Jak zabránit robotickým útokům na přihlašovací formulář administrace Joomla.
Určeno pro administrátory, kteří vědí, jak se používá přenos souborů pomocí FTP. (www.mojedomena.cz je ilustrativní označení, které musíte nahradit názvem vlastní domény)
Princip zabezpečení je jednoduchý. Zabráním robotovi v přímém přístupu do složky s přihlašovacím formulářem vstupu do Back-endu (administrace) Joomla. Využívám k tomu serverovou autentifikaci pro přístup do té složky. V praxi by tedy robot musel "prorazit" přihlašování do složky formuláře přihlašování administrátora a pak ještě do Joomla. Věřím, že 99.999% robotických útoků si na tomhle vyláme zuby.
Volím nejjednodušší variantu serverové autentifikace a to je přihlašování jedním jménem a heslem. Pro aktivaci serverové autentifikace musím vygenerovat soubory .htaccess a .htpasswd a oba pak nahrát do adresáře, který chci chránit.
Využívám volně dostupné nástroje například na adrese http://www.htaccesstools.com/htpasswd-generator/
- První krok je jednoduchý, zadám přihlašovací jméno a heslo, které bude server ověřovat a kliknu na tlačítko "Create .htpasswd". Zobrazí se obsah pro soubor .htpasswd.
Otevřu si poznámkový blok, obsah tam zkopíruji a soubor uložím pod jménem ".htpasswd". Ta tečka na začátku opravdu je a žádnou druhou příponu soubor nemá. Žádné TXT ani nic dalšího. - Druhý krok. Kliknu na odkaz v textu "htaccces Authentication generator".
Zde jsou k vyplnění dvě pole. Do prvního vepíšu text, který se bude zobrazovat ve formuláři serverové autentifikace, třeba "Autorizace admina".
Ale druhé pole chce vyplnit plnou cestu do adresáře z pohledu PHP. To ale není www.mojedomena.cz/administrator, je tu odkaz na nástroj, kterým si to zjistím. - Odbočka. Otevřu si v jiné záložce odkaz "find the full path to a file using PHP". Tady je ke zkopírování obsah pro vytvoření PHP souboru, který ke zjištění plné cesty využiji. Otevřu poznámkový blok, zkopíruji ten obsah PHP a uložím si ho třeba jako "cesta.php". Tenhle soubor pomocí FTP překopíruji do složky www.mojedomena.cz/administrator/ a v prohlížeči soubor zavolám www.mojedomena.cz/administrator/cesta.php a výsledek mám před sebou.
Z druhého zobrazeného řádku v prohlížeči si zkopíruji cestu za lomítkem (bez úvodní mezery) až do konce řádku. - Vrátím se na předchozí záložku s formulářem a cestu vložím do pole ".htpasswd File Location". Kliknu na "Create .htaccess file" a otevře se mi obsah pro soubor .htaccess. Do poznámkového bloku nakopíruji obsah vygenerovaného textu a soubor uložím jako .htaccess (zase s tečkou na začátku a bez druhé přípony).
- Zbývá soubory .htaccess a .htpasswd pomocí FTP nakopírovat do adresáře www.mojedomena.cz/administrator/ a serverová autentizace je hotová.
Takhle jsem ochránil asi stovku webů s Joomla a žádný robotický útok zatím tudy neprošel.
Celý postup můžete shlédnout také zde: https://youtu.be/V0Y5u5KlVXk
Komunitu Joomla zdraví
Aleš O.
Zabezpečení přihlašování do administrace Joomla