Безопасность сайта: компонент AdminTools |
![]() |
Базовый курс - Безопасность сайта | |
![]() Сегодня мы установим бесплатный компонент под названием Admin Tools. Вы уже знакомы с его собратом - замечательным Akeeba Backup для создания бэкапов, а родство в данном случае определяется одним и тем же разработчиком - www.akeebabackup.com. Возможности компонента Admin Tools :
Скачать Admin Tools Core 1. На странице сайта www.akeebabackup.com нажмите сначала на кнопку View files: ![]() Рис.1 2. На следующей странице нажмите кнопку Download now: ![]() Рис.2 Установка и настройка компонента безопасности Admin Tools Шаг 1. Устанавливаем компонент, как обычно, через меню Расширения>>Установить/Удалить. Шаг 2. После установки через меню Компоненты открываем Admin Tools: ![]() Рис.3 Шаг 3. Сейчас вы находитесь в панели управления компонента. Она состоит из трех частей: Обновления, Безопасность и Инструменты. Первая часть - информационная, две другие - это уже настройки. К ним надо относиться крайне вежливо и осторожно, потому что без определённых навыков можно так нажать какую-нибудь кнопочку, что потом не поймёшь, как открыть захлопнувшуюся даже для суперадминистратора админку. Особенно это касается первой кнопки: ![]() Рис.4 Как я уже говорила в уроке "Первоначальные настройки сайта", иногда нам требуется закрыть сайт для посетителей с тем, чтобы произвести какие-нибудь работы. Вообще, закрывать сайт лучше всего не следует никогда, но при серьёзной аварии всё же приходится. И тогда у злоумышленников появляется возможность во время "закрытого" режима сайта подобрать к нему ключи. Чтобы исключить это, и придумана функция, на которую ведет кнопка, показанная на рисунке 4. Нажмите на кнопку и прочтите, о чём вас предупреждает разработчик компонента. Главное: если у вас нет постоянного IP, то отключив сайт на время, вы потом не попадёте в него никогда. Нет, конечно, попадёте, - но всё же прежде, чем нажимать кнопку "Выключить сайт, аварийный режим" прочитайте сначала внимательно предупреждение разработчика о том, как долго вам придётся копошиться, чтобы восстановить свои права на вход. А заодно освежите - на всякий случай! - в своей памяти поговорку про вора, который сам себя обворовал ![]() Если уж ну очень надо будет эту кнопку нажать, то, по крайней мере, скопируйте хотя бы и сохраните инструкцию, которая подробно рассказывает о методах восстановления вашего суперадминского права на вход. Шаг 4. Следующая кнопка - Редактор префикса таблиц базы данных: ![]() Рис. 5 В уроке "Перенос сайта на хостинг" я упоминала уже о префиксе и даже показывала картинку. Вот она: ![]() Рис.6 То, что находится между вертикальными красными линиями, и есть префикс. По умолчанию, он jos_ . Если его изменить, то можно предотвратить взлом сайта. Admin Tools меняет префикс, причём делать это можно не один раз. Просто нажимайте кнопку "Изменить префикс": ![]() Рис.7 Шаг 5. Меняем ID администратора. Если вы зайдёте в Менеджер пользователей, то увидите, что ID Администратора - 62. Абсолютно на всех сайтах Joomla! этот ID одинаков по умолчанию, что является находкой для взломщиков. Admin Tools меняет ID Суперадминистратора на другое число и отключает старый ID 62. Чтобы изменить ID, нажмите сначала на кнопку: ![]() Рис.8 а в следующем окне - на кнопку "Изменить ID Супер Администратора: ![]() Рис.9 О совершенных изменениях покажется подтверждающее сообщение: ![]() Рис.10 Шаг 6. Проверяем изменения в Менеджере пользователей. Открываем его через меню Сайт>>Пользователи и смотрим на следующую картину: ![]() Рис.11 Как видим, у нас появился второй Администратор с ID 44. Первый же, с ID 62, закрыт, и открыть его вам не удастся, сколько бы вы ни нажимали на кнопку "Разрешить". Шаг 7. Устанавливаем дополнительную защиту на вход в административную зону. 7.1. Для этого сначала нажимаем на кнопку "Защита паролем администратора": ![]() Рис.12 7.2. В новом окне прописываем логин и пароль. Внимание!!! - выпишите себе в блокнотик эти данные! 7.3. После этого нажимаем на кнопку "Пароль защиты": ![]() Рис.13 7.4. Появится окошко, в котором для подтверждения надо будет прописать только что установленные вами логин и пароль и нажать на кнопку ОК: ![]() Рис.14 После нажатия кнопки вы попадаете в панель управления компонента и видите сообщение: ![]() Рис.15 Как работает дополнительная защита административной панели? До того, как вы её установили, папка "Администратор" корневого каталога сайта содержала вот такие папки и файлы: ![]() Рис.16 После установки дополнительной защиты в папке "Администратор" автоматически появляются два дополнительных файла: ![]() Рис.17 Если хотите проверить, как реально работает защита,перезапустите компьютер. Но можете не прерывать сегодняшнего занятия, потому что я расскажу вам, что именно произойдёт в следующий раз, когда вас одолеет желание погрызть гранит сайтостроения и войти в админку Демо-сайта. Вы напишете в адресной строке браузера привычный вам уже адрес: http://localhost/demo/administrator/ и нажмёте Enter. И тут вы встретитесь с неожиданностью в виде выпавшего окошка, испрашивающего у вас пропуск... ![]() Хм, тогда ему следует открывать файловый менеджер, искать в корневом каталоге Демо-сайта папку "Администратор" и удалять из неё файлы .htaccess и .htpasswd... Но я надеюсь, что у остальных учащихся логин и пароль при себе, поэтому вводите их в формочку и жмите на ОК: ![]() Рис.18 А дальше - обычная процедура входа в святая святых: ![]() Рис.19 Двигаемся вниз, к Инструментам. Шаг 8. Простейший путь установки прав доступа по умолчанию. Одно нажатие кнопки - и будут установлены права от 755 до 644. Вот кнопка: ![]() Рис.20 Если на неё нажать, то появится окошко "Фиксация полномочий": ![]() Рис.21 Через несколько секунд права доступа установятся без всякого вашего вмешательства. Но, если вы хотите установить индивидуальные права на некоторые каталоги и файлы, то тогда надо зайти под кнопочку "Разрешенная конфигурация". Шаг 9. Нажимаем на кнопку входа в настройки: ![]() Рис.22 9.1. Знакомимся с настройками. Вы видите: в таблице слева открыты каталоги, которые, в свою очередь, тоже могут открываться; справа - файлы открытого слева каталога. Вы можете устанавливать те права, которые считаете нужными. ![]() Рис.23 Рекомендую Вам, пока вы работаете на локалхосте, не трогать кнопок ни в шаге 8, ни в шаге 9, оставив права, как видно из таблицы, 777. В противном случае при установке новых расширений придётся права возвращать в исходное положение. Установку прав доступа следует провести тогда, когда ваш сайт будет перенесен на хостинг и отлажен до последней точки. Вот тогда-то и надо не забыть про две заветные кнопочки: "Фиксация полномочий" "Разрешенная конфигурация". Шаг 10. Домашнее задание: аккуратно исследовать остальные кнопки компонента, не упомянутые в сегодняшнем уроке. Успехов!
|