Защита Joomla от подбора пароля

Одной из основных уязвимостей Joomla является отсутствие защиты панели администратора и формы авторизации от подбора пароля. Злоумышленник может пробовать ввести данные для авторизации сколь угодно много раз. Если автоматизировать этот процесс, то рано или поздно пароль будет подобран. В этой статье я расскажу о том, как обезопасить свой сайт от данной уязвимости.

 

Защита Joomla от подбора пароля. Изменения адреса админки.

Хорошо, мы придумали пароль, который легко запомнить и который никто никогда не подберет. Но вот проблема – хакет об этом не знает. Это означает, что он все равно будет пытаться подобрать пароль от админки. «Ну и что?» – скажете вы. Проблема в том, что подбор пароля предполагает постоянные запросы к серверу и ответы на них. Т.е. некоторая нагрузка на сервер, являющаяся совершенно бесполезной.  Для того, чтобы избежать этого, нужно пресекать попытки подбора пароля еще на стадии идеи.

Чтобы запустить робота на подбор пароля, для начала нужно найти форму, в которую робот будет вводить варианты. Поскольку Joomla открытая CMS, то адрес этой формы всем известен: site.ru/administrator. Но если изменить этот адрес, то подбор пароля превратится в поиски админки. Дело совершенно неблагодарное. Оно дает хакеру намек, что с простым перебором тут делать нечего, а также защищает админку от продвинутых ботов, которые выискивают сайты на Joomla, переходят по стандартному пути админки и пытаются подобрать пароль.

Чтобы изменить адрес админки можно использовать одно из следующих бесплатных расширений:

  • AdminExile – полезный плагин, позволяющий изменять адрес админки Joomla-сайта.
  • EasyCalcCheck PLUS – плагин, позволяющий защищать не только админку, но и многое другое.

Защита Joomla от подбора пароля. Защита аккаунтов пользователей сайта.

Админку мы защитили, но есть еще одна проблема. В большинстве своем Joomla-сайты предполагают авторизацию и с фронтенда (лицевой части сайта). При этом форма авторизации доступна всем желающим. Обычно имя пользователя показывается на сайте при его активности, а пароль можно попытаться подобрать перебором через форму авторизации. Да, может это не так серьезно, как взлом админки, но все-таки неприятно. В данном случае хакер может быть уверен, что далеко не все пользователи используют сложные пароли, потому как многие из них об этом не задумываются.

Как защитить форму авторизации от подбора пароля? Вариантов несколько и все они сводятся к следующему алгоритму: «если пользователь ввел неверный пароль N раз подряд, то запретить ему делать это на M минут, либо ограничить его действия дополнительной проверкой». Т.е., например, если пользователь неправильно ввел пароль 10 раз подряд, то на ближайшие 20 минут форма авторизации становится для него недоступной, либо появляется проверочная картинка, код с которой он должен ввести(captcha).

Вариант с блокировкой более радикальный и используется обычно тогда, когда ценность аккаунта высока (аккаунт содержит ценную информацию, деньги, и т. д.). Второй вариант не так хорош, но вызывает меньше негатива нерадивых пользователей, которые 10 раз подряд пытались вспомнить пароль. Все-таки блокировка на 30 минут расстраивает.

Реализовать способ с проверочной картинкой поможет все тот же EasyCalcCheck PLUS, если же нужна блокировка, можете воспользоваться плагином Brute Force Stop.

В каждом конкретном случае нужно анализировать уровень угрозы подбора пароля и использовать подходящие защитные механизмы. Надеюсь, воспользовавшись этими советами, вы сможете обезопасить свой сайт от одной их самых распространенных атак.

оригинал

Печать E-mail