gototopgototop
Register
Вход
Home
Безопасность сайта: компонент AdminTools E-mail
Базовый курс - Безопасность сайта
Безопасность сайтаРасширений Joomla!, призванных обеспечивать безопасность сайта, очень много, - как бесплатных, так и платных. Эти расширения по типу являются либо плагинами, либо компонентами.

Сегодня мы установим бесплатный компонент под названием Admin Tools. Вы уже знакомы с его собратом - замечательным Akeeba Backup для создания бэкапов, а родство в данном случае определяется одним и тем же разработчиком - www.akeebabackup.com.


                            Возможности компонента Admin Tools :

  •  автоматически устанавливает права доступа на папки и файлы
  •  изменяет префикс базы данных jos_  на иное значение
  •  изменяет ID администратора
  •  устанавливает дополнительные логин и пароль для входа в административную зону

Скачать Admin Tools Core

1. На странице сайта www.akeebabackup.com нажмите сначала на кнопку View files:

Безопасность Joomla! :: AdminTools
Рис.1

2. На следующей странице нажмите кнопку Download now:

Рис.2


Установка и настройка компонента  безопасности Admin Tools

Шаг 1. Устанавливаем компонент, как обычно, через меню Расширения>>Установить/Удалить.

Шаг 2. После установки через меню Компоненты открываем Admin Tools:

Безопасность Joomla! :: AdminTools
Рис.3

Шаг 3. Сейчас вы находитесь в панели управления компонента. Она состоит из трех частей: Обновления, Безопасность и Инструменты. Первая часть - информационная, две другие - это уже настройки. К ним надо относиться крайне вежливо и осторожно, потому что без определённых навыков можно так нажать какую-нибудь кнопочку, что потом не поймёшь, как открыть захлопнувшуюся  даже для суперадминистратора админку. Особенно это касается первой кнопки:

Рис.4

Как я уже говорила в уроке "Первоначальные настройки сайта", иногда нам требуется закрыть сайт для посетителей с тем, чтобы произвести какие-нибудь работы. Вообще, закрывать  сайт лучше всего не следует никогда, но при серьёзной аварии всё же приходится. И тогда у злоумышленников появляется возможность во время "закрытого" режима сайта подобрать к нему ключи. Чтобы исключить это, и придумана функция, на которую ведет кнопка, показанная на рисунке 4.

Нажмите на кнопку и прочтите, о чём вас предупреждает разработчик компонента. Главное: если у вас нет постоянного IP, то отключив сайт на время, вы потом  не попадёте в него никогда. Нет, конечно, попадёте, - но всё же прежде, чем нажимать кнопку "Выключить сайт, аварийный режим" прочитайте сначала внимательно предупреждение разработчика о том, как долго вам придётся копошиться, чтобы восстановить свои права на вход. А заодно освежите - на всякий случай! - в своей памяти поговорку про вора, который сам себя обворовал

Если уж ну очень надо будет эту кнопку нажать, то, по крайней мере, скопируйте хотя бы и сохраните  инструкцию, которая подробно рассказывает о методах восстановления вашего суперадминского права на вход.

Шаг 4. Следующая кнопка - Редактор префикса таблиц базы данных:


Рис. 5

В уроке "Перенос сайта на хостинг" я упоминала уже о префиксе и даже показывала картинку. Вот она:
Уроки Joomla! :: Перенос сайта на хостинг
Рис.6

То, что находится между вертикальными красными линиями, и есть префикс. По умолчанию, он jos_  . Если  его изменить, то можно предотвратить взлом сайта.

Admin Tools меняет префикс, причём делать это можно не один раз. Просто нажимайте кнопку "Изменить префикс":

Безопасность Joomla! :: AdminTools
Рис.7

Шаг 5. Меняем ID администратора. Если вы зайдёте в Менеджер пользователей, то увидите, что ID  Администратора - 62. Абсолютно на всех сайтах Joomla! этот ID одинаков по умолчанию, что является находкой для взломщиков. Admin Tools меняет ID Суперадминистратора на другое число и отключает старый ID 62. Чтобы изменить ID, нажмите сначала на кнопку:

Рис.8

а в следующем окне - на кнопку "Изменить ID Супер Администратора:

Безопасность Joomla! :: AdminTools
Рис.9

О совершенных изменениях покажется подтверждающее сообщение:

Безопасность Joomla! :: AdminTools
Рис.10

Шаг 6. Проверяем изменения в Менеджере пользователей. Открываем его через меню Сайт>>Пользователи и смотрим на следующую картину:

Безопасность Joomla! :: AdminTools
Рис.11

Как видим, у нас появился второй Администратор с ID 44. Первый же, с ID 62, закрыт, и открыть его вам не удастся, сколько бы вы ни нажимали на кнопку "Разрешить".

Шаг 7. Устанавливаем дополнительную защиту на вход в административную зону.

7.1. Для этого сначала нажимаем на кнопку "Защита паролем администратора":
Безопасность сайта
Рис.12

7.2. В новом окне прописываем логин и пароль.

Внимание!!! - выпишите себе в блокнотик эти данные!

7.3. После этого нажимаем на кнопку "Пароль защиты":

Безопасность Joomla! :: AdminTools
Рис.13

7.4. Появится окошко, в котором для подтверждения надо будет прописать только что установленные вами логин и пароль и нажать на кнопку ОК:

Безопасность Joomla! :: AdminTools
Рис.14

После нажатия кнопки вы попадаете в панель управления компонента и видите сообщение:

Рис.15


Как работает дополнительная защита административной панели?

До того, как вы её установили, папка "Администратор" корневого каталога сайта содержала вот такие папки и файлы:

Безопасность Joomla! :: AdminTools
Рис.16

После установки дополнительной защиты в папке "Администратор" автоматически появляются два дополнительных файла:

Безопасность Joomla! :: AdminTools
Рис.17

Если хотите проверить, как реально работает защита,перезапустите компьютер.
Но можете не прерывать сегодняшнего занятия, потому что я расскажу вам, что именно произойдёт в следующий раз, когда вас одолеет желание погрызть гранит сайтостроения и войти в админку Демо-сайта.

Вы напишете в адресной строке браузера привычный вам уже адрес:
http://localhost/demo/administrator/ и нажмёте Enter. И тут вы встретитесь с неожиданностью в виде выпавшего окошка, испрашивающего у вас пропуск...

Безопасность сайтаСудя по всему, этот ученик забыл записать  в блокнотик  логин и пароль для дополнительной защиты, которые  сам же установил  в Шаге 7.2.


Хм, тогда ему следует открывать  файловый менеджер, искать в корневом каталоге Демо-сайта папку "Администратор" и удалять из неё файлы .htaccess  и .htpasswd...

Но я надеюсь, что у остальных учащихся логин и пароль при себе, поэтому вводите их в формочку и жмите на ОК:

Безопасность Joomla! :: AdminTools
Рис.18

А дальше - обычная процедура входа в святая святых:

Безопасность Joomla! :: AdminTools
Рис.19

Двигаемся вниз, к Инструментам.

Шаг 8. Простейший путь установки прав доступа по умолчанию. Одно нажатие кнопки - и будут установлены  права от 755 до 644. Вот кнопка:
Безопасность сайта
Рис.20

Если на неё нажать, то появится окошко "Фиксация полномочий":



Рис.21

Через несколько секунд права доступа установятся без всякого вашего вмешательства. Но, если вы хотите установить индивидуальные права на некоторые каталоги и файлы, то тогда надо зайти под кнопочку "Разрешенная конфигурация".

Шаг 9. Нажимаем на кнопку входа в настройки:

Рис.22

9.1. Знакомимся с настройками. Вы видите: в таблице слева открыты каталоги, которые, в свою очередь, тоже могут открываться; справа - файлы открытого слева каталога. Вы можете устанавливать те права, которые считаете нужными.

Безопасность Joomla! :: AdminTools
Рис.23

Рекомендую Вам, пока вы работаете на локалхосте, не трогать кнопок ни в шаге 8, ни в шаге 9, оставив права, как видно из таблицы, 777. В противном случае при установке новых расширений придётся права возвращать в исходное положение.
Установку прав доступа следует провести тогда, когда ваш сайт будет перенесен на хостинг и  отлажен до последней точки. Вот тогда-то и надо не забыть про две заветные кнопочки: "Фиксация полномочий" "Разрешенная конфигурация".

Шаг 10. Домашнее задание: аккуратно исследовать остальные кнопки компонента, не упомянутые в сегодняшнем уроке.

Успехов!


 
Copyright © 2011. Joomla! для "чайников". Автор сайта Наталья Мельниченко
Follow us on Twitter