2018-05-24, 週四

限制administrator的存取,讓你的網站更安全

張貼於 週四, 22 一月 2015 15:49 作者

使用免費的系統,因為是開放軟體,所以大家都知道。

如果想要知道網站是不是Joomla做的,除了看一下網頁的原始碼是否有任何蛛絲馬跡,最簡單的方式就是連結到/administrator這個管理區的登入網頁。

除此之外,任何登入頁都有可能被有心人嘗試(try)破解,所以保護它,也是讓網站更安全的方式之一。

這裡我們使用kSecure外掛套件(註:KSecure不支援PHP7, 若主機使用PHP7, 可改用AdminExile)

首先到連結到http://extensions.joomla.org

搜尋列輸入 ksecure

 

點選 GET KSECURE 按鈕,進入 kSecure 下載頁。※ 若要尋找其他同類型套件,可在導覽列點選 Site Security 連結。

 

點選 Download kareebu Secure連結

 

這裡看到下載前需要先登入或註冊會員

 

註冊會員(免費)登入後,可直接下載檔案

 

看起來有點麻煩,不過,國外有很多套件下載的網站都希望你可以留下資料。所以,我們通常會固定使用一個email用來註冊這些下載套件的網站。

 

下載之後,我們一樣透過管理區的擴充套件管理安裝。

 

安裝完成後,需要做簡單的設定。

 

從管理區選單→擴充套件,進入外掛管理,搜尋列輸入secure

編輯System - kareebu Secure,並啟用它。

設定方式很簡單

Enable,設定為“是”,啟用kareebu Secure

輸入Password (大小寫會被視為不相同)

kSecure提供兩種授權模式

1. HTTP Authentication,使用HTTP授權,更安全。

如果你的網站主機使用Apache+PHP,建議可以使用HTTP授權方式。

當連結到管理區登入頁的時候,會先開啟Apache的授權視窗。

例如: http://dora33.joomlaec.com/administrator

需要輸入前面設定的Password(使用者名稱不用輸入),才能進入登入畫面,多了一層防護。

 

2. Compatibility, 使用相容性模式,安全性較低,但相容性高。

進入管理區登入頁面,需要在網址後方輸入前面設定的Password,才能進入登入畫面。

http://dora33.joomlaec.com/administrator?12345

這裡的12345指的就是在kSecure設定的Password (請輸入自己設定的密碼)

如果被猜出密碼,就可以進入登入頁,所以安全性較低。

 

不過,使用任一種,都已經多了一層保護,也提高了安全性,所以就視自己的主機環境或需求來選擇囉。

 

閱讀 693 次數
JoomlaEC

選擇簡單好用的工具,讓您的專業發揮到極致。

www.joomlaec.com