою.
• Тема листа. Слово або фраза, яка буде показана в якості теми листа.

У самому повідомленні буде вказано IP- адреса, з якого була здійснена спроба входу (вдала або невдала в залежності від налаштувань jSecureJoomla).

Головна пошта

jSecureAuthenticationJoomla 2.5 - 3.0 дозволяє відправляти повідомлення на вказану адресу (адреси) електронної пошти тоді, коли хтось змінює настройки компонента. Для цього призначена вкладка Головна пошта (малюнок нижче).

• Н астройкі відправки листів. Включає \ відключає відправку повідомлень.
• Тема листів про налаштування. Слово або фраза, яка буде показана в якості теми листа.
• E-mail адрес настройки. Адреса або адреси електронної пошти, на які будуть відправлені повідомлення. При вказівці декількох адрес їх потрібно розділяти комою.

У самому повідомленні будуть вказані налаштування, які були змінені і їх нові значення.

Журнал

jSecure дозволяє вести журнал подій. На вкладці Журнал (малюнок нижче) Ви зможете задати період його зберігання в базі даних (1-5 місяців або завжди). Не рекомендую зберігати журнал вічно. Це може викликати збільшення бази даних сайту.

Показати журнал

На вкладці Показати журнал (малюнок нижче) Ви можете переглянути сам журнал подій, який представлений у вигляді таблиці з шести стовпців.

1. Num. Порядковий номер події в журналі.
2. IP. IP-адреса користувача, який вчинив ту чи іншу дію.
3. User Name. Ім'я зареєстрованого в системі користувача, який вчинив ту чи іншу дію. Якщо він не зареєстрований, то комірка порожня.
4. Code. Опис події. Наприклад, «Налаштування jSecure змінені».
5. Журнал. Детальний опис події. Наприклад, «Включити майстер пароль = NO» - відключення майстер-пароля jSecure.
6. Date. Дата і час події.

Над таблицею розташований фільтр, який дозволяє фільтрувати події по IP адресою користувача. Натиснувши на IP адресу в таблиці можна отримати про нього коротку інформацію.

Управління мета тегами

jSecure Authentication 3 дозволяє управляти основними мета тегами Joomla (малюнок нижче).

Це ставитися до таких тегам як «generator», «keywords», «description», «rights». Задані значення цих полів на вкладці Керування мета тегами (малюнок вище) відобразяться в коді сторінок сайту.

<Meta name = "keywords" content = "aleksius.com" /> <meta name = "rights" content = "aleksius.com" /> <meta name = "description" content = "aleksius.com" /> <meta name = "generator" content = "aleksius.com" />

завершити сесії

На головній сторінці jSecure є посилання «Завершити сесії» (малюнок нижче).

При натисканні на неї для всіх користувачів окрім Вас буде завершений сеанс. Якщо вони увійшли на сайт як зареєстровані користувачі, то їм доведеться зробити це ще раз.

Довідка

На сторінці Довідка (малюнок нижче) Ви можете отримати інформацію (англійською мовою) про роботу тих чи інших налаштувань програми.

Русифікатор jSecure Authentication Joomla 2.5 - 3.0

завантажити русифікатор jSecureAuthentication .

За минули рік в jSecure Authentication 3 з'явилося много Нових можливий относительно захисту адмінкі Joomla (і не тільки) від несанкціонованого доступу. Розробники подбали не тільки про функціональність розширення, але і про зручність його використання і про поліпшення якості технічної підтримки. Вважаю, що даний компонент буде хорошим доповненням до загальної захист сайту Joomla від злому . У статті " Огляд jSecure Lite. Захист адмінки Joomla »Ми розглянемо безкоштовну версію даного компонента.

Схожі матеріали

Корисні посилання: