Всем привет, друзья! Итак, как же немного, даже ни немного, а прилично защитить сайт на DLE от нехороших людей – взломщиков/хакеров/гавнюков.
И кстати, обязательно читать всё что помечено восклицательным знаком. Эти разделы легко заметить.
В данной статье вы обязательно найдёте ответы на следующие вопросы и многие другие сопутствующие им:
- Как убрать логин и группу из формы обратной связи
- Как узнать логин админа для авторизации на сайте даже если администратор скрыл его в форме обратной связи
- Как всё же не дать узнать логин администратора
Как предотвратить попытки авторизации под логином администратора
Заметил следующую вещь на одном из своих сайтов. Когда я плутал по админке, попал в раздел «Список действий в админпанели». Во вкладке «Список неудачных попыток авторизации» нашёл следующие записи, скрин ниже.
Как видите, кто-то под логином администратора пытался авторизоваться на сайте, а это, как понимаете, чревато очень нехорошими последствиями – можно сделать всё что угодно, вплоть до полного удаления сайта или его обрушения.
Логин «admin» очень распространен, особенно среди новичков, которые только установили движок, и во время установки не заморачивались с логином и оставили его как есть. И вот благодаря таким ленивым действиям можно сильно пожалеть.
Так как же предотвратить такие попытки авторизации.
Первый вариант
Сметить администратора. Вот как это сделать! Создаёте нового пользователя под другим ником/логином, можно и с другим почтовым ящиком/мылом. Назначить ему права пользователя. А старого администратора под ником «admin» заблокировать/забанить или вообще удалить.
Всё это можно сделать в разделе «Пользователи» >> «Редактирование пользователей», и нажимаем «Добавить пользователя».
Далее указываете логин, пароль, Емаил, и в поле, которое указывает группу, к которой будет этот пользователь прикреплен, выбираете «Администраторы».
На этом этот вариант завершен.
Второй вариант
Можно сделать авторизацию на сайте или в админпанели не по логину а по Емаилу/ящику, который вы указали при установке движка, или когда добавляли нового пользователя по первому варианту. То есть, чтобы зайти в админпанель или авторизоваться на сайте, нужно указывать не логин/ник, а Email адрес.
Как же это настроить: в админке находите раздел «Настройки скрипта» >> «Насторйки системы», выбираем вкладку «Посетители», и меняем метод авторизации.
В этом случае злоумышленник или шпионский скрипт серьезно призадумается . Ок, второй вариант закончен.
Вариант с удалением формы авторизации
Это мы рассмотрели варианты, когда форма авторизации присутствует в шаблоне сайта. Если же вам нужно чтобы вообще никто не регистрировался на сайте – можно эту форму совсем убрать/удалить из шаблона сайта.
Эта процедура может быть немного сложная для новичка, так что я её отдельно и подробно распишу в статье про редактирование шаблона, переходите по ссылке.
Как узнать логин/ник администратора
Допустим вы изменили/сменили администратора, то есть теперь у него другой логин, а старый администратор, под ником «admin» забанен или удален. Но, всё же, кто-то, под вашим новым администратором пытается залогиниться в админке.
Тут у вас может возникнуть вопрос – «как так? я же поменял ник!». Значит, злоумышленник каким-то образом узнал ваш новый ник, и продолжает ломиться в вашу админку. Как он узнал логин администратора?
Так же, несколько вариантов. Кстати, может пригодиться если вы вдруг забыли свой логин, ну, мало ли, может быть такое бывает.
Логин можно узнать по комментариям. То есть, если администратор отвечал кому-нибудь в комментариях, то обычно, там отображается логин админа. Вот так просто! Как это исправить на своём сайте, я опишу ниже
Ещё можно узнать логин администратора по форме обратной связи. Да, когда с вами хотят, или нужно связаться через ваш сайт, а вы не указали на нём свои контактные данные, обычно люди пользуются формой обратной связи.
Обычно она открывается по ссылке www.ваш_домен.ru/index.php?do=feedback , и выглядит примерно вот так, как это показано ниже.
И как вы заметили, там отображается логины всех администраторов. Тоже, как видите, очень просто можно узнать.
Теперь я думаю понятно, как можно узнать логин администратора – это с помощью комментов и формы обратной связи. Теперь давайте решить эти две проблемы.
- Как убрать логин из комментариев и заменить его ником или полным именем. Для этого нужно… ненене, подождите, если я сейчас начну всё это расписывать в данной статье, она получиться огромной и неудобной, так что, переходите в статью – Как заменить логин на ник или полное имя в комментариях.
- И кстати, я тут сразу подумал, и решил что для формы обратной связи тоже нужно выделить отдельно статейку, назовём её – Убираем логин админа в форме обратной связи на DLE.
Ну вот, данная статья может помочь ответить ещё на несколько дополнительных вопросов. Как защитить админпанель от авторизации под вашим логином.
Кстати, мне ещё вспомнился один хак, он тоже банальный, связан с формой авторизации, заметьте, не регистрации, а авторизации на сайте. Даже если вы уберёте эту форму, к ней всё равно есть стандартный доступ.
Если вы впишите в адресной строке после вашего домена admin.php, перед вами загрузить самая главная форма авторизации к панели администрирования. Многие хакеры и скрипты про неё знают. Мне кажется, вам бы хотелось, чтобы к ней не так просто было добраться. Для это нужно просто изменить имя файла, админпанели. И вопрос за 300 – Как изменить имя файла входа в админку, и тем самым защитить её от взлома через скрипты или другого хитрого софта.
Блин… тоже получится немаленькая статья… ок, кликаем на эту ссылку – меняем имя и адрес админки.
Всё народ, просто берите и делайте, не рассчитывайте на удачу – удачлив тот, кто много действует. Так что – ДжастДуИт. И я ещё хочу много статеек написать, так что, там выше есть форма подписки, смело подписывайтесь, потому что никакого спама вы от меня не дождётесь, только по делу, только факты, только бомбический контент.