Joomla és WordPress admin oldal korlátozása

A nyilvános forráskódú CMS rendszereket leggyakrabban az admin felületről törik fel illetéktelenek. Ezt a leghatékonyabban úgy védheted ki, hogy az adminisztrációs oldal hozzáférését korlátozod, hogy csak a te gépedről vagy egy adott hálózatból lehessen csak elérni azt. WordPressJoomla vagy egyéb elterjedt CMS rendszerek esetében ez könnyedén megoldható.

Jó tudni!

Az IP cím egyedi módon azonosítja az Internethez kapcsolt számítógépet, és ez szerencsére le is kérdezhető bármelyik tárhelyen amikor az oldal betöltődik. Saját Ip címedet megtudhatod az ipcimem.info oldalon.

A korlátozást a .htaccess konfigurációs fájlban tudod beállítani.

Hol találom a .htaccess fájlt?

Általában minden weboldalhoz tartozik .htaccess fájl, azonban nem mindegy melyik fájlt szerkeszted. Az alábbiakban három módszert fogok leírni, hogy hogyan kell az IP cím korlátozást kialakítani, mind a két esetben máshol kell elhelyezni a fájlt. Ha a fájl már létezik az adott helyen, akkor egyszerűen bele kell írni, ha még nincs, akkor létre kell hozni.

A .htaccess fájlt szerkesztheted vagy létrehozhatod a megfelelő helyen a cpanel fájlkezelője segítségével, de akár FTP-vel is feltöltheted. Fontos, hogy a cpanel fájlkezelőjében engedélyezned kell a rejtett fájlokat, ahhoz, hogy lásd ezt a fájlt.

Teljes könyvtár korlátozása

Ez egy nagyon egyszerű módszer, amivel például a Joomla teljes /administrator könyvtára korlátozható. Ebben az esetben a .htaccess fájlt a /administrator könyvtárban kell elhelyezned, nem a fő könyvtárban! Wordpress esetén ez a /wp-admin.

Tételezzük fel, hogy Ip címed lekérted az ipcimem.info oldalról és az: 111.111.111.111

Így módosítsd a .htaccess fájlt (egyszerűen add hozzá az alábbi sorokat):

Ha IP címed gyakran változik, mert mondjuk 3g mobil hálózatot használsz, akkor is észre fogod venni, hogy csak az utolsó egy vagy kettő számjegy módosul. Ekkor a htaccess fájlban tartományt is megadhatsz.

Ha az utolsó kettő változik (jobb oldali két szám):

Ha csak az utolsó változik (jobb oldali szám):

Több IP cím megadása:

Egyes fájlok tiltása

Például WordPress esetében lehetséges, hogy vannak olyan fájlok, amiket az oldal látogatói letöltenek az admin könyvtárból, mert egyes weboldal elemeknek (plugin, widget) szükséges a működéséhez. Ez normális, és nem ritka, hogy a WordPress widget rendszeresen lekérdezi az admin-ajax.php fájlt. Ekkor nem megfelelő a teljes könyvtár tiltása, mert az oldal egyes elemei hibásan fognak megjelenni.

A megoldás, hogy csak bizonyos fájlokat tiltunk a .htaccess fájlból. Ez elsőre kicsit bonyolultabbnak tűnhet, de nem kell megijedned! Ha az előző módszert átolvastad, ezt is meg fogod érteni!

Tételezzük fel, hogy Ip címed: 111.111.111.111

Mondjuk azt, hogy WordPress-ben készül a weboldalunk, és szeretnénk a wp-login.php fájlt tiltani, hogy illetéktelenek ne próbálgassák a bejelentkezést. Ekkor módosítanod kell (vagy létrehozni ha még nincs) a fő könyvtárban levő .htaccess fájlt, hogy ez szerepeljen benne, lehetőleg az elején:

Jó tudni!

Az első sorban szereplő Ip címben a pontok elé visszatörtet (backslash) kell rakni!

Ha nagyobb tartományt szeretnél megadni, mert változik az IP címed utolsó két számjegye is, akkor el kell hagyni az utolsó kettőt. Ha egy változik rendszeresen az Internet szolgáltató miatt, akkor egyet:

A legokosabb megoldás

A legnagyobb biztonságot az nyújtja például WordPress esetében ha a teljes wp-admin könyvtárat tiltod, azonban beengeded azokat a kéréseket amiket a widgetek használnak, például admin-ajax.php

A .htaccess konfiguráció két szabályt tartalmaz, ami a következőt jelenti sorról sorra:

  1. Ha az Ip címed nem 111.111.111-el kezdődik
  2. és a wp-login.php fájlt akarod lekérni
  3. akkor nincs jogosultságod
  4. Következő szabály:
  5. Ha az Ip címed nem 111.111.111-el kezdődik
  6. és a wp-admin könyvtárat szeretnéd lekérni
  7. de nem a /wp-admin/admin-ajax.php fájlt kéred
  8. és nem a /wp-admin/css/ könyvtárat kéred
  9. és nem a /wp-admin/images/ könyvtárat kéred
  10. akkor nincs jogod

Röviden annyit jelent, hogy nincs jogod belépni és az admin könyvtárhoz, de azért az admin könyvtárból megjelenítheted a képeket és css fájlokat.

További egyszerű .htaccess beállítás

Tovább növelheted Joomla vagy WordPress oldalad biztonságát, ha elhelyezel egy .htaccess fájlt az alább megjelölt helyekre:

  • Joomla esetén: images/
  • WordPress esetén: wp-contents/upload

A fájl tartalma pedig a következő legyen:

4 Hozzászólás

  • Trackback: Wordpress és Joomal bruteforce próbálkozások | Tárhelypark Blog
  • Kovács Sándor
    Posted 2013. 04 28. 12:04 0Likes

    Tisztelt Endre úr, kérdezném még hogyan működik egy domain név átregisztrálás? Mi van akkor, ha ezért annyit kér a szolgáltatóm, hogy inkább nem kérem? A volt domain név meddig lesz (lehet) letiltva?

    Üdv: Kovács Sándor

  • Endre
    Posted 2013. 04 30. 08:57 0Likes

    Egy domain név a felmondástól számított 105. napon lesz újra regisztrálható. 45 napig tart a felmondási státusz, utána törlés előtti parkolásba kerül a domain 60 napig.

  • Pócsai Csaba
    Posted 2017. 07 03. 02:45 0Likes

    Kedves Endre!

    Megcsináltam a “legokosabb megoldást”, köszi a leírást. Egy kérdésem van, ha saját szerveremről fut a weboldal és ezt a saját ip címemet adom, mint adminisztrátor, akkor arról a hálózatról nem engedi a belépést. Viszont ha másik saját ip címemet adom meg, akkor onnan gond nélkül megy.
    Mi lehet a hiba?

Hozzászólás küldése

Ez a weboldal az Akismet szolgáltatását használja a spam kiszűrésére. Tudjunk meg többet arról, hogyan dolgozzák fel a hozzászólásunk adatait..