Joomla 5.2.2 Security & Bugfix Release
Joomla 5.2.2 je nyní k dispozici. Jedná se o bezpečnostní vydání pro Joomla 5.x.
Masivní útoky na Joomlu
21. bře 2019 15:10 - 21. bře 2019 15:24 #139521
Zdá se, že dnes probíhají nějaké masivní útoky na Joomlu, alespoň na hostingu Savana (napříč doménami, napříč různými účty). Jedná se o jednoduché útoky na prolomení hesla do administraci, vzhledem k jejich obrovskému počtu ale dochází k přetížení serveru (i přes zabezpečení pomocí Admin Tools), a znepřístupnění webu.
Nejrychlejší řešení je zakázat přístup do administrace pomocí htaccess, tj vytvořit soubor .htaccess s obsahem
a nahrát do složky /administrator
Tím bude administrace dostupná jen z ip adresy VASE_IP_ADRESA.
Nejrychlejší řešení je zakázat přístup do administrace pomocí htaccess, tj vytvořit soubor .htaccess s obsahem
Code:
order deny,allow
deny from all
allow from VASE_IP_ADRESA
Tím bude administrace dostupná jen z ip adresy VASE_IP_ADRESA.
Poděkovali: Linelabcz
21. bře 2019 16:05 #139522
Odpověď od Cony
Moderátor
Pro doplnění - zabezpečení pomocí Admin Tools (RS Firewall apod.) nebylo v tomto případě dostatečně funkční. Jedná se o zabezpečení až v rámci PHP skritpu, tj. dojde ke spuštění PHP, a tím zatížení serveru.
Nejlepší možnost zabezpečení je pomocí htaccess a to jedním z následujících způsobů
- Zablokování na IP adresu(y) - viz výše
- Pomocí Basic Authentication - tj. druhého hesla do administrace - lze vygenerovat např. pomocí Admin Tools, nebo nástroji na webu
- změnou adresy administrace - zde sice lze také pomocí Admin Tools, ale až v rámci PHP, níže je jeden z možných způsobů, jak toho docílit pomocí htaccess
1/ v kořeni Joomly vytvořte složku např /mojeadministrace
2/ nahrajte do ní soubor index.php s následujícím obsahem
3/ do složky /administrator nahrajte soubor .htaccess s následujícím obsahem
Pozor na hodnoty cokoliv a neco_dalsiho, v obou souborech musí být stejné (bez diakritiky, mezer apod.).
Nyní po přístupu na /administrator skončíte chybou 403. Po pristupu na /mojeadministrace dojde k přesměrování na /administrator a dále již můžete běžně pokračovat.
Nejlepší možnost zabezpečení je pomocí htaccess a to jedním z následujících způsobů
- Zablokování na IP adresu(y) - viz výše
- Pomocí Basic Authentication - tj. druhého hesla do administrace - lze vygenerovat např. pomocí Admin Tools, nebo nástroji na webu
- změnou adresy administrace - zde sice lze také pomocí Admin Tools, ale až v rámci PHP, níže je jeden z možných způsobů, jak toho docílit pomocí htaccess
1/ v kořeni Joomly vytvořte složku např /mojeadministrace
2/ nahrajte do ní soubor index.php s následujícím obsahem
Code:
<?php
$admin_cookie_name = 'cokoliv';
$admin_cookie_code = 'neco_dalsiho';
setcookie($admin_cookie_name, $admin_cookie_code, 0, '/');
header("Location: /administrator/index.php");
Code:
RewriteEngine On
RewriteCond %{REQUEST_URI} ^/administrator
RewriteCond %{HTTP_COOKIE} !cokoliv=neco_dalsiho
RewriteRule .* - [L,F]
Pozor na hodnoty cokoliv a neco_dalsiho, v obou souborech musí být stejné (bez diakritiky, mezer apod.).
Nyní po přístupu na /administrator skončíte chybou 403. Po pristupu na /mojeadministrace dojde k přesměrování na /administrator a dále již můžete běžně pokračovat.
Poděkovali: Bong, Rudolf
21. bře 2019 20:08 #139526
MiniJoomla! - www.minijoomla.org - eshop s rozšířením Joomla/VM
Email Manager - aplikace na správu šablon emailů pro VirtueMart
Easy Feeder - aplikace na generování XML/CSV feedů a napojení na ERP pro VM
PragueClassicconcert - portál pro prodej vstupenek na systému Joomla
Odpověď od Rudolf
Joomla Expert
Cony,
my používáme variantu:
- Pomocí Basic Authentication - tj. druhého hesla do administrace - lze vygenerovat např. pomocí Admin Tools, nebo nástroji na webu
V kombinaci s hostingem a RSFirewall je to nejlepší řešení, které jsem zatím našel.
my používáme variantu:
- Pomocí Basic Authentication - tj. druhého hesla do administrace - lze vygenerovat např. pomocí Admin Tools, nebo nástroji na webu
V kombinaci s hostingem a RSFirewall je to nejlepší řešení, které jsem zatím našel.
MiniJoomla! - www.minijoomla.org - eshop s rozšířením Joomla/VM
Email Manager - aplikace na správu šablon emailů pro VirtueMart
Easy Feeder - aplikace na generování XML/CSV feedů a napojení na ERP pro VM
PragueClassicconcert - portál pro prodej vstupenek na systému Joomla
21. bře 2019 21:45 #139528
Odpověď od Cony
Moderátor
Druhé heslo je dobré, jen pak někdo brblá, že si musí pamatovat moc hesel, a proč že ho vlatně zadává dvakrát a když si ho změnil, jak to že se nezměnilo to první atd...
21. bře 2019 22:03 #139529
MiniJoomla! - www.minijoomla.org - eshop s rozšířením Joomla/VM
Email Manager - aplikace na správu šablon emailů pro VirtueMart
Easy Feeder - aplikace na generování XML/CSV feedů a napojení na ERP pro VM
PragueClassicconcert - portál pro prodej vstupenek na systému Joomla
Odpověď od Rudolf
Joomla Expert
Útoky na uhádnutí hesla mohou a většinou běží na pozadí každou vteřinu a na běžném hostingu to poznáte jen zaplacením logování.
Podle mne je to základní nutnost, jinak se pak nestačíte divit
Tohle zákazníci přece musí pochopit ne?
Podle mne je to základní nutnost, jinak se pak nestačíte divit
Tohle zákazníci přece musí pochopit ne?
MiniJoomla! - www.minijoomla.org - eshop s rozšířením Joomla/VM
Email Manager - aplikace na správu šablon emailů pro VirtueMart
Easy Feeder - aplikace na generování XML/CSV feedů a napojení na ERP pro VM
PragueClassicconcert - portál pro prodej vstupenek na systému Joomla
21. bře 2019 23:09 #139530
::: Nejsem tak bohatý, abych kupoval levné věci... :::
Odpověď od HonzaG
Moderátor
Osobně mám nejradši omezení přístupu do administrace jen na vybrané IP, jak je psáno v prvním příspěvku. U mnoha webů to snížilo trafic o 90%
HonzaG
HonzaG
::: Nejsem tak bohatý, abych kupoval levné věci... :::