На рынке хостинг услуг с 2005 года

нам доверяют более 700 сайта
сервера на территории Казахстана
+7 701 3528510 (whatsapp)
litoshenko_oleg@mail.ru

НОВОСТЬ ОТ 26.08.2013

<< архив новостей

Защита от взлома методом переборов. Для Joomla и WP (word press)



Ничего не стоит на месте, и методы взлома тоже. Не скажу что это новый метод, но он нынче начал распространяться.

Метод взлома - перебор паролей с помощью зараженных компьютеров.
Куча народу идет на административное место и пытается подобрать пароль. Все с разыми ip адресами. Взламывают горячо «любимые» хостерами WP и Joomla. И если не сделана работы по защите от переборов (плагин каптче или от перебора), то рано или поздно будет подобран пароль. А зачастую владельцы этих двигов ставят «что есть», сдают проект и забывают о нем.

И так,

Решение для Joomla.
И особо для дырявых от природы 1.55



Ставим пасс на каталог /administrator через .htaccess
Поэтапно

1. скачиваем файл генерации и шифровании паролей htpasswd.exe (http://hosthouse.kz/htpasswd/htpasswd.exe)
Запускаем его из командной строки с параметрами

htpasswd -cm .pass myname

где .pass это файл с паролями (или любое имя на ваш выбор), а myname это имя пользователя. Не делайте всеми известные имена = root, admin, administrator. Параметры командной строки рассматривать не буду. В сети можете поискать.
На выходе получаем файл с паролем .pass который и будем использовать в .htaccess

2. скидываем выше полученный файл с паролем на фтп в каталог для администрирования . /administrator. В нашем примере это .pass. создаем или изменяем .htaccess, в нем вставляем

----
AuthType Basic
AuthName "Private zone. Only for administrator!"
AuthUserFile /home/username/public_html/.pass
require valid-user

<Files .pass>
deny from all
</Files>
---
AuthUserFile путь указываете свой. username ваш юзер на хостинге.

Решение для WP (word press)



Ставим пасс файл wp-login.php через .htaccess.
ВНИМАНИЕ если WP работает как портал, с регистрацией юзеров и т.д., то такой способ лишит их доступа
Поэтапно

1. скачиваем файл генерации и шифровании паролей htpasswd.exe (http://hosthouse.kz/htpasswd/htpasswd.exe)
Запускаем его из командной строки с параметрами

htpasswd -cm .pass myname

где .pass это файл с паролями (или любое имя на ваш выбор), а myname это имя пользователя. Не делайте всеми известные имена = root, admin, administrator. Параметры командной строки рассматривать не буду. В сети можете поискать.
На выходе получаем файл с паролем .pass который и будем использовать в .htaccess

2. скидываем выше полученный файл с паролем на фтп в каталог CMS WP. В нашем примере это .pass. создаем или изменяем .htaccess, в нем вставляем

----
<Files wp-login.php>
AuthType Basic
AuthName "Private zone. Only for administrator!"
AuthUserFile /home/username/public_html/.pass
require valid-user
</Files>

<Files .pass>
deny from all
</Files>
---
AuthUserFile путь указываете свой. username ваш юзер на хостинге.


Особенности для обоих методов


Есть один приятный плюс для обоих методов. На нашем хостинге стоит CPanel с CSF (фаервол) и он настроен так что бы банить всех кто неверно ответил на пароль в .htaccess
При попытке перебора, через некоторое время весь атакуемый список окажется в бан листе.
Copyright © 2004-2023 ТОО "LiO Programs",
Все права защищены.
email: support@hosthouse.kz, litoshenko_oleg@mail.ru (m-agent)
сотовый: +7 701 3528510 (whatsapp)
Дизайн и разработка
ТОО "LiO Programs" 2004-2023г