Admin Tools - rady a zkušenosti

vrtaak
18. říj 2016 18:24 #128816
Ahoj vespolek, mám čerstvě zakoupeno Admin Tools a prokousávám se nastavením a všema možnostma. Pokud by se někdo chtěl podělit o zkušenosti, nebo přispět radou, budu moc rád.

Je nějaký standardní postup, jak s Admin Tools pracovat? Já se během těch pár dní zatím dopracoval k následujícímu modelu, přičemž vycházím ze základního nastavení instalace + instrukcí na webu Akeeba.
Nainstaluju Admin Tools, nastavím přístup do administrace pouze pro povolené IP, zapíšu IP adresy pro administrátory do whitelistu, vygeneruju .htaccess a upravím v něm všechno co mi na webu zablokoval, nechám si vyjet Kontrolu změn souborů, prohlédnu a pokud nenajdu nic podezřelého, označím vše jako bezpečné.

Současně mi s tím ale vyvstaly otázky...
1. - Lze se do administrace přihlašovat jinak, než se zápisem IP do whitelistu? I když po prvním přihlášení vymažu dočasně blokované adresy, tak pokud se nenapíšu do whitelistu, Admin Tools mě do administrace nepustí.
2. - Je rozumné mít na webu umístěný odkaz do administrace? Nenapomáhám tím různým robotům?
3. - V nastavení webového firewallu je možnost použití tajného URL pro administrátory. Zkoušel jsem to, ale po nastavení mi pak fungují dvě adresy, tajná i ta původní.
4. - Je nutné použít Ochranu administrace heslem, když mám přístup do administrace vázaný na IP ve whitelistu?
5. - Výpis kontroly souborů mi hlásí množství potenciálně nebezpečných souborů, všechno to jsou součásti běžných a vyzkoušených rozšíření, takže je všechny označím jako bezpečné. Speciálně Event Gallery ve výpisu vychází jako 100% ohrožení, díky parametru eval v kódu, ale důvěřuju výrobci komponenty, takže taky označuju jako bezpečné. Má laik, respektive neprogramátor, šanci rozeznat ve výpisu opravdu nebezpečný soubor?
6. - Krátce po instalaci mi začnou chodit emaily s upozorněním Security exception. Je to normální? 5 - 10 emailů k jednomu webu za den. Když si toto upozorňování v nastavení vypnu, neprošvihnu tím něco?
7. - Nový soubor .htaccess vygenerovaný z Admin Tools mi zablokoval několik rozšíření, převážně týkajících se obrázků, galerie. Něco z toho jsem vyřešil sám podle návodu, s něčím mi obratem a ochotně poradili na Akeeba supportu. Netuším nakolik je to riskantní či není, povolovat výjimky v přístupu k souborům a složkám, potřebným pro tyto rozšíření. Na supportu se tvářili jako že používání složky cache pro ukládání náhledů fotek není zrovna košer. Ale opět vycházím z toho, že pokud je to běžné rozšíření z Joomla Extensions, mělo by to být bezpečné... (poslední věta před hacknutím webu ;-)

K dalším nástrojům v Admin Tools jsem se zatím neprokousal, popravdě ani nevím jak je použít, tak budu rád za zkušenosti a rady.
Předem díky!

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Martin70
18. říj 2016 20:09 - 18. říj 2016 20:15 #128818
Po napadení webu v roce 2013 taky používám AdminTools, myslím si že je to slušný základ. Ale u spousty nastavení rovněž nevím, co přesně znamenají. Docela dobrá věc mi přijde geografická blokace, zvláště Ukrajina, Turecko, China, Bělorusko, apod. Akorát nevím, zda mohu blokovat Severní Ameriku kvůli robotovi google. I to hromadné nastavení práv souborů a složek je dobrá věc.

Občas mi přijde, že to blokovalo MUA Shield.
Poděkovali: vrtaak

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od zpetr
18. říj 2016 20:19 - 18. říj 2016 20:21 #128819
Neumím odpovědět na všechno také to zkoumám za pochodu.
1. zvolil jsem si raději dvojí přihlášení bo nesedím stále na jedné ip. Většinou když se něco přihodí jsem právě mimo.
2. asi ne i když roboti to projedou jak pro joomlu tak i pro worpress a podobné systémy. Takže už asi vědí kam.
3. nezkoušel jsem mám pocit bezpečí s dvojím přihlášením + silnější hesla.
4. viz bod 1
5. no babo raď když jsem měl soubory napadené( před admin tools) tak bylo v obsahu poznat i nezkušeným pohledem co tam nepatří. Většinou první instalace je čistá tak od ní se odrážím.
6. 10 mailu za den =pohoda. V nastavení sablony mejlů jde sloučit mejly např 5 za hodinu do jednoho. to je ještě potřeba v nastaveni firewallu zatrhnout (zaznamy a výkazy dole).
7. to se mi nepodařilu mám asi štestí snažím se používat minimum doplňků.

Ještě k tomu blokování pokud zůstane adresa uvedena jako událost (zaznamy bez. vyjímek) musí se máznout i tam nestačí ji vyhodit z dočasného blokování nebo blokovaných adres. Ona totíž je tím stále plněna podmínka pro to blokování. (tj třeba 3x za hodinu špatný login ban na den.)

Moc se mi líbí geo blok, když odfiltruju asii rusko ameriky, tak mám spoutu volného času odrážet ataky od francouzů a rumunů (v mém případě).
Poděkovali: vrtaak

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Cony
19. říj 2016 10:34 #128829
ad 1/ Možností je více, záleží na tom jak jste paranoidní :-) Počínaje blokování administrace heslem, tajným parameterem (tj. aby se administrace spustila je třeba zadat např administrator?tajneheslo), vlastní adresou administrace (podobná funkčnost jako u tajného parametru), blokování času přístupu do administrace (tedy např. od půlnoci do 6 ráno tam nikdy nechodím), dvoufázové ověření atd... Osobně za nejdůležitější považuji nastavení "Blokování stálých útočníků" tj. např. po 3 výjimkách za minutu zablokovat na 15 minut a po třech takovýchto blokováních zablokovat IP na stálo. V kombinaci s "Považovat neúspěšné přihlášení za bezpečností výjimku" to zablokuje většinu pokusů o útok. Za zvážení pak stojí i možnost "Zakázat přihlášení super správců do veřejné části"

2/ Je to asi jedno, roboti opravdu obvykle jdou cíleně na adresu a vůbec neřeší jestli je tam Wordpress, Joomla nebo PHPMyAdmin, na druhou stranu tam odkazem dostanete i zvýdavce, který si řeknou, tak se zkusím přihlásit :-)

3/ To je v pořádku, viz popis k tomu nastavení. Princip je takový, že pokud člověk zadá /tajneurl "odemkne" se mu adresa /administrator, a dál administruje již klasicky. Pokud zadá jen /administrator bez předchozího /tajneurl dojde k přesměrování na frontpage webu.

4/ Opět podle toho jak jste paranoidní :-)

5/ Kontrola souborů je dobrá hlavně v tom, že Vám nahlásí změny. Tzn. pokud jí spustíte a najdete změněné soubory, kde jste si jistý, že jste nic neaktualizoval, je třeba zbystřit. Zda se jedná opravdu o škodlivý kód - na to už je asi potřeba opravdu nějakých znalostí, ale je to primárně vodítko. Nedocenitelné je to v okamžiku, kdy je web opravdu napaden - jednoduše si vyjedete napadené (změněné) soubory. Někdo si změny nechává kontrolovat automatem, a má tak každý den jistotu, že se nic neměnilo...

6/ Maily jsou vhodné hlavně zpočátku, aby jste si ověřil, že jste něco nepřekombinoval. Pak už je obvykle vypínám a jen kontroluji občas výpis v administraci. Dá se zapnout seskupování mailů, pak by jich mělo chodit míň.

7/ Čím míň výjimek tím samozřejmě líp. Obecně by rozšíření měla co nejvíce používat, právě kvůli bezpečnosti přístup přes framework. To že je rozšíření na JED ještě není zárukou toho, že je dobře napsané. Použití cache pro obrázky je trochu sporné. Hodně pluginů právě cache používá, už jen proto, že se dá z administrace pročistit kliknutím na tlačítko a nechat tak náhledy přegenerovat. Nicméně je pravda, že hodně lidí kolem Joomly tvrdí, že na náhledy by měl být adresář /media.
Poděkovali: vrtaak

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Martin70
04. led 2017 14:45 #129745
Nevíte někdo, kde v AdminTools přenastavím toto?: Nemáte oprávnění použít k přímému přístupu na stránky tento odkaz (#128). Děje se to při opakovaném pokusu editovat stejný článek. A já se musím odhlásit z administrace, znova přihlásit a zas to jde. Prostě uložím článek a pokud ho chci znovu otevřít, nejde to. Ale ihned po odhlášení a přihlášení (což jsou cca 2 sec.) to zase jde. Ale zas jen jednou. Pokud mezi tím edituju jiné články tak to pak myslím jde. Prostě nejde stejný článek otevřít 2x ihned za sebou.

Tuším že to bude někde buď v nastavení Firewall nebo event. htaccess ale jsou tam mraky položek a nevím, která to je.

Děkuji. Martin

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Cony
04. led 2017 14:51 #129746
To nemá s admin tools co dělat, je to nějaký problém Joomly, občas na to někde narazím, ale zatím se mi nepovedlo zjistit pravidlo kdy se to děje.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Martin70
04. led 2017 14:57 #129747
Aha. Já myslel že je to nějaká ochrana AdminTools, dělá mi to u více webů ale určitě ne u všech. Díky, to jsem netušil. V každém případě je to ale vopruz, pokud tvořím web.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Cony
04. led 2017 15:57 #129748
Občas se mi to stane, mám pocit že to souvisí s Chrome, v jiných prohlížečích se mi to tuším neděje.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Houbák
04. led 2017 21:02 #129752
Také s tím nemám zkušenost, ale je to zajímavé. Nemáte možnost udělat kopii webu na stejném hostingu, že bych se na to podíval?

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Cufe
05. led 2017 01:59 #129757
Je to určitě problém Google Chrome. Možná zkusit novější verzi prohlížeče, ale nemám ověřeno.

Joomla úřední deska | IVT služby - IT služby, webové stránky v Joomla!, online marketing | Joomla je best! Zveřejni svůj problém, pokud ho vyřešíš sám, jsi best!

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Martin70
05. led 2017 06:11 #129758
Vyzkouším. Je to možné, Chrome mám skutečně starší, protože kvůli RIPu k tiskárně mám cca 5 let starý systém Mac OS X 10.6.3. a tudíž i starší Chrome. Konkrétně mám verzi 49.0.2623.112 (64-bit). Máme tu i jedno obyč. PC s Win 7, tak to zkusím.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Martin70
05. led 2017 06:43 - 05. led 2017 06:57 #129759
1) Teď jsem namátkově zkoušel 6 webů - vše na svém počítači se starším Chromem. Tři weby OK (kde nemám AdminTools) a tři weby, kde JSOU AdminTools, hlásí tu chybu.

2) Dělá to i aktuální Chrome (55.0...) na Win 7 (zkusil jsem 2 weby)

3) Firefox na Win7 ani na mém Mac OS X 10.6.3 to NEDĚLÁ!!

Takže za mě je závěr, že to způsobuje kombinace AdminTools a Chrome. Což samozřejmě nevylučuje to, že mám něco v AdminTools blbě nastavené a Chromu to vadí a Firefoxu to nevadí.

P.S.: za chybovým hlášením v závorce (#128) není kód chyby, ale vždy ID článku. A netýká se to pouze článků, je to i u modulů a dalších věcí.

P.S.: teď mě ještě napadlo - všechny šablony používám od Joomshaper.com - tak mě ještě napadlo, jestli tam nemůže být nějaký "systémový" bordel.

Další poznatek: Na jednom webu mám sice AdminTools, ale jen instalace bez dalšího nastavení (ani jsem neprošel průvodce základního nastavení AdminTools. A ZDE TO NEDĚLÁ. Takže zřejmě opravdu je nějaká věc v AdminTools, která se nelíbí Chromu.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od radek
05. led 2017 13:51 #129764
Pouzivam posledni Admin Tools i posledni Chrome a zadny problemy nemam.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Cony
05. led 2017 15:55 #129765
Už se to tu kdysi řešilo, pokud si dobře pamatuji. Nesouvisí to s Admin Tools ale opravdu s kombinací Chrome + určité servery. Tuším že tam byl jakýsi problém, že v určité okamžiky Chrome nějak navíc přesměrovával, nebo posílal požadavek navíc. Pokud si vybavuji, dělá mi to vždy Chrome, i na webech bez Admin Tools, ale jen na některých hostinzích. Aktuálně mám téměř vše na jednom hostingu, kde se to ale neděje (Admin Tools mám všude).

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Cony
05. led 2017 16:06 #129766
V originále ta hláška zní

You are not permitted to use that link to directly access that page (#%d).


A je to řešeno např. zde . Je to v souvislosti s více faktory, jedním z nich je Chrome. Admin Tools s tím nesouvisejí, na této úrovni nic neblokují.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.