2 ноября 2016 в 10:50
Всем привет! Хочу сделать защитный вход в админку, нашла решение — «Разрешить доступ к admin-ке только с вашего IP
Дополнительной защитой сайта от взлома может служить ограничение списка адресов, с которых разрешено заходить в админку. Не забудьте вставить свой IP в строке 2.
RewriteCond %{REQUEST_URI} ^/admin/
RewriteCond %{REMOTE_ADDR} !123.123.123.123
RewriteRule .* - »
Но там не учтены, что сайт мультиязычный и вход можно осуществить и через my-site/user/login.Может есть готовые модули по защите админки от взломщика, можно так сделать, чтобы пользователь заходил через е-mail подтверждение, идентично как через смс подтверждение. Буду очень благодарна за ответ, которыйпоможет не только мне.
Комментарии
А если айпишник поменятеся?
Но вообще я так вижу, этот код даёт логиниться всем, а левых выкидывает из админки. Что логично - может юзер не админ и в админку не ломится, а просто залогинился.
Как я поняла, если юзер не посетил админки, или usser/1 - страницу админа, а просто вошел на сайт, то такого пользователя не выкинет ?
С юзер1 не выкинет. Тут выкидывает только с путей, где есть слово admin в урл. А юзер/1 - это же просто страница просмотра пользователя.
Ноесли всзломают, тогда можна расослать с user/1 спам, или поменять user/1 пароль
https://www.drupal.org/project/rename_admin_paths
Большое спасибо
Все решила таким образом, расчитала и регистр, мультиязычность и другие ссилки.
Чтобы сработало надо вводить правило с самого начала файла .htaccess иначе ничего не работает.
RewriteCond %{REQUEST_URI} (admin/|/user/1/) [NC]
RewriteCond %{REMOTE_ADDR} !95.69.205.58
RewriteRule .* - [F]
а ежели в место 95.69.205.58 провайдер назначит другой?
Если хочешь прям вход подтверждать по email, то здесь как вариант, можно использовать Two-factor Authentication
Вот что я нашел для подтверждения по email:
1. модуль Two-factor Authentication
+
2. модуль TFA Basic plugins
+
3. патч на 2 модуль Expose Email as available two factor authentication method
Сам это настраивать не пробовал
О, Большое спасибо, протестую скажу что лучше
Руская инструкция существует к модулю Two-factor Authentication - я только поняла что надо поставить плагины TFA Basic plugins?
Так как дальше для меня непонтно что делать (((
Давайте вместе протестовать.
А да, потом заметила что сделала ошибку, ТЕСТИРОВАТЬ
Попробовал настроить, вроде работает, делал так, рекомендую сперва проверять все на тестовом сайте:
1. Установить и включить модуль Two-factor Authentication (TFA)
2. Установить и включить модуль TFA Basic plugins
3. Применить патч Expose Email as available two factor authentication method на модуль в пункте 2, как написано здесь Drupal → Как пропатчить Drupal модуль в Windows, там написано для Windows, но для Linux так же нужно все делать
Если модуль пропатчен успешно, то в консоле должно появится что-нибудь типа:
Далее переходим в конфигурация -> пользователи -> Two-factor Authentication
и ставим галочку - Enable TFA
и выбираем в - Default validation plugin: E-mail codes и сохраняем настройки
затем переходим в профиль пользователя и выбираем вкладку - Безопасность и нажимаем - Verify your e-mail address
после этого открывается страница, где нужно ввести свой текущий пароль и нажать кнопку - Подтвердить
далее выход страница, где нас просят ввести 6-ти символьный код подтверждения, который отправлен на e-mail адрес
на почту приходит
вводим код и нажимаем - Verify и получаем сообщение об успешной установки и можем видеть, что Status: TFA enabled, а так же письмо на почту
P/s: Хотел приложить уже пропаченый модуль TFA Basic plugins, но что-то не нашел как архив-zip отправить
БОЛЬШОЕ ВАМ СПАСИБО!!!!
Обрати внимание на способ - TOTP, для меня этот способ намного удобнее
Настраивается так же
Только здесь нужно ставить программу себе на телефон
Только что попробовала, поставила приложение https://play.google.com/store/apps/details?id=com.authy.authy&hl=en зарегистрировалась, прошла активацию через смс, и теперь при входе ввожу код с приложения, который меняется почти каждныъ 60 секунд и вхожу в админ панель. Но Ище пробовала на другие сайты поставить, не знаю нужно ли там на каждный сайт создавать новый профиль в приложении или как ище там....
При настройке использовал Google Authenticator, там нужно, каждый сайт/учетная запись = новый штрихкод, вроде так
У меня Authy 2-Factor Authentication и тоже самое с учетными записаями
Ну теперь точно не взломают..,
Или все таки нет?
Кто знает, но на 99% уверена что не взломают )))))
Обычно, взламывают не подбором пароля админки...
Двухфакторная авторизация это плюс к безопасности, конечно, но не панацея и близко.
А панацея что тогда?
Панацея - отключить сервер от интернета, засунуть его в железный ящик и заминировать. Тогда если и взломают, то данные точно не получат.
Её не существует: ломают даже не подключённые к сети системы.
Но есть набор действий, который затрудняет взлом:
Ну и разные мелочи и хитрости, типа защиты от перебора паролей и скана уязвимостей, например, на основе honneypot и fail2ban интегрированного с syslog.
И вплоть до IDS и HTTP фаерволла, если проект достаточно серьёзный.
Интересная картинка
Нашла неплохой модуль, ище почти не пользовала https://www.drupal.org/project/security_review
Может кто то уже использовал, тогда поделитесь опытом
Не пользовался, но по описанию неплохой инструмент. Один из многих, которые нужно использовать.
Если говорить о модулях Drupal, то ещё стоит посмотреть вот на это, как инструмент контроля целостности сайта: https://www.drupal.org/project/hacked
секюторность секюторностью, но не забываем делать бекап почаще.
Бекап, да мой хостиг делает бекап кадных три дня......