Обзоры расширений Joomla

  • Тип – платный компонент защиты админки Joomla 1.5 – 3.0.

 

 

В предыдущей статье «Обзор jSecure Authentication. Защита админки Joomla» была рассмотрена версия jSecure Authentication 2.1.8 на базе Joomla 1.5.23. С тех пор (30.07.2011) изменилось достаточно многое. В данном обзоре участвует последняя на момент написания статьи (28.01.2013) стабильная версия jSecure Authentication 3.0 (русский язык для jSecure Authentication можно скачать на странице «Русификатор jSecure Authentication») на примере работы с Joomla 3.0.2. К основным возможностям jSecure Joomla следует отнести следующие:

  • Поддержка Joomla 1.5 – 3.0.
  • Удобный и понятный интерфейс.
  • Автоматическая проверка наличия новых версий jSecure Joomla на сайте разработчика в интерфейсе самого компонента.
  • Защита админки Joomla путём смены стандартного адреса «http://aleksius.com/administrator» на «уникальный», например на «http://aleksius.com/administrator/?alEksius1Com».
  • Защита админки Joomla путём добавления формы ввода дополнительного пароля перед вводом основного пароля при входе в административную зону сайта.
  • Перенаправление пользователей средствами jSecure Joomla на стартовую или любую заданную страницу сайта при вводе неправильного «ключа» доступа к административной части сайта.
  • Защита админки Joomla путём блокировки IP адреса или диапазона IP адресов.
  • Защита параметров jSecure Joomla 2.5 – 3.0 паролем.
  • Запрет одновременного входа одного и того же пользователя с разных браузеров.
  • Защита админки сайта при помощи файлов .htaccess и .htpasswd.
  • Просмотр «небезопасных» разрешений на файлы и папки средствами jSecure Joomla 2.5 – 3.0.
  • Отправка уведомлений на почтовый адрес (адреса) о попытках входа в административную часть сайта (удачных и не удачных) и об изменениях настроек самого jSecure Joomla 2.5 – 3.0.
  • Журналирование входов на сайт и изменения настроек компонента jSecure Authentication Joomla.
  • Управление мета тегами Joomla.
  • Возможность завершения сеансов всех вошедших на сайт пользователей одним нажатием кнопки.
  • Наглядная справка.

В цикле статей «Защита Joomla» были рассмотрены различные способы повышения защиты сайта от взлома и несанкционированного доступа. Защита админки Joomla - это один из контуров защиты сайта в целом. Также это поможет в сокрытии следов того, что сайт сделан именно на Joomla. Детальнее об этом можно прочесть в статье «Защита Joomla (часть 9)».

Совсем недавно jSecure Authentication Joomla 2.5 – 3.0 (и для других версий Joomla) стало доступным по 3 тарифам.

  1. 81 грн. (298 руб.) (на 28.01.2013). Обновление до новых версий программы и техническая поддержка в течение 90 дней. Стоимость одного месяца примерно 27 грн. (100 руб.)
  2. 146 грн. (537 руб.) (на 28.01.2013). Обновление до новых версий программы и техническая поддержка в течение 180 дней. Стоимость одного месяца примерно 24 грн. (90 руб.)
  3. 211 грн. (776 руб.) (на 28.01.2013). Обновление до новых версий программы и техническая поддержка в течение 365 дней. Стоимость одного месяца примерно 18 грн. (65 руб.).

Приобретая jSecure Joomla на тот или иной период Вы получаете доступ к существующей версии компонента и ко всем версиям, которые выйдут в течение всего срока активности Вашей подписки. На этот же период Вы получаете право воспользоваться технической поддержкой разработчиков компонента. По истечении подписки Вы не сможете получать техническую поддержку и не можете загружать новые версии программы. Но установленная на Вашем сайте версия jSecure Joomla будет работать не ограниченный срок времени. И это не будет нарушением лицензии.

Как видно из простых математических расчётов, приведённых выше, покупка подписки на год (365 дней), в итоге выгоднее, чем покупка подписки на 3 месяца (180 дней). Вы экономите примерно более 33% на стоимости 1 месяца (30 дней). Но стоит учитывать также ещё один факт. Если Вы создали сайт, например, на Joomla 1.5-3.0 (на текущий момент (28.01.2013) jSecure Joomla поддерживает как раз эти версии 1.5-3.0), не собираетесь переходить на Joomla 3.5, которая по некоторым данным может выйти в конце 2013 года, то можно купить лицензию на 3 месяца (180 дней). А если собираетесь переходить на новые версии или использовать jSecure Authentication и далее, то выгоднее годовая подписка (365 дней).

Обратите внимание на то, что разработчики рекомендуют удалить jSecure Authentication 2 перед установкой jSecure Authentication 3.

В главном окне (рисунок ниже) доступны все инструменты jSecure.

jSecure

Помимо этого в правой его части Вы можете видеть информацию о текущей версии компонента и о новой, а также принудительно запустить проверку наличия новой версии компонента или перейти на форум технической поддержки.

Базовые настройки

В разделе Базовые настройки (рисунок ниже) доступны следующие опции jSecure Authentication.

jSecure Authentication

  • Включить. Включает защиту админки Joomla.
  • Тип защиты. Доступно два типа защиты админки Joomla. URL и Форма. При выборе типа URL Вы сможете ввести специальный ключ (в поле Ключ), который нужно будет вводить после стандартного адреса админки Joomla. Если, например, ключ alEksius1Com а адрес сайта http://aleksius.com, то новый путь к административной части будет выглядеть так http://aleksius.com/administrator/?alEksius1Com. Если Вы выбрали тип Форма, то стандартный адрес не будет заменён, но пользователь увидит следующее сообщение (рисунок ниже) на белом фоне. После ввода ключа, он попадёт на стандартную страницу авторизации Joomla. Отмечу, что вводимый в это поле ключ не заменяется символами ***, а виден любому, кто стоит рядом с монитором. Также тип защиты Форма, на мой взгляд, хуже, чем URL. Так как URL «меняет» непосредственно адрес админки.

Форма входа

  • Ключ. Секретное слово, которое необходимо вводить в поле авторизации при типе защиты Форма, или в конце адреса административной части сайта (после знака «?» (без кавычек)) при типе защиты URL. Обратите внимание на следующие правила. Ключ не должен состоять только из цифр, ключ регистра зависимый («alEksius1Com» и «alеksius1сom» это разные ключи), ключ не должен содержать специальных символов (например, (,;,! и так далее), пробелов и букв не английского алфавита. Рекомендую использовать не логическое выражение, состоящее из букв разного регистра и цифр. Длиной около 6-8 символов.
  • Настройки перенаправления. jSecure Authentication позволяет перенаправить пользователя, который попытался получить несанкционированный доступ к админке Joomla (не верно ввёл ключ), как на главную страницу, так и на заданную Вами (рисунок ниже).

jSecure Joomla

jSecure Joomla при помощи перенаправления на указанную страницу может дать Вам некоторую статистику по этому вопросу. Например, можно создать страницу конкретно для перенаправления и нигде не указывать на неё ссылку. А затем, например, при помощи Google Analytics или Яндекс Метрика получать статистические данные о «посещаемости» этой страницы. Думаю, предпочтительнее перенаправление на главную страницу. Так как у некоторых CMS есть возможность при вводе пользователем несуществующего адреса перенаправлять его на главную страницу. Это может немного запутать злоумышленника.

Аварийное отключение защиты jSecure Authentication

Что делать, если Вы установили jSecure Joomla, не вводили ключ, но вышли из административной зоны и теперь не можете войти? Сперва, попробуйте использовать в качестве ключа слово «jSecure» (без кавычек с учётом регистра). То есть, если адрес сайта «http://aleksius.com», то доступ к админке Joomla можно попробовать получить по адресу «http://aleksius.com/administrator/?jSecure». Если не получилось, то подключитесь к FTP своего сайта, перейдите в папку \administrator\components\com_jsecure и в файле «params.php» найдите строку

public $publish = '1';

и замените на:

public $publish = '0';

После этого можно войти в админку Joomla без использования ключа jSecure Authentication. В базовых настройках можно будет ввести нужный ключ и активировать компонент.

Способы отключения других контуров защиты jSecure Authentication описаны ниже по ходу рассмотрения каждого инструмента.

Ещё один способ. Если не получилось, то подключитесь к FTP своего сайта, перейдите в папку plugins\system, в ней переименуйте папку «jsecure», например, на «jsecure1». После этого можно войти в админку Joomla без использования ключа jSecure Authentication. В базовых настройках можно будет ввести нужный ключ, а затем переименовать обратно папку в «jsecure».

Наблюдал несколько раз проблему с запоминанием паролей в браузерах (на примере Mozilla Firefox). Если Вы включили запоминание паролей и в браузере хранится пароль к Вашей админке Joomla, то при переходе на страницу Базовые настройки jSecure Authentication браузер может подставить Ваш пароль администратора сайта в поле Ключ. Если Вы сохраните какие-то изменения в компоненте, то «автоматически» может поменяться Ваш ключ.

IP

Вы можете ограничить доступ к административной части сайта пользователей только с определённого (определённых) IP адреса (адресов). Это можно сделать на вкладке IP (ниже).

Защита админки Joomla

Защита админки Joomla строится на использовании разрешенных («белых») и заблокированных («чёрных») IP адресов. Это относится только к административной части сайта. Например, если Вы введёте в «белый» список один IP адрес, то админка будет доступна только с этого IP адреса. Если Вы введёте несколько IP адресов в «чёрный» список, то админка не будет доступна с этих адресов. Можно использовать маску при создании диапазонов IP адресов. Например, 192.168.0.*. Означает, что будут заблокированы (или разрешены) все IP адреса в диапазоне от 192.168.0.1 до 192.168.0.255. Не стоит указывать диапазон типа «*.*.*.*».

Мастер-пароль

Если к административной части сайта кроме Вас кто-то ещё имеете доступ, то можно задать пароль на доступ к одной, всем или нескольким функциям программы. Для этого предназначена вкладка Мастер пароль (рисунок ниже).

jSecure Joomla 2.5 – 3.0

jSecure Joomla 2.5 – 3.0 позволяет задать пароль для доступа к таким разделам компонента как:

  • Базовая конфигурация.
  • Защита административной части паролем.
  • Почта.
  • IP.
  • Главная почта.
  • Журнал.
  • Показать журнал.
  • Список директорий.
  • Смена ID супер администратора.
  • Контроль входа.
  • Контроль мета данных.
  • Разрыв сессии.

Можно запретить доступ ко всему или к чему-то конкретно. При неавторизированной попытке доступа к функциональным возможностям расширения, которые закрыты при помощи мастер-пароля, пользователь получит следующее сообщение (рисунок ниже).

jSecure Authentication Joomla

Для jSecure Authentication Joomla рекомендую использовать следующие правила при составлении мастер-пароля: применяйте строчные буквы английского алфавита и цифры, не применяйте пробелы и специальные символы, например, :?*(«№% и так далее), длина пароля 4-8 знаков.

Если Вы забыли мастер-пароль или не можете получить доступ к jSecure, то можете воспользоваться способом получения доступа путем, описанном выше в разделе «Аварийное отключение защиты jSecure Authentication». Только ищите строку:

public $enableMasterPassword = '1';

и замените её на:

public $enableMasterPassword = '0';

Контроль входа

Если Вы хотите, чтобы одновременно пользователь мог входить на сайт (распространяется на административную и фронтальную части сайта) только с одного браузера, то jSecure Authentication Joomla 2.5 – 3.0 позволяет и такое.

jSecure Authentication Joomla 2.5 – 3.0

Обратите внимание, что в случае некорректного завершения сеанса, например, закрытия окна браузера без завершения сессии пользователя, для повторного входа на сайт придётся ждать время, которое указано в глобальных настройках Joomla на вкладке Система, параметр Время кэширования (рисунок ниже). По умолчанию 15 минут.

Время кэширования

Если Вы не можете зайти (и не хотите ждать), то можно воспользоваться одним из вариантов отключения защиты, описанным выше в разделе «Аварийное отключение защиты jSecure Authentication». Только ищите строку:

public $include_purgesessions = '1';

и замените её на:

public $include_purgesessions = '0';

Защита админки сайта паролем при помощи .htaccess и .htpasswd

Защита админки сайта паролем при помощи .htaccess и .htpasswd будет работать только на веб-сервере Apache. Это ещё один контур защиты админки Joomla. Его можно реализовать и без jSecure Authentication. Компонент просто предоставляет более удобный способ (рисунок ниже).

Защита админки сайта паролем

На рисунке выше показан пример с использованием небезопасного логина и пароля. Ни в коем случае не повторяйте его. Рекомендую использовать безопасные пароли. Как их составлять, описано в статье «Безопасный пароль». После применения настройки перед тем, как перейти на страницу авторизации в админке Jooma, пользователю будет предложено ввести пароль (на примере браузера Google Chrome 24.0.1312.56 m) (рисунок ниже)

Авторизация

Если пароль (и\или имя пользователя) неверный, то пользователь получит следующее сообщение: «Authorization Required. This server could not verify that you are authorized to access the document requested. Either you supplied the wrong credentials (e.g., bad password), or your browser doesn't understand how to supply the credentials required.»

Обратите внимание на то, что даже если Вы используете секретное слово для добавления его в окончании ссылки на административную зону, то при использовании защиты админки Joomla паролем при помощи .htaccess и .htpasswd это не будет работать. Вернётся стандартный адрес. Без секретного слова.

Если Вы не можете зайти, то попробуйте воспользоваться одним из вариантов отключения защиты, описанным выше в разделе «Аварийное отключение защиты jSecure Authentication». Только ищите строку:

public $adminpasswordpro = '1';

и замените её на:

public $adminpasswordpro = '0';

Список директорий

Список директорий (рисунок ниже) содержит таблицу, состоящую из 4-х столбцов.

  1. File. Имя файла или папки (директории) Вашего сайта.
  2. Size. Размер файла.
  3. Last Modified. Дата последнего изменения файла и\или директории. Может помочь при выявлении следов взлома сайта. Детальнее об этом можно прочесть в статье «Защита Joomla (часть 7). Проверка сайта на вирусы».
  4. Permissions. Права доступа к файлам и директориям. Рекомендуется, для повышения безопасности всем файлам задать права 644, папкам 555 (кроме папок с кэшем и папок, куда постоянно необходимо загружать файлы). На файлы, находящиеся в корне сайта рекомендовано задать права 444. Детальнее об этом можно прочесть в статье «Защита Joomla (часть 4). Резервное копирование сайта».

Список директорий

Вы сможете сортировать объекты по любому из столбцов (по возрастанию или убыванию), а над таблицей находится панель (в виде хлебных крошек), которая показывает Ваше текущее положение в иерархии папок, начиная от корневого каталога сайта.

Письма

Вы можете настроить jSecureAuthenticationJoomla на отправку писем в случае доступа и\или попытки доступа к админке сайта. Для этого предназначена вкладка Письма (рисунок ниже)

Письма

  • Отправлять почту. Включает\отключает отправку сообщений.
  • Отправлять информацию в письмах. Доступно 3 параметра.
  1. Правильный ключ. Письмо будет отправлено в том случае, если пользователь получил доступ к административной части сайта с правильным ключом.
  2. Неправильный ключ. Письмо будет отправлено в том случае, если пользователь пытался получить доступ к административной части сайта с неправильным ключом.
  3. Оба. Письмо будет отправлено в любом случае.
  • E-mail. Адрес или адреса электронной почты, на которые будут отправлены уведомления. При указании нескольких адресов их нужно разделять запятой.
  • Тема письма. Слово или фраза, которая будет показана в качестве темы письма.

В самом сообщении будет указан IP- адрес, с которого была совершена попытка входа (удачная или неудачная в зависимости от настроек jSecureJoomla).

Главная почта

jSecureAuthenticationJoomla 2.5 – 3.0 позволяет отправлять уведомление на указанный адрес (адреса) электронной почты тогда, когда кто-то меняет настройки компонента. Для этого предназначена вкладка Главная почта (рисунок ниже).

Главная почта

  • Настройки отправки писем. Включает\отключает отправку сообщений.
  • Тема писем о настройках. Слово или фраза, которая будет показана в качестве темы письма.
  • E-mail адресов настройки. Адрес или адреса электронной почты, на которые будут отправлены уведомления. При указании нескольких адресов их нужно разделять запятой.

В самом сообщении будут указаны настройки, которые были изменены и их новые значения.

Журнал

jSecure позволяет вести журнал событий. На вкладке Журнал (рисунок ниже) Вы сможете задать период его хранения в базе данных (1-5 месяцев или всегда). Не рекомендую хранить журнал вечно. Это может вызвать увеличение базы данных сайта.

Журнал

Показать журнал

На вкладке Показать журнал (рисунок ниже) Вы можете просмотреть сам журнал событий, который представлен в виде таблицы из шести столбцов.

Показать журнал

  1. Num. Порядковый номер события в журнале.
  2. IP. IP-адрес пользователя, совершившего то или иное действие.
  3. User Name. Имя зарегистрированного в системе пользователя, совершившего то или иное действие. Если он не зарегистрирован, то ячейка пустует.
  4. Code. Описание события. Например, «Настройки jSecure изменены».
  5. Журнал. Детальное описание события. Например, «Включить мастер пароль = NO» - отключение мастер-пароля jSecure.
  6. Date. Дата и время события.

Над таблицей расположен фильтр, который позволяет отфильтровывать события по IP адресу пользователя. Нажав на IP адрес в таблице можно получить о нём краткую информацию.

Управление мета тегами

jSecure Authentication 3 позволяет управлять основными мета тегами Joomla (рисунок ниже).

Управление мета тегами

Это относиться к таким тегам как «generator», «keywords», «description», «rights». Заданные значения этих полей на вкладке Управление мета тегами (рисунок выше) отобразятся в коде страниц сайта.

<meta name="keywords" content="aleksius.com" />

<meta name="rights" content="aleksius.com" />

<meta name="description" content="aleksius.com" />

<meta name="generator" content="aleksius.com" />

Завершить сессии

На главной странице jSecure есть ссылка «Завершить сессии» (рисунок ниже).

jSecure

При нажатии на неё для всех пользователей кроме Вас будет завершён сеанс. Если они вошли на сайт как зарегистрированные пользователи, то им придётся сделать это ещё раз.

Справка

На странице Справка (рисунок ниже) Вы можете получить информацию (на английском языке) о работе тех или иных настроек программы.

Справка

Русификатор jSecure Authentication Joomla 2.5 – 3.0

Скачать русификатор jSecureAuthentication.

За прошедший год в jSecure Authentication 3 появилось много новых возможностей по защите админки Joomla (и не только) от несанкционированного доступа. Разработчики позаботились не только о функциональности расширения, но и об удобстве его использования и об улучшении качества технической поддержки. Считаю, что данный компонент будет хорошим дополнением к общей защите сайта Joomla от взлома. В статье «Обзор jSecure Lite. Защита админки Joomla» мы рассмотрим бесплатную версию данного компонента.

 

Полезные ссылки: