НОВОСТЬ ОТ 26.08.2013
<< архив новостей
Защита от взлома методом переборов. Для Joomla и WP (word press)
Ничего не стоит на месте, и методы взлома тоже. Не скажу что это новый метод, но он нынче начал распространяться.
Метод взлома - перебор паролей с помощью зараженных компьютеров.
Куча народу идет на административное место и пытается подобрать пароль. Все с разыми ip адресами. Взламывают горячо «любимые» хостерами WP и Joomla. И если не сделана работы по защите от переборов (плагин каптче или от перебора), то рано или поздно будет подобран пароль. А зачастую владельцы этих двигов ставят «что есть», сдают проект и забывают о нем.
И так,
Решение для Joomla.
И особо для дырявых от природы 1.55
Ставим пасс на каталог /administrator через .htaccess
Поэтапно
1. скачиваем файл генерации и шифровании паролей htpasswd.exe (
http://hosthouse.kz/htpasswd/htpasswd.exe)
Запускаем его из командной строки с параметрами
htpasswd -cm .pass myname
где .pass это файл с паролями (или любое имя на ваш выбор), а myname это имя пользователя. Не делайте всеми известные имена = root, admin, administrator. Параметры командной строки рассматривать не буду. В сети можете поискать.
На выходе получаем файл с паролем .pass который и будем использовать в .htaccess
2. скидываем выше полученный файл с паролем на фтп в каталог для администрирования . /administrator. В нашем примере это .pass. создаем или изменяем .htaccess, в нем вставляем
----
AuthType Basic
AuthName "Private zone. Only for administrator!"
AuthUserFile /home/username/public_html/.pass
require valid-user
<Files .pass>
deny from all
</Files>
---
AuthUserFile путь указываете свой. username ваш юзер на хостинге.
Решение для WP (word press)
Ставим пасс файл wp-login.php через .htaccess.
ВНИМАНИЕ если WP работает как портал, с регистрацией юзеров и т.д., то такой способ лишит их доступа
Поэтапно
1. скачиваем файл генерации и шифровании паролей htpasswd.exe (
http://hosthouse.kz/htpasswd/htpasswd.exe)
Запускаем его из командной строки с параметрами
htpasswd -cm .pass myname
где .pass это файл с паролями (или любое имя на ваш выбор), а myname это имя пользователя. Не делайте всеми известные имена = root, admin, administrator. Параметры командной строки рассматривать не буду. В сети можете поискать.
На выходе получаем файл с паролем .pass который и будем использовать в .htaccess
2. скидываем выше полученный файл с паролем на фтп в каталог CMS WP. В нашем примере это .pass. создаем или изменяем .htaccess, в нем вставляем
----
<Files wp-login.php>
AuthType Basic
AuthName "Private zone. Only for administrator!"
AuthUserFile /home/username/public_html/.pass
require valid-user
</Files>
<Files .pass>
deny from all
</Files>
---
AuthUserFile путь указываете свой. username ваш юзер на хостинге.
Особенности для обоих методов
Есть один приятный плюс для обоих методов. На нашем хостинге стоит CPanel с CSF (фаервол) и он настроен так что бы банить всех кто неверно ответил на пароль в .htaccess
При попытке перебора, через некоторое время весь атакуемый список окажется в бан листе.