В попередній статті ми розповідали вам про основні види атак на CMS Joomla. У даній статті ми поговоримо про таку поширеною атаці, як підбір пароля. Основна проблема Joomla в тому, що вводити пароль можна скільки завгодно раз. Ми поговоримо про те, як убезпечити свій сайт від даного типу атак.

Стандартний шлях до адмінінстратівной панелі CMS Joomla знають всі, в тому числі і боти / роботи, які ці самі паролі підбирають. Як правило, бот може сам знаходити сайти на Joomla, переходити в до адміністративної панелі за адресою site.ru/administrator, і почати перебір. Для стійкості адміністративної облікового запису необхідно встановити складний пароль. Під складним паролем мається на увазі такий пароль, в якому разом використовуються цифри, рядкові і великі літери. Проте, цього може бути мало, оскільки при підборі пароля роботом також створюється марна навантаження на сервер. І один з варіантів убезпечитися від роботів - змінити адресу адміністративної панелі. Для цього можна використовувати такі безкоштовні розширення:
AdmiExile - плагін, який дозволяє змінювати адресу адмін-панелі CMS Joomla;
EasyCalcChek PLUS - плагін, який дозволяє захистити не тільки адмінку, і також має інші корисні функції.

Захист акаунтів користувачів вашого сайту.

Крім доступу до адмін-панелі також існує проблема злому облікових записів користувачів сайту. Захистити форму авторизації користувачів можна наступним чином - встановити певну кількість введення пароля, після якого обліковий запис буде заблокована, і будуть потрібні якісь інші дані або дії користувача для розблокування облікового запису. Також може бути устновлено блокування облікового запису за часом. Для способу з перевірочної картинкою можна використовувати EasyCalcCheck PLUS, але якщо потрібна блокірвока, тоді можна використовувати плагін Brute Force Stop.

На закінчення зазначу, що в будь-якому конкретному випадку потрібно оцінювати рівень загрози. Так, наприклад, якщо в акаунтах користувачів на сайті не міститься будь-якої особливо особистої або фінансової інформації, тоді має сенс просто встановити captch'у, але а якщо в акаунтах користувачів зберігаються будь-які особисті дані або фінансова інформація, тоді обліковий запис краще блокувати, і якщо є можливість, попередити користувача по e-mail або sms, благо і таких сервісів зараз дуже багато.