Es kann vorkommen, dass die Admin-Oberfläche des Joomlas von Hackern mit Bruteforce-Attacken angegriffen wird. Um zu verhindern, dass der Angreifer beliebig viele Passwörter ausprobieren kann, gibt es eine Extension namens AdminExile. Diese bringt, eine zusätzliche Authentifizierung mit, welche beim Aufruf der Admin-Oberfläche aktiv ist.
Absicherung der Admin-Oberfläche
AdminExile fügt einen Schlüssel hinzu, welcher beim Aufruf der Admin-Oberfläche mitgegeben werden muss. Dies kann wie folgt aussehen: mydomain.ch/administrator?aeShee9Quohzu8uiBaeb
Wenn nun ein Unbefugter auf mydomain.ch/administrator zugreiffen will, kommt er nicht auf die Admin-Oberfläche. Das Verhalten ist dabei konfigurierbar. Man kann auf die Hauptseite oder eine beliebige andere Seite weiterleiten, sowie eine 404-Seite anzeigen lassen. So hat der Angreiffer das Gefühl, dass diese Seite nicht existiert.
Schlüssel erhalten
Was ist jedoch wenn man den Schlüssel für die Admin-Oberfläche vergessen hat? Ganz einfach: Man geht auf mydomain.ch/administrator?email=benutzername
, wobei “benutzername” der eigene Benutzer ist. Man bekommt anschliessend eine E-Mail an die dem Benutzer hinterlegte E-Mail-Adresse mit dem richtigen Link zur Admin-Oberfläche.
Konfiguration
Man kann diverse Einstellungen für den Bruteforce-Schutz vornehmen:
Name | Beschreibung | Empfehlung |
---|---|---|
Redirection Destination | Man kann die Anzeige bei invalidem Zugriff selber auswählen. Zur Verfügung stehen:
|
{HOME} |
Max Attempts | Die Anzahl von Versuchen bevor eine IP-Adresse geblockt wird. | 3 |
Penalty | Die Anzahl von Minuten die eine IP-Adresse geblockt wird (auch wenn sie einen Zugriff auf /administrator mit gültigen Schlüssel macht) | 5 |
Penalty Multiplier | Die Nummer mit der Penalty vergrössert wird bei jedem weiteren fehlerhaften Zugriff. Zum Beispiel bei Multiplier = 2 und Penalty = 20:
|
2 |
Email Admin | Der Administrator der bei fehlerhaften Anmeldversuchen informiert wird. |
Wenn alles schief geht
Es kann natürlich vorkommen, dass man die eigene IP blockiert hat und nicht mehr auf die Admin-Oberfläche zugreifen kann. In einem solchen Fall: Keine Panik. Das Problem kann in drei Schritten behoben werden:
adminexile.php
in/plugins/system/adminexile
umbenennen, zum Beispiel nach Xadminexile.php. Ab jetzt wird die Admin-Oberfläche nicht mehr durch AdminExile geschützt.- Nun kann man in die Admin-Oberfläche gehen und AdminExile im Plugin-Manager deaktivieren.
- Wenn man jetzt Xadminexile.php zurück umbenennt nach adminexile.php kann man sich selbst von den Blockierten IP-Adressen löschen oder anderweitig das Problem beheben.
Weitere Informationen
Einführung bei Citrin Kunden
Extension Beschreibung auf joomla.org
Dokumentation von AdminExile