Рейтинг@Mail.ru

Безопасность CMS Joomla. Защита от подбора пароля

: в разделе: Open Source
8961

Joomla

В предыдущей статье мы рассказывали вам об основных видах атак на CMS Joomla. В данной статье мы поговорим о такой распространенной атаке, как подбор пароля. Основная проблема Joomla в том, что вводить пароль можно сколько угодно раз. Мы поговорим о том, как обезопасить свой сайт от данного типа атак.

 

Изменение адреса админ-панели.

Стандартный путь к админинстративной панели CMS Joomla знают все, в том числе и боты/роботы, которые эти самые пароли подбирают. Как правило, бот может сам находить сайты на Joomla, переходить в к административной панели по адресу site.ru/administrator, и начать перебор. Для устойчивости административной учетной записи необходимо установить сложный пароль. Под сложным паролем подразумевается такой пароль, в котором вместе используются цифры, строковые и заглавные буквы. Тем не менее, этого может быть мало, поскольку при подборе пароля роботом также создается бесполезная нагрузка на сервер. И один из вариантов обезопаситься от роботов - сменить адрес административной панели. Для этого можно использовать следующие бесплатные расширения:
AdmiExile - плагин, который позволяет изменять адрес админ-панели CMS Joomla;
EasyCalcChek PLUS - плагин, который позволяет защитить не только админку, и также обладает другими полезными функциями.


Защита аккаунтов пользователей вашего сайта.


Помимо доступа к админ-панели также существует проблема взлома учетных записей пользователей сайта. Защитить форму авторизации пользователей можно следующим образом - установить определенное количество ввода пароля, после которого учетная запись будет заблокирована, и потребуются какие-то другие данные или действия пользователя для разблокировки учетной записи. Также может быть устновлена блокировка учетной записи по времени. Для способа с проверочной картинкой можно использовать EasyCalcCheck PLUS, но если нужна блокирвока, тогда можно использовать плагин Brute Force Stop.

В заключение отмечу, что в любом конкретном случае нужно оценивать уровень угрозы. Так, например, если в аккаунтах пользователей на сайте не содержится какой-либо особо личной или финансовой информации, тогда имеет смысл просто установить captch'у, но а если в аккаунтах пользователей хранятся какие-либо личные данные или финансовая информация, тогда учетную запись лучше блокировать, и если есть возможность, предупредить пользователя по e-mail или sms, благо и таких сервисов сейчас очень много.

0
Привязка к тегам cms joomla Безопасность

Оставить комментарий

Гость Вторник, 17 Сентябрь 2019