Обзор и настройка AdminExile 3.16.3

Сегодня познакомимся с функционалом плагина AdminExile, который позволяет "спрятать" панель администратора для предотвращения несанкционированного доступа.

Многие пользователи Joomla периодически сталкиваются с проблемой подбора паролей к панели администратора их сайта. По сути, для взлома сайта на любой CMS (в том числе Joomla) необходимо знать адрес страницы панели администратора и с помощью специального ПО выполнить подбор паролей (как правило, узнать логин администратора сайта не самая сложная задача). В результате подобной атаки, как минимум, возрастает нагрузка на сервер.

Для предотвращения несанкционированного доступа к панели администратора сайта на Joomla существуют специальные расширения. Сегодня мы познакомимся с функционалом одного из таких расширений - плагином AdminExile.

Информация о расширении

AdminExile - плагин для обеспечения безопасного доступа к странице панели администратора посредством добавления ключа доступа (секретного слова) и, при необходимости, дополнительного значения ключа доступа.

Плагин доступен в бесплатной и платной версиях. Стоимость платной версии - около $35.

Настройка AdminExile

Ознакомиться с функционалом бесплатной версии плагина AdminExile можно на YouTube (английский язык).

Активируйте плагин и в настройках в поле параметра Ключ доступа определите секретное слово (например, admin). Таким образом, адрес страницы панели администратора примет следующий вид:

http://domain.net.ua/administrator?admin

Обратите внимание, что ключ доступа может содержать цифры только в конце секретного слова и не может содержать специальных символов (например, кавычки, точки, запятые и др). Полный список специальных символов будет представлен в автоматическом уведомлении при вводе символа в поле данного параметра.

Параметр Ключ доступа + значение позволяет добавить к ключу доступа еще одно значение ключа (например, 666). Таким образом, адрес страницы панели администратора примет следующий вид:

http://domain.net.ua/administrator?admin=666

Дополнительный уровень безопасности со значением ключа потребует от злоумышленников одновременного взлома двух связанных секретных слов, что реализовать будет крайне сложно.

Параметр Перенаправление позволяет выбрать страницу для перенаправления пользователя при вводе некорректного ключа доступа и/или значения ключа. Значение Страница 404 является наиболее безопасным, поскольку наличие данной страницы не даст понять злоумышленникам, что корректный адрес панели администратора определен правильно.

Для параметра Страница 404 необходимо определить контент "поддельной" страницы. Можно использовать переменные {url} и {serverignature}, которые будут заменены фактическими значениями сервера во время отображения страницы 404.

Ограничение авторизации

Функционал плагина предусматривает возможность ограничения авторизации для определенных групп пользователей вашего сайта во фронтенде. Данная функция является единственной, которую может выполнять плагин во фронтенде.

Восстановление доступа

Функционал плагина предусматривает возможность выполнения запроса по специальной ссылке и последующей отправки почтового сообщения с информацией о корректном адресе страницы панели администратора и ключем доступа.

В настройках плагина активируйте параметр Восстановление доступа и определите группы пользователей вашего сайта для выполнения запроса по специальной ссылке:

http://domain.net.ua/administrator?maillink=username

Замените username на имя пользователя (логин), который имеет соответствующий доступ для авторизации в панели администратора. Обратите внимание, что таким пользователем может быть, например, менеджер вашего сайта, т.к. группа пользователей Manager также имеет доступ для авторизации в панели администратора. Такие группы можно не включать в данный параметр и, следовательно, они не будут получать почтовых сообщений даже при правильном формировании ссылки на восстановление доступа с корректным значением username.

Восстановление доступа (альтернативный способ)

Ссылка для выполнения запроса на восстановление доступа может быть изменена разработчиком в новой версии плагина. Например, в более старой версии плагина использовалась следующая ссылка:

http://domain.net.ua/administrator?email=username

Для восстановления доступа к панели администратора после "потери" как корректного адреса страницы для авторизации в панели администратора, так и ссылки для выполнения запроса на восстановление доступа, необходимо переименовать основной файл плагина. Перейдите в каталог plugins/system/adminexile и переименуйте файл adminexile.php.

После "фиктивного" отключения плагина авторизируйтесь в панели администратора, в настройках плагина измените ключ доступа или отключите плагин, затем переименуйте файл плагина в исходное состояние.

Журнал логов

Параметр Журнал логов позволяет регистрировать различные ошибки авторизации в панели администратора (например, при вводе некорректного ключа доступа, при доступе с заблокированного IP-адреса, при превышении количества попыток авторизации). Журнал логов может быть использован программным обеспечением Fail2Ban.

Если вы являетесь администратором сервера и используете Fail2Ban, ознакомьтесь с материалом AdminExile + Fail2Ban.

Версия AdminExile Pro

Платная версия плагина позволяет ограничить доступ к панели администратора для определенных IP-адресов или целых сетей и предотвратить попытки подбора паролей. Краткое описание функционала платной версии плагина AdminExile Pro:

  • Определение черного/белого списков для блокировки/доступа определенных IP-адресов или целых сетей,
  • Определение количества попыток авторизации,
  • Определение "штрафного" времени (в минутах) для ограничения доступа с "плохого" IP-адреса,
  • Определение множителя "штрафного" времени при повторной атаке (например, значение множителя 2 при первой атаке позволит заблокировать IP-адрес на 5 минут, при второй атаке - на 10 минут, при третьей атаке - на 20 минут),
  • Отправка почтового сообщения на адрес e-mail администратора сайта с информацией о заблокированном IP-адресе, который пытается получить доступ к панели администратора,
  • Отправка почтового сообщения на дополнительный адрес e-mail.

Ознакомиться с функционалом платной версии плагина AdminExile Pro можно на YouTube (английский язык).

Tafarell
Классный плагин, сам недавно начал пользоваться.
Спасибо за обзор ;)

500 символов осталось