Aspek penting dalam melindungi situs Joomla adalah membatasi akses ke panel kontrol administratif bagi pihak luar. Sebagian besar serangan peretas melibatkan perolehan akses pengguna super - dengan hak seperti itu Anda dapat membanjiri shell dan melakukan apa pun yang Anda inginkan dengan proyek tersebut. Penyerang menggunakan tebakan kata sandi biasa (serangan brute force) dan segala macam kerentanan di Joomla itu sendiri. Itulah mengapa penting untuk mengamankan situs secara tepat waktu dan memblokir akses ke area admin Joomla. Beberapa menggunakan berbagai plugin untuk menyembunyikan atau mengubah alamat admin. Contoh yang mencolok adalah Jsecure. Namun, saya pribadi tidak menyarankan menggunakannya, sebaliknya, saya menyarankan untuk menghapusnya, karena ada cara yang lebih andal dan sederhana untuk membatasi akses dari penyusup.
Mengamankan admin Joomla melalui file htaccess
Akses ke panel administratif dapat dibatasi oleh modul dan pengaturan server.
Membatasi akses folder di ISP
Pertama-tama mari kita lihat cara melakukan ini di ISP Managere. Buka panel kontrol situs dan pilih item "Pembatasan Akses" di "World Wide Web":
Kata sandi folder administrator di manajer ISPPilih item "Buat" dan di jendela yang muncul, tunjukkan path lengkap ke folder administrator (misalnya, path dapat dilihat melalui FTP).
Pasang proteksi pada panel admin Joomla Setelah itu, pilih item yang dibuat dan klik tombol “Pengguna”. Di sini kita klik tombol buat dan masukkan login, simpan, pilih pengguna yang dibuat dan pilih "Edit":
Perlindungan admin Joomla Masukkan dan konfirmasi kata sandi, klik "Oke" - sekarang panel admin dilindungi dari bot tidak sah yang menebak kata sandi.
Atur panel admin ke kata sandi di Beget hosting
Sebagai contoh terpisah, mari kita pertimbangkan hosting yang populer di kalangan webmaster, terutama karena ia memiliki panel sendiri untuk tujuan ini.
Pertama, buka panel kontrol hosting Anda. Di sini kita perlu memilih dan pergi ke pengelola file:
Langkah selanjutnya adalah pergi ke folder yang diperlukan untuk perlindungan, dalam kasus kami ini adalah folder administrator dari situs yang diperlukan. Hati-hati, Anda harus masuk ke dalam direktori, bukan memilihnya!
Sekarang kita klik menu “Alat” dan kita akan memiliki pilihan antara perlindungan kata sandi dan menyembunyikan area admin berdasarkan IP. Saya akan mempertimbangkan kedua opsi implementasi dalam praktiknya.
Menu "Alat" di pengelola file Beget Jika Anda memilih "Tetapkan kata sandi untuk direktori saat ini", sebuah jendela pop-up akan muncul meminta Anda untuk mengisi nama pengguna dan kata sandi. Jika semuanya telah ditentukan dengan benar, maka setelah mengklik tombol "Setel kata sandi", file .htpasswd dengan kata sandi terenkripsi dan login serta .htaccess dengan arahan yang sudah jadi akan dibuat di folder administrator. Untuk meningkatkan keamanan, saya sarankan untuk memindahkan file password.htpasswd ke luar situs (di atas direktori public_html). Jangan lupa untuk menulis path baru di file .htaccess setelah ini!
Opsi kedua menggunakan pemfilteran alamat IP terlihat sedikit membingungkan. Di jendela yang muncul, kotak centang harus ada pada item “Tolak akses dari alamat mana pun” dan di parameter tambahan “Pertama dilarang, lalu diizinkan.” Setelah itu tambahkan IP putih dan jangan lupa simpan semuanya. Setelah semua manipulasi, Anda hanya dapat masuk ke panel admin dari IP tertentu.
Dengan cara serupa, Anda dapat mengatur akses kata sandi ke direktori lain mana pun di server, atau dengan cara serupa Anda dapat melindungi area admin CMS lain, seperti Wordpress, Drupal, Modx, Bitrix, dan lainnya.
Menambahkan kata sandi ke folder di CPanel
Panel kontrol manajemen situs web populer lainnya yang digunakan oleh banyak penyedia hosting adalah Cpanel. Dan ini telah memperkenalkan pembuatan kata sandi untuk direktori sejak awal, dan Anda tidak perlu menghabiskan banyak waktu untuk membuat dan menambahkan file htpasswd sendiri.
Pertama, tentu saja, Anda harus pergi ke panel kontrol dan, di antara banyak item berbeda, pilih “Kerahasiaan Direktori” di tab “File”:
Manajer file yang disederhanakan akan muncul, di mana Anda harus memilih folder yang diperlukan, dalam kasus kami administrator domain yang diperlukan. Untuk berpindah folder, Anda perlu mengklik ikon folder, dan bukan pada namanya; mengklik nama direktori berfungsi sebagai pilihan direktori untuk membuat perlindungan.
Sebuah jendela akan muncul dengan terjemahan lucu "Pengaturan Keamanan". Di sini Anda dapat menambah, menghapus, dan mengedit pengguna, tetapi semua ini tidak akan berfungsi sampai Anda mencentang kotak perlindungan direktori. Saya sarankan menambahkan pengguna baru terlebih dahulu, lalu menerapkan perlindungan folder. Bagaimanapun, Anda harus mengklik tombol simpan 2 kali, dan karena alasan kegunaan, hal ini ternyata salah dipahami.
Anda dapat menggunakan pembuat kata sandi atau membuat frasa sandi Anda sendiri; pastikan untuk mengklik simpan untuk menambahkan pengguna. Jendela sukses akan muncul:
Selanjutnya, klik tombol kembali dan terapkan perlindungan pada folder tersebut. Untuk melakukan ini, centang kotak di sebelah “Lindungi direktori ini dengan kata sandi”, Anda dapat mengedit pesan yang akan diberikan kepada tamu tak diundang dan pastikan untuk mengklik “Simpan”. Kami memeriksa hasilnya, sebagai hasilnya kami harus memiliki otorisasi dua faktor yang berfungsi untuk panel administratif Joomla.
Otorisasi dasar untuk panel admin Joomla
Opsi selanjutnya yang perlu dipertimbangkan adalah kemampuan file .htaccess (pada prinsipnya, metode sebelumnya didasarkan pada ini, jadi saya akan memberi tahu Anda lebih detail cara melakukannya secara manual, atau bagi mereka yang hostingnya tidak menyediakan seperti itu. pengaturan di panel kontrol). Untuk memudahkan pemahaman, saya menyebut metode ini otorisasi dua faktor di panel admin.
Buat file .htaccess di folder administrator dengan kode berikut:
Tipe Auth Dasar
NamaOtentikasi "/"
AuthUserFile "Jalur ke file kata sandi/.htpasswds/passwd"
membutuhkan pengguna yang valid
Jadi, sekarang mari kita lihat garisnya lebih dekat NamaOtoritas dalam tanda kutip kami menunjukkan teks pesan otorisasi yang ditampilkan (Apakah itu "Masukkan nama pengguna dan kata sandi Anda untuk masuk ke panel administratif" hingga "Bot tidak akan melangkah lebih jauh" - semuanya tergantung imajinasi Anda).
DI DALAM File Pengguna Autentikasi kami menunjukkan jalur lengkap ke file tempat login dan kata sandi terenkripsi kami akan disimpan. Saya biasanya mencoba menempatkannya di atas direktori situs sehingga tidak ada akses fisik ke sana sama sekali.
Membuat file kata sandi tidak begitu sulit, cukup ketik “htpasswd Creator” di Google, dan kita akan ditawari banyak layanan online untuk membuat kunci.
Jangan lupa untuk menempatkan baris yang dihasilkan dalam file di sepanjang jalur yang kami tentukan di file .htaccess. Dan pastikan untuk memeriksa fungsionalitas login yang berhasil: jika jalur yang dimasukkan salah, meskipun kata sandi yang dimasukkan benar, kesalahan server akan ditampilkan, dan kami tidak akan masuk ke panel admin.
Metode ini disebut otorisasi dasar, diimplementasikan dalam alat standar Apache. Satu-satunya kelemahan metode ini adalah kata sandi dikirimkan dalam bentuk teks yang jelas. Meskipun kemungkinan penyadapan kata sandi ini kecil, untuk tingkat keamanan yang lebih tinggi Anda dapat menggunakan otorisasi intisari.
Otorisasi intisari untuk melindungi panel admin Joomla.
Kali ini kata sandi akan dienkripsi oleh browser dalam md5 dan tidak akan ada lagi teks biasa yang tidak dilindungi. Jika tidak, semuanya mirip dengan opsi dasar, hanya parameter AuthName yang diperlukan. Ya, jenis otorisasinya berubah, tetapi semuanya tetap sama:
AuthType Digest AuthName dilindungi AuthUserFile path file saya.htpasswd Membutuhkan pengguna yang valid
Ini adalah bagaimana Anda dapat dengan mudah melindungi panel admin Joomla dari kata sandi brute force. Metode ini juga cocok untuk CMS lain dengan analogi; untuk situs WordPress ada nuansa yang dijelaskan dalam artikel ini, dan Anda juga dapat melindungi folder tertentu di server dengan cara ini.
Perlindungan IP untuk area admin Joomla
Selain metode ini, Anda dapat membatasi akses ke panel administratif dengan memfilter alamat IP. Untuk melakukannya, Anda harus membuat file .htaccess dengan kode berikut di folder yang perlu dilindungi:
Perintah Tolak, Izinkan
Tolak dari semua
Izinkan dari myip
di mana alih-alih myip kami menulis IP putih kami, beberapa IP dipisahkan dengan koma, atau submask jaringan dengan alamat dinamis. Contoh:
Izinkan dari 192.168.0.1
Izinkan dari 127.0.0.
Izinkan dari 178.133.
Dalam kasus pertama, Anda dapat masuk dari satu alamat, dalam kasus kedua dari rentang 127.0.0.1-127.0.0.255, dan dalam opsi terakhir dari alamat 178.133.0.1-178.133.255.255
Cukup tentang melindungi panel admin, sekarang ada baiknya dibaca
Bagian admin adalah bagian yang paling rentan dari semua bagian situs. Jadi, begitu sampai di sini, penyerang mendapatkan akses penuh ke seluruh situs dan dapat melakukan apa pun yang diinginkannya (mulai dari pesan sederhana bahwa situs tersebut telah diretas, hingga gangguan sebagian atau penghapusan konten sepenuhnya).
Mengapa melindungi panel admin?
Seringkali pemilik situs tidak terlalu mementingkan perlindungan panel admin, yang kemudian mereka sesali ketika menjadi korban peretasan. WordPress, karena keterbukaan dan popularitasnya di seluruh dunia, mendapat perhatian dari para peretas. Tentu saja, pengembang mesin dengan cepat memperbaiki kesalahan keamanan yang mereka temukan, tetapi mereka juga dengan cepat menemukan kesalahan baru yang mungkin Anda alami hingga kesalahan tersebut diperbaiki.
Metode perlindungan
Ada sejumlah tindakan yang, dengan mengambil tindakan, Anda dapat melindungi situs Anda secara memadai dari pengaruh yang tidak adil.
Pilih login/kata sandi administrator yang benar
Langkah pertama menuju perlindungan adalah login dan kata sandi administrator yang benar. Sangat disarankan untuk tidak menggunakan jenis ini sebagai nama pengguna admin atau administrator. Jika Anda sudah membuat pengguna admin dengan nama yang “tidak diinginkan”, cukup . Jangan lupa untuk menghapus pengguna tersebut nanti admin atau administrator.
Kata sandi harus terdiri dari 8 hingga 10 karakter dan menyertakan huruf kecil/besar dan angka, serta simbol lainnya (titik koma, tanda tanya/seru, dll.)
Mengubah alamat panel admin
Secara default, WordPress menggunakan alamat berikut untuk masuk ke panel admin:
Http://site.ru/wp-admin/ http://site.ru/wp-login.php
Karena popularitas mesinnya, alamat ini cukup rentan terhadap serangan. Untuk menjamin keamanan seluruh situs, situs tersebut harus diubah menjadi situs yang hanya diketahui oleh Anda. Ada plugin yang cukup mudah digunakan untuk ini. Berkat itu, Anda dapat mengatur sendiri di alamat mana Anda akan mengakses panel admin.
Memasang formulir otorisasi tambahan melalui .htaccess
Mengajukan .htaccess bertanggung jawab untuk menyiapkan server web Apache dan memungkinkan untuk mengonfigurasi operasi server di direktori situs Anda (misalnya, mengubah nama file indeks, menetapkan hak akses ke file/direktori, melakukan pengalihan). Dalam hal ini, file tersebut akan menginstal formulir tambahan untuk memasukkan login dan kata sandi sebelum memasukkan otorisasi di panel admin. Dengan contoh, file instalasi dan konfigurasi .htaccess Anda dapat memeriksanya di .
Melindungi panel admin dari kekerasan kata sandi
Detail penting lainnya dalam melindungi panel admin adalah membatasi jumlah entri kata sandi. Jadi, jika penyerang akhirnya mencapai formulir login situs dan mencoba menebak kata sandinya, maka masuk akal untuk memblokirnya setelah beberapa kali gagal. Untuk melakukan ini, Anda dapat menggunakan plugin khusus. Salah satunya adalah plugin Batasi Upaya Login. Untuk mengaktifkan proteksinya, Anda hanya perlu menginstal dan mengaktifkan plugin.
Hasil
Dengan mengambil serangkaian tindakan di atas, Anda akan dapat melindungi panel admin Anda dari sebagian besar kemungkinan kerentanan: sekarang akan lebih sulit bagi penyerang untuk mendeteksinya dan menemukan login/kata sandinya. Tentu saja, hal ini tidak menjamin Anda terlindungi 100%, karena selalu ada kerentanan baru yang mengganggu pengoperasian situs. Namun jika Anda tidak mengambil langkah apa pun menuju keselamatan, kemungkinan kegagalan akan meningkat berkali-kali lipat.
Saya pernah menulis postingan tentang caranya. Metode ini, tentu saja, bagus jika IP Anda statis dan Anda bekerja di situs hanya di satu tempat (misalnya, hanya di rumah atau hanya di kantor).
Secara pribadi, saya tidak hanya sering berpindah-pindah, tetapi selain yang lainnya, saya dapat melakukan keajaiban di situs web di McDuck, atau saya mungkin perlu masuk ke area admin saat saya sedang di jalan atau bepergian. Singkatnya, metode pemblokiran IP tidak cocok untuk saya.
Tapi apa yang harus dilakukan? Lagi pula, saya ingin melindungi panel admin. Sedemikian rupa sehingga seluruh direktori /wp-admin tidak dapat diakses oleh pihak luar.
Bagi saya, ini merupakan pilihan yang baik untuk menambahkan otorisasi tambahan ke situs menggunakan kombinasi .htaccess + .htpasswd.
Yang lebih nyaman lagi adalah Anda dapat menerapkan pemblokiran ini tidak hanya pada panel admin, tetapi juga ke seluruh situs, misalnya, jika situs Anda sedang dalam tahap pengujian dan Anda tidak ingin menampilkannya kepada siapa pun sebelumnya. Berikut tampilannya (untuk Google Chrome, berbeda di browser berbeda):
Seluruh proses akan terdiri dari dua langkah. Mari kita mulai.
.htaccess
Pertama-tama, kita membuat file .htaccess di direktori situs yang ingin kita lindungi dengan password. Karena kita berbicara tentang admin WordPress, kita membuat file di folder /wp-admin.
Nama Otorisasi AuthName. Pesan akan ditampilkan di jendela login dan entri kata sandi. Selain itu, untuk menyetel ulang sandi yang disimpan di browser, Anda cukup mengubah pesan ini. AuthUserFile Jalur absolut di server ke file dengan login dan kata sandi (hanya .htpasswd). Untuk menemukannya, gunakan fungsi PHP getcwd() (Dapatkan Direktori Kerja Saat Ini).
.htpasswd
File dengan pengguna dan kata sandi dalam bentuk pengguna: kata sandi. Kata sandi harus diberikan dalam bentuk terenkripsi. Kami mengenkripsi.
| admin:$apr1$gidPSkjR$qvsL5fMNunK2T17DKSxtR/ |
Selamat siang, para pembaca yang budiman! Cepat atau lambat Anda akan dihadapkan pada pertanyaan: “Bagaimana melindungi situs web dan panel admin Anda dari peretasan.” Saya berharap hal itu terjadi lebih awal, dan bukan saat guntur sudah bergemuruh. Artinya, situs tersebut akan dikunjungi oleh tamu tak diundang dan Anda harus menunggu pemulihan file. Ada baiknya jika Anda membackup file dan database Anda. Ini hari kerja, tapi ada banyak kegelisahan. Jadi, agar Anda merasa aman dan saraf Anda tenang, saya akan memberi tahu Anda cara melindungi panel admin situs di Joomla menggunakan plugin Sistem - Otentikasi jSecure dan tidak hanya.
Pertama-tama, saya ingin mengatakan bahwa cms Joomla memiliki titik lemah - ini adalah alamatnya ke panel administratif. Alamat ke panel admin hampir sama untuk semua orang -
| http://namasitus/administrator |
http://namasitus/administrator
Dan bagi seorang pengrajin yang telah menetapkan tujuan untuk meretas situs Anda, menemukan kata sandi dan login adalah hal yang mudah.
Jadi, inilah tip pertahanan pertama Anda:
Jangan gunakan nama Anda sebagai login. Gunakan kombinasi huruf dan angka yang rumit atau pilih kata yang tidak dapat dikaitkan dengan Anda. Buat kata sandi asli dan semakin panjang, semakin baik. Dan usahakan untuk sering mengubahnya, minimal sebulan sekali.
Sekarang Anda harus menjaga salinan cadangan file dan database Anda. Apa pun bisa terjadi: diretas, Anda sendiri yang membuat kesalahan - proyek mogok. Diperlukan waktu lebih dari satu hari untuk pulih. Namun jika Anda memiliki salinannya, masalahnya dapat diselesaikan dalam hitungan menit atau jam. Segala sesuatu di sini akan bergantung pada situasinya.
Jadi ikuti tip kedua saya untuk mengamankan area admin Joomla Anda.
Setiap hoster memiliki kemampuan untuk membuat salinan cadangan file, atau dengan kata lain, cadangan. Jadi buatlah aturan untuk membuat cadangan file dan database Anda setiap hari setelah perubahan dilakukan. Ini akan membantu jika terjadi hal yang tidak terduga untuk memutar kembali, yaitu mengembalikan proyek dalam beberapa menit. Jika hoster tidak memiliki fungsi seperti itu, instal plugin untuk membuat cadangan dan terima melalui email.
Saya akan fokus pada hoster sebentar lagi. Anda juga memasukkan login dan kata sandi Anda ke panel kontrol situs host. Login diberikan satu kali dan Anda tidak akan dapat mengubahnya, tetapi Anda dapat mengubah kata sandi setidaknya setiap hari.
Anda dapat mempertimbangkan tip kecil ketiga untuk melindungi area admin situs joomla Anda
Ubah kata sandi panel kontrol host Anda sebulan sekali dan pilih frasa rumit yang terdiri dari minimal 10 karakter.
Kita tidak boleh melupakan langkah-langkah keamanan tambahan yang mempersulit akses ke panel admin situs Joomla. Setel ke -1.0.7. ini memungkinkan Anda membuat kunci tambahan untuk masuk ke panel administratif. Saya akan memberi tahu Anda cara kerjanya.
Pertama, Anda perlu mengunduh dan membongkarnya. Sebelum menginstalnya, Anda harus mengubah atribut akses folder sistem dan plugin, yang terletak di folder public.html atau di ttpdocs, menjadi 777.
Ini dapat dilakukan dengan menggunakan klien ftp. Jalankan dan pilih folder plugins terlebih dahulu dan ubah akses, lalu lakukan hal yang sama dengan folder sistem. Dalam hal ini, Anda harus mengingat hak awal untuk masing-masing folder ini.
Lalu buka panel administratif situs dan buka tab Ekstensi - Instal atau Hapus Instalasi dan instal plugin. Setelah plugin diinstal, plugin harus diaktifkan. Untuk melakukan ini, buka tab Plugins dan cari plugin System - jSecure Authentication, buka pengaturannya.
Pertama-tama, centang kotak aktifkan. Kemudian di Pengaturan Plugin di baris Kunci Anda perlu menentukan kata kode untuk panel admin, dan di baris Opsi Pengalihan Anda perlu memilih apa yang akan terjadi jika kata kode tidak ditentukan dengan benar. Ada dua opsi di sini - yang pertama adalah kembali ke halaman utama situs dan yang kedua adalah pesan kesalahan. Lebih baik memilih opsi pertama.
http://namesite/administrator/?kata kode
Yang ditunjukkan pada baris Kunci. Panel administratif telah dibuka. Sekarang coba buka lagi panel admin, namun tanpa menambahkan garis miring, tanda tanya dan kode kata setelah kata administrator (tulis saja
