Панель адміністратора сайту - панель керування через яку можна отримати повний доступ до сайту є пріорітетом для атаки хакера, як захиститися

 

 

 

В будь-якої системи керування сайтом(joomla, wordpress, drupal) є панель керування. Файли(скрипти) керування джумла це каталог /administrator, у wordpress це /wp-admin.  Отримавши доступ до панелі керування сайтом зловмисник може зробити практично будь-які дії над сайтом, викрасти чи знищити інформацію, розмістити шкідливий код на сайті.

По статистиці дані каталоги є найбільш атакуємі. Є різні варіанти злому панелі адміністратора: підбір пароля, зміна прав користувача, крадіжка пароля, створення нового адміністратора безпосередньо в базу та ін. Тому захистити скрипти панелі керування є пріорітетною задачею.

Один з варіантів захисту є захист даних каталогів зі скриптами по IP адресі. Тобто за допомогою службового файла вебсервера можна дозволити заходити в адмінку тільки із своїх ip адресів. Для цього створюємо файл з іменем .htaccess в нього прописуємо наступні правила:

Order deny,allow
Deny from all
Allow from 8.8.8.8

де 8.8.8.8 - ваш іп адрес з якого потрібно заходити в панель керування.

Якщо потрібно добавити ще іп адреси для доступу, то добавляємо рядок

Allow from 8.8.8.8 з відповідною ip адресою.

Можна вказати діапазони, наприклад Allow from 8.8.8. .

Далі копіюємо файл у відповідну папку на сервері. Для joomla копіюємо файл .htaccess у папку /administrator, wordpress у /wp-admin.

При спробі зайти в адмінку із будь-якого іп-адреса окрім дозволеного від сервера отримаємо заборону.

Якщо потрібно закрити доступ тільки до конкретного файлу, наприклад admin.php,  тоді

<Files "admin.php">
Order deny,allow
Deny from all
Allow from 8.8.8.8
</Files>

Захистити адмінку сайту можна й іншими способами, наприклад за допомогою різних утиліт чи подвійної авторизації. Успіхів!

 

Додати коментар


Захисний код
Оновити