Joomla 5.1.0 a Joomla 4.4.4 (17 dub 2024)

Dnes byla uvolněna nová verze Joomla 5.1.0, společně s Joomla 4.4.4. Tato verze přináší spoustu nových funkcí, vylepšení v oblasti bezpečnosti a kódu a díky těmto vylepšením i vyšší rychlost.

Masivní útoky na Joomlu

21. bře 2019 15:10 - 21. bře 2019 15:24 #139521

Masivní útoky na Joomlu od Cony

Moderátor

Zdá se, že dnes probíhají nějaké masivní útoky na Joomlu, alespoň na hostingu Savana (napříč doménami, napříč různými účty). Jedná se o jednoduché útoky na prolomení hesla do administraci, vzhledem k jejich obrovskému počtu ale dochází k přetížení serveru (i přes zabezpečení pomocí Admin Tools), a znepřístupnění webu.
Nejrychlejší řešení je zakázat přístup do administrace pomocí htaccess, tj vytvořit soubor .htaccess s obsahem

Code:

order deny,allow
deny from all
allow from VASE_IP_ADRESA

a nahrát do složky /administrator
Tím bude administrace dostupná jen z ip adresy VASE_IP_ADRESA.

Poděkovali: Linelabcz

21. bře 2019 16:05 #139522

Odpověď od Cony

Moderátor

Pro doplnění - zabezpečení pomocí Admin Tools (RS Firewall apod.) nebylo v tomto případě dostatečně funkční. Jedná se o zabezpečení až v rámci PHP skritpu, tj. dojde ke spuštění PHP, a tím zatížení serveru.

Nejlepší možnost zabezpečení je pomocí htaccess a to jedním z následujících způsobů
- Zablokování na IP adresu(y) - viz výše
- Pomocí Basic Authentication - tj. druhého hesla do administrace - lze vygenerovat např. pomocí Admin Tools, nebo nástroji na webu
- změnou adresy administrace - zde sice lze také pomocí Admin Tools, ale až v rámci PHP, níže je jeden z možných způsobů, jak toho docílit pomocí htaccess

1/ v kořeni Joomly vytvořte složku např /mojeadministrace
2/ nahrajte do ní soubor index.php s následujícím obsahem

Code:

<?php
  $admin_cookie_name = 'cokoliv';
  $admin_cookie_code = 'neco_dalsiho';

  setcookie($admin_cookie_name, $admin_cookie_code, 0, '/');
  header("Location: /administrator/index.php");

3/ do složky /administrator nahrajte soubor .htaccess s následujícím obsahem

Code:

RewriteEngine On
RewriteCond %{REQUEST_URI} ^/administrator
RewriteCond %{HTTP_COOKIE} !cokoliv=neco_dalsiho
RewriteRule .* - [L,F]

Pozor na hodnoty cokoliv a neco_dalsiho, v obou souborech musí být stejné (bez diakritiky, mezer apod.).

Nyní po přístupu na /administrator skončíte chybou 403. Po pristupu na /mojeadministrace dojde k přesměrování na /administrator a dále již můžete běžně pokračovat.

Poděkovali: Bong, Rudolf

21. bře 2019 20:08 #139526

Odpověď od Rudolf

Joomla Expert

Cony,

my používáme variantu:

- Pomocí Basic Authentication - tj. druhého hesla do administrace - lze vygenerovat např. pomocí Admin Tools, nebo nástroji na webu

V kombinaci s hostingem a RSFirewall je to nejlepší řešení, které jsem zatím našel.

MiniJoomla! - www.minijoomla.org - eshop s rozšířením Joomla/VM
Email Manager - aplikace na správu šablon emailů pro VirtueMart
Easy Feeder - aplikace na generování XML/CSV feedů a napojení na ERP pro VM
PragueClassicconcert - portál pro prodej vstupenek na systému Joomla

21. bře 2019 21:45 #139528

Odpověď od Cony

Moderátor

Druhé heslo je dobré, jen pak někdo brblá, že si musí pamatovat moc hesel, a proč že ho vlatně zadává dvakrát a když si ho změnil, jak to že se nezměnilo to první atd...

21. bře 2019 22:03 #139529

Odpověď od Rudolf

Joomla Expert

Útoky na uhádnutí hesla mohou a většinou běží na pozadí každou vteřinu a na běžném hostingu to poznáte jen zaplacením logování.

Podle mne je to základní nutnost, jinak se pak nestačíte divit

Tohle zákazníci přece musí pochopit ne?