Manapság egyre jobban elszaporodtak a Joomla oldalak elleni támadások és legtöbbször egy-egy ilyen behatolás után az oldalunkat teleszemetelik kártékony kódokkal, amiket aztán csak nagy nehézségek árán tudunk visszaállítani, ha nem rendelkezünk biztonsági másolattal. Mit is tehetünk ilyen esetek megelőzésére?
A Joomla oldalaknál természetes dolog, hogy a /administrator beírásakor rögtön az adminisztrációs felületet töltődik be és ezt a támadók is tudják, tehát olyan megoldásra van szükségünk, aminek segítségével meg tudjuk nehezíteni a támadónk dolgát úgy, hogy nem az alapértelmezett adminisztrációs elérést használjunk az oldalunknál.
Egyik ilyen hasznos bővítmény az AdminExile. Evvel az ingyenes megoldással egy potenciális támadási felületet tudunk, úgy mond semlegesíteni, hogy az alapértelmezett Adminisztrációs felület elérését megváltoztatjuk a nekünk tetsző módon.
Példa:
Joomla alapértelmezett használat: /administrator
Normál használattal: /administrator?adminexile
Kulcs és érték használatával: /administrator?adminexile=ROCKS
Telepítése és beállítása viszonylag egyszerű:
1. Töltsük le és telepítsük fel az AdminExile bővítményt.
2. Lépjünk be a Bővítmények-> Beépülőmodul-kezelőbe majd ott keressük meg a AdminExile-t és konfiguráljuk be.
Your URL – Itt kapjuk meg a bővítmény által kigenerált hivatkozást, amin keresztül betudunk majd lépni, aktiválás után.
URL Access Key – Itt egy tetszőleges kulcsot adhatunk meg
Use Key + Value – Továbbfokozhatjuk a védelmet, ha a kulcsnak értéket is adunk az Igen megadásával
Key Value – Kulcs értéke
Redirect URL – Itt megadhatjuk, hogy hova irányítson át az oldalunk, ha valaki a régi adminisztrációs elérésen keresztül akar belépni. Ez lehet a kezdőlap, 404, vagy egyedi cím is.
Restrict Frontend Groups – Itt csoportszinten szűrhetjük a kiszolgálói oldalon való belépést.
Mit tegyünk a elfelejtettük a belépési hivatkozást, és nem tudunk belépni az oldalunkra?
A. Futassuk le a következő sort az adatbázisunkban (PhpMyadmin), aminek a segítségével visszaáll az alapértelmezett hivatkozás az adminexile:
UPDATE `#__extensions` SET `params` ='{"key":"adminexile"}' WHERE `name` = 'PLG_SYS_ADMINEXILE'
B. Le is tilthatjuk a beépülő-modul működését, ha lefuttatjuk a következő sort az adatbázisunkban (PhpMyadmin):
UPDATE `#__extensions` SET `enabled` = 0 WHERE `name` = 'PLG_SYS_ADMINEXILE'
Megjegyzés: SQL parancsok futtatása előtt a „#_” előtagot a nekünk megfelelő előtagra át kell írnunk!