Dodatek i sam pomysł świetna sprawa!
Dzięki jolaass!
Dodatek i sam pomysł świetna sprawa!
Dzięki jolaass!
Zapracowany po uszy, cały czas kilka projektów na tapecie.
Od 2005 roku indywidualne projekty Joomla - www.studioalfa.pl.
Polecam darmowe templatki Joomla.
Nie pomagam w kwestiach związanych z Joomla na Facebooku! Forum Joomla jest tutaj.
Nic dodać nic ująć.. Poprostu WOW!
Serdeczne podziękowania za pomysł i wykonanie!
Pozdrawiam,
Elementh
Dzięki @moje popełniłam kolejną modyfikację dodatku Spadaj. Zmiana polega na rozszerzeniu konfiguracji:
dołożeniu możliwości wyboru sposobu zapisu o próbie ataku
oraz id powiadamianego administratora i id użytkownika traktowanego jako nadawca tej informacji.
Tym razem dodatek jest do pobrania w plikowni: Dodatek Spadaj
Fajny dodatek ale czy nie lepiej temat podpiąć pod kategorie 'bezpieczeństwo', są takie na forum. Tutaj może zostać zarzucony innymi mniej ważnymi postami.
Pozdrawiam Keran
________________________
- webwizard.pl - projektowanie stron i sklepów internetowych.
No - testuję na świeżo - jestem po ataku.
Wziąłem z logów kod hakjera i rzeczywiście pokazuje to:
nazwa_konta_administratora:8a4d...........e4925fd: GeELbM.................8Pdeq2Yfk
pytania jakie mam:
1 - do czego jest ten dwukropek w środku? - przy próbie odkodowania na stronach - cześć z nich orientowała się, że to niewłaściwy kod i proponowała mi sprawdzenie tylko pierwszej części
2 - zapewne nie jest to sprawą tego dodatku, ale - co sprawdziłem - wstrzyknięty kod podaje prawdziwą nazwę_konta_administratora. Wiem , że w bazie nie jest to nazwa zakodowana ani chroniona, tylko po co więc ją w ogóle zmieniać - co zalecają poradniki bezpieczeństwa - jeśli wstrzyknięty kod tą nazwę pokazuje?
pozdrawiam
abbadona
Przeglądacz
Przeglądacz
Przeglądacz
Witam.
Od jakiegoś czasu tworzę witryny z użyciem Joomla. Tym razem szczególny nacisk kładę na bezpieczeństwo.
Taki dodatek to skarb. Zainstalowałem, ale nie mogę znaleźć, gdzie jest konfiguracja dodatku. Czy może bezpośrednio w pliko xml?
Nie jestem aż tak doświadczonym adminem.
Z góry dzięki za odpowiedź i pozdrawiam.
towaldek
Witam,
rozszerzenia->dodatki->System - Spadaj -> Parametry
Dodatek jest naprawdę fajny - dzięki - to za mało - poprostu COOL
natomiast nasuwa mi się dygresja - tak długo jak mamy odczynienia z robotami - jest ok - natomiast jeśli siedzi po drugiej stronie człowiek możemy sobie zrobić kuku - ja osobiście hasło "Spadaj na drzewo" potraktowałbym jako obrazę i wyzwanie (elementy socjotechniki i NLP). Proponuję więc takie przekierowanie które będzie informowało o nie znalezieniu lub braku dostępu (osobiście polecam to pierwsze - zawsze w przekierowaniu możemy wpisać przypadkowy ciąg liczbowy po index.php? i przeglądarki "głupieją").
Do zabezpieczeń polecam również dorzucenie modułu jSecure (co prawda płatny - jednak cena 4,99$ jest niską ceną za dodatkowy poziom zabezpieczenia) i rozwiązanie j.w. - trudno dobrać się do czegoś co nie istnieje (tylko w uzyskiwanej informacji)
Co do konfiguracji jSecure dla Joomla'i 1.5.x polecam konfigurację na ścieżkę ukrytą (ukrywa nam dostęp do logowania admina od zaplecza) - po wpisaniu http://TwojaDomena/administrator przekierowuje klienta ciekawskiego na dowolne - wskazane przez Ciebie przekierowania - polecam "ślepe przekierowanie" z odpowiedzią przeglądarki - "Nie można odnaleźć strony sieci Web"
Natomiast żeby uzyskać dostęp do logowania od zaplecza należy wpisać -
http://TwojaDomena/administrator/?TwójSekretnyKod
(w konfiguracji sekretny kod może się składać tylko z liter - nie należy używać cyfr i znaków specjalnych)
w przypadku nie funkcjonowania ścieżki którą podałem powyżej należy użyć ścieżki w opcji poniżej
http://TwojaDomena/administrator/index.php?TwójSekretnyKod
Jeżeli macie obawy co do przypadkowego - trudno odwracalnego zamknięcia sobie dostępu proponuję wykorzystać fakt iż Joomla pozwala na jednoczesne zalogowanie wielu użytkowników z tymi samymi uprawnieniami - nie identyfikując czy przypadkiem nie jest to logowanie na tym samym koncie użytkownika (wada którą moim zdaniem należałoby usunąć na stałe z Joomla'i - doraźne rozwiązanie poniżej).
No dobra - działa to tak
Otwieramy w kompie FF i CHROME (może być naturalnie OPERA, IE itp)
logujemy się od zaplecza Główny administrator i - w jednej zaciągamy i konfigurujemy jSecure - zapisujemy (uwaga nie zamykać zaplecza i przedłużyć sesję np do 60 minut podczas prób aby nas nie wylogowało automatycznie)
W tym momencie otwieramy drugą (koniecznie!!! inną przeglądarkę/przy tej samej przeglądarce i dwóch oknach korzystamy z tego samego cash,a ) i próbujemy logować się normalną ścieżką Joomla'i - czyli http://TwojaDomena/administrator
jeżeli nas przekierowuje to sprawę mamy prawie załatwioną. Następnie dokonujemy próby uzyskania dostępu do panelu logowania za pomocą ścieżki
http://TwojaDomena/administrator/?TwójSekretnyKod
jeżeli dalej nas przekierowuje to robimy to z wykorzystaniem struktury ścieżki
http://TwojaDomena/administrator/index.php?TwójSekretnyKod
i to by było na tyle,
o kurcze - aż mnie korci żeby dorzucić jeszcze kilka słów:
- tak sobie myślę że jeżeli zebrać:
1. COOL dodatek Jolaass
2. "Wymienić konto administratora" - jak pisał PeFik
3.JSecure - ukrywanie panelu logowania backend, z ciekawostek - możliwość ograniczenia logowania z wykorzystaniem opcji ukrywania ścieżki admina tylko do zadeklarowanego IP (nie używać !!! tej opcji konfiguracji przy łączach z dynamicznym IP), zapis prób nieautoryzowanego dostępu, dodatkowe zabezpieczenie dostępu do konfiguracji komponentu za pomocą hasła, możliwość natychmiastowej informacji o próbach nieautoryzowanego dostępu via e-mail, zapis IP prób nieautoryzowanego dostępu.
4.Duble login blocker - blokada podwójnego logowania w tym samym czasie, na tym samym koncie użytkownika
5.Encrypt configuration - ukrywanie hasła admina algorytmem w czasie logowania
6.RSFireWall - nazwa chyba sama wyjaśnia zastosowanie
7.Block Password Reset - blokada resetowania hasła admina - UWAGA !!! - nie polecam osobom ze słabą pamięcią hasła - po instalacji nie można użyć zestawu "RATUJ ADMINA"
i zarchiwizować używając;
Akeeba
dodałbym;
Administrator icon module -konfiguracja auto-backup z zaplecza administratora
sterowanie z poziomu kompa za pomocą Akeeba Remote Control
wymagany po stronie joomla control remote plugin
po wpadce, ataku lub zmianie hostu instalka w 5 minut używając kickstart,a
- No i chyba mamy zabezpieczenie na całkiem fajnym poziomie
No może to jeszcze nie Fort KNOX - jednak już nie kiosk RUCH,u
Jak to widzicie, jak to czujecie?
No i jeszcze jedno - za kilka dzionków postawię pustą witrynkę, tylko z zabezpieczeniami i prośbą do Was o wszystkie możliwe ataki które przyjdą Wam do głowy - dowiemy się wówczas jeszcze paru ciekawych rzeczy
Jeżeli Macie jakieś pytania, uwagi, lub komentarze - z chęcią się zapoznam - warto się uczyć od innych
Bahanetii
Ostanio edytowane przez Bahanetii : 09-09-2010 23:59
Super - dzięki
Osobiście polecam dorzucenie JSecure i kodowanie hasła admina algorytmem
Może to jeszcze nie Alcatraz, lecz na pewno już nie kiosk RUCH.
Bahanetii
dla mnie po prostu super i wielkie dzięki
Tak sobie myślę że:
jeżeli połączymy Twój dodatek SPADAJ
z
1.Plugin - Double login blocker
2.JSecure
3.Plug Block Password Reset
4.zmienimy konto admina (ktoś to już proponował)
5.Encryption Configuration
oraz
zarchwizujemy się przez
Akeeba
proponuję też automatyzację procesu poprzez moduł admina
lub poprzez sterowanie z poziomu kompa - pamiętaj o zainstalowaniu dodatku
Całościowo otrzymujemy całkiem przyzwoity poziom bezpieczeństwa witryny
Może to jeszcze nie Fort Knox lecz również już nie świnka - skarbonka :-)
Trafanon