- Тип – защита админки Joomla от несанкционированного доступа.
В статье «Обзор Siteguard. Проверка сайта на вирусы» я уже затрагивал тему повышения безопасности сайтов от несанкционированного доступа. В этой статье я хочу рассмотреть компонент (и плагин) для защиты админки сайта Joomla jSecure Authentication. Рассмотрение этого компонента будет проходить на примере системы управления контентом с открытым кодом Joomla версии 1.5.23. Версия jSecure Authentication 2.1.8. Сайт находится на локальном сервере (MySQL 5.1.4, PHP 5.3.3, Apache/2.2.4 (Win32) mod_ssl/2.2.4 OpenSSL/0.9.8k).
Хочу сразу отметить, что плагин Joomla jSecure Authentication, как и любое другое отдельно взятое средство, не защитит Вас на 100% от всех способов взлома сайта. Но это маленький шаг к повышению общей устойчивости сайта к атакам. Он просто помогает скрыть админку Joomla.
Возможно, у Вас может возникнуть вопрос: «А зачем вообще скрывать доступ к административной зоне сайта, если для входа в неё всё равно потребуется ввести логин и пароль?». С одной стороны, установка любого компонента, модуля и\или плагина добавляет в Ваш сайт код, в котором могут содержаться ошибки, открывающие новые способы для атаки, замедляющие Ваш сайт, увеличивающие нагрузку на сервер и время загрузки страниц сайта у пользователя в браузере. Так же есть вероятность возникновения конфликтов с уже существующими компонентами и с вновь устанавливаемыми. Для опытных веб-мастеров, возможно будет проще самостоятельно скрыть доступ к административной зоне. Например, при помощи .htaccess и\или правки исходного кода самой системы управления контентом. Однако это может оказаться несколько трудозатратным делом. Но в любом случае «стандартный» доступ ко входу в администраторскую зону сайта необходимо скрыть. Ведь не для кого не секрет, что для входа в администраторскую зону сайта Joomla необходимо просто дописать в конце имени сайта в строке адреса слово administrator. И перед вами откроется окно с полями ввода логина и пароля. Злоумышленник сразу увидит, что это Joomla (а скорее всего поймёт и какая версия 1.0, 1.5 и так далее), и начнёт применять скрипты, направленные на известные уязвимости в безопасности конкретно этой системы управления контентом. Можно сразу приступить к подбору логина и пароля (хотя есть куда более эффективные методы получения доступа к административной зоне сайта). Даже если лично Вы используете надёжные логин и пароль, то другой человек, имеющий доступ к административной зоне сайта может использовать что-то типа 123456 в качестве пароля. А увидеть логин можно, например, на форуме, где он в качестве администратора модерирует ту или иную ветвь. При использовании .htaccess Вы заставите вводить дополнительные логин и пароль для доступа к административной зоне сайта, что повысит безопасность. Однако это не всегда возможно и\или удобно и jSecure Authentication обладает ещё несколькими полезными функциями.