Рекомендуем

Скидки до 30% на все темы и подписки... Никаких уловок или обмана Подписка на GavickPro включает в себя полный доступ к шаблонам для Joomla и WordPress, без каких-либо...

Далее...

Elegant Icon Font - 310 великолепных иконок... ElegantThemes создали поистине самый красивый, элегантный и полный набор иконок. Набор предлагается в виде веб шрифта,...

Далее...

JA Fubix адаптивный шаблон для Joomla... JA Fubix - апрельский шаблон от JoomlArt. Отлично подходящий для сайтов с тематикой спортивных новостей использующих...

Далее...

T3 Framework от JoomlArt О фреймворке Фреймворк T3 заслужено считается одним из самых популярных шаблонных фреймворков для Joomla. Все шаблоны...

Далее...

3 популярных фреймворка для... Очень большую роль в популярности Joomla сыграла система шаблонов, позволяющая в считанные секунды преобразить...

Далее...

  • Prev
  • Next

Защита административной панели от несанкционированного доступа — как делать нельзя

Категории: Joomla, Общие вопросы программирования в Joomla, Ошибки в Joomla и расширениях

Читая журнал «The Joomla!® Community Magazine», наткнулся на одну забавную статью под названием: «Защита административной панели от несанкционированного доступа», название заинтересовало. Но, не прочитав и трети статьи, стало понятно, что статья из категории «как делать нельзя».

Для тех, кто присоединился, оригинальную статью можно прочесть здесь: Защита административной панели от несанкционированного доступа.

Автор, «при рассмотрении файлов новой версии Joomla», открыл для себя файл define.php . А вот дальше начинается самое интересное, константа стала почему-то переменной, на да бог с ним, хотя на таком ресурсе нужно серьезно походить к публикуемым материалам. Он предлагает в папке administrator создать файл, в котором будет устанавливаться секретная cookies и если эта печенька не установлена, то не определять константу JPATH_CONFIGURATION.

Да, в панель управления после этого попасть, не зная, какие cookies должны быть установлены или название этого файла будет нельзя, но название этого файла может просочиться в интернет, просто подсмотрено или другие варианты. Переименовать то конечно не сложно, но это и не самое главное. После любого обновления все изменения нужно будет делать заново. А об это можно и забыть. Да и никто не мешает запросить другие файлы, которые там могут быть, так что, скрыть панель управления все равно не получиться.

В зависимости от настроек хостинга, все ошибки могут вывалиться в прямо в окно браузера, и обязательно попадут в лог сервера, тем самым захламляя и без того не маленькие логи. А ошибки и предупреждения будут точно: «использование неопределенной константы», «подключение не существующего файла», да еще и в нескольких экземплярах.

А вот это вообще шедевр: if (@$_COOKIE['OHO_CAMOE']==..., автор не подозревает о наличии стандартной функции isset().

«Что же делать?» – спросите вы, защититься то охота. Я был не прав сказав, что так делать нельзя, но не сказав как можно.

Сходу приходит только один правильный ответ: используйте возможности .htaccess. С помощью него вы сможете ограничить доступ по IP адресу. Сделать дополнительную «http basic» авторизацию. В Joomla можно включить SSL для панели инструментов, и настроить SSL подключение так, чтобы дополнительная авторизация происходила по сертификату.

Предыдущая запись:

Следующая запись:


Добавить комментарий

Professional Responsive Joomla Templates