Zablokowany dostęp do panelu zarządzania Joomla! w SuperHost
Firma SuperHost wprowadziła dodatkową konieczność logowania, przed dostępem do Panelu Administracyjnego. Jeśli chcemy się zalogować do naszego panelu administracyjnego w Joomla, zostaniemy poproszeni o podanie dodatkowego zestawu danych (login i hasło). Skąd mamy sobie wziąć ten login i hasło ? i kto je ustawił ? Otóż login i hasło jest widoczne na ekranie logowania i brzmi ... admin:admin :)
Trochę informacji
Zadzwoniłem do w/w firmy hostingowej z pytaniem co ma zabezpieczać powyższa metoda, bo nie bardzo rozumiem. Odpowiedź była krótka i prosta "to jest zabezpieczenie przed robotami". Nie do końca rozumiem po co .. czyżby chodziło o próby ataku brute force?, czyli próby włamania przy pomocy słownikowego zgadywania loginu i hasła ?
Zapytałem również, czy taka informacja została rozesłana do klientów, ponieważ nikt z moich klientów nie dostał żadnej informacji o nowym zabezpieczeniu. Na to pytanie także otrzymałem krótką odpowiedź: "Nie, nie informowaliśmy o tym, po prostu wdrożyliśmy".
A po co, komu to potrzebne?
Zasadność wprowadzonego rozwiązania jest dla mnie nieco niezrozumiała. Wszystkie strony (a w zasadzie panele zarządzania) na ich hostingu chronione są takim samym loginem i hasłem, firma powołuje się na ochronę przed robotami i atakami... Spróbujmy więc pewnej sztuczki,
Jeśli posiadasz stronę na hostingu SuperHost, skopiuj i wklej w pasku adresu Twojej przeglądarki poniższy adres: (w miejsce tutaj-adres-twojej-strony, wstaw adres swojej strony bez http)
http://admin:admin@tutaj-adres-twojej-strony/administrator/index.php
Jeśli wszystko zadziała, właśnie ominęliśmy konieczność podawania loginu i hasła, które miało dodatkowo chronić naszą stronę. Dlaczego się tak stało? Pewnie dlatego, że każdy już wie, że dla każdego konta hostingowego w firmie SuperHost login i hasło zawsze jest takie samo i można je przekazać w adresie ....
Przychodzi mi teraz do głowy pytanie. Jeśli ja to wiem, Ty już wiesz, to czy dużym problemem jest zdobyć taką wiedzę osobom, które chcą nadal próbować dostać się do naszego panelu administratora? No chyba nie ....
Przeciwdziałanie atakom brute force
Jeśli można obejść konieczność podawania dodatkowego loginu i hasła, można pewnie bez żadnych przeszkód przygotować skrypt, który nadal będzie próbował zdobyć dostęp do naszego zaplecza. Czy obecne rozwiązanie oferowane przez firmę SuperHost jest zasadne ... chyba nie.
Jak zwiększyć swoje bezpieczeństwo?
To najbardziej mnie interesowało. Jak zatem mam zmienić hasło dla klienta, bo nie chcę aby każdy wiedział że jest to admin:admin. Niestety nie ma systemowego rozwiązania aby zmienić samodzielnie hasło. Aby to zrobić należy przesłać taką prośbę do supportu firmy SuperHost. Moje zdziwienie było nie małe, jak to, mam przesłać zwykłym e-mailem moje "tajne" hasło ? Kto zatem będzie miał do niego dostęp, kto je pozna.. czy przypadkiem nie jest wszystko jedno czy hasłem będzie admin czy inne skoro i tak nie jest one "tajemnicą"?
Cóż, ponieważ firma nie daje innej możliwości, moim zdaniem jednak lepiej jest przesłać do supportu prośbę o zmianę tego hasła bo wszystko będzie lepsze niż znane już wszystkim admin:admin.
Czy można wyłączyć dodatkowe zabezpieczenie?
Można. W tej sprawie również należy skontaktować się z pomocą techniczną firmy SuperHost.
Podsumowanie
Szkoda, że firma SuperHost nie poinformowała o nowym "zabezpieczeniu" wszystkich klientów. Szkoda, że nie uruchomiła możliwości zmiany loginu i hasła z poziomu konta hostingowego, do którego tylko my mamy dostęp a tym samym, tylko my znalibyśmy nowy login i hasło. Szkoda...
Być może nie dostrzegam w tej chwili sensu zastosowanego rozwiązania. Być może jest jakieś "drugie dno". Dzielę się z Wami tym, co przyszło mi do głowy i wzbudziło pewne wątpliwości. Jeśli macie swoje spostrzeżenia w tym temacie, zapraszam do komentowania.
