Блог безопасности сайта Joomla



Двухфакторная аутентификация Joomla

 

Вступление

Двухфакторная аутентификация Joomla это новая попытка авторов системы повысить безопасность сайта, и дополнительно защитить сайт от нецелевого взлома или попросту, взлома сайта со стороны административной панели и/или со стороны сайта.

Двухфакторная аутентификация Joomla - включение

Для двухфакторной аутентификации Joomla в ядро системы ввели два плагина:

  • Двухфакторная аутентификация - Google Authenticator (ID 448);
  • Двухфакторная аутентификация - YubiKey (ID 450).

two factor authentication joomla 1

По умолчанию оба плагина отключены.

Примечание: Двухфакторная аутентификация YubiKey это включение возможности использовать свой, купленный YubiKey, на сайте http://www.yubico.com/. В этой статье мы не будем включать использование платного ключа YubiKey, а включим и настроем бесплатную двухфакторная аутентификация, Google Authenticator.

Двухфакторная аутентификация - Google Authenticator

Разумно для начала включить плагин. Что мы и делаем на вкладке: Менеджер плагинов.

Настройки плагина двухфакторной аутентификации

По сути, в настройках плагина нет настроек. Есть только три включения, где использовать этот плагин. Можно включить его для:

  • Для сайта;
  • Для панели управления;
  • Оба.

Для начала выбираем «Панель управления».

two factor authentication joomla 2

Где включается двухфакторная аутентификация

После включения плагина, посмотрим, где включается двухфакторная аутентификация. Идем на вкладку Пользователи→Менеджер пользователей и заходим в свой профиль (superuser). В меню «Двухфакторная аутентификация» видим переключатель на эту аутентификацию. Пока ничего не включаем и не переключаем.

two factor authentication joomla 3

Пора до конца понять, зачем нужна такая сложная аутентификация. После включения двухфакторной аутентификации, вам потребуется вводить не только свой логин и пароль, но и шестисимвольный код, который будет генерироваться Google Authenticator и изменятся, через 30 сек.

Google Authenticator устанавливается на каждое устройство или приложение. Его вам нужно найти в списке, скачать и установить:

  • На свой компьютер ищем тут (https://en.wikipedia.org/wiki/Google_Authenticator#Implementation)
  • На свой смартфон ищем тут (https://support.google.com/accounts/answer/1066447?hl=ru).

Зачем нужен секретный код

Как я сказал, код работает полминуты. Смысл использования ключа, плохо описан, но очень прост.

Вы superuser, и хотите защитить свой сайт от взлома подбором паролей или от «трояна», который сидит и ждет, когда его активируют, чтобы передать пароль взломщику.

  • Определяете для себя, с каких устройств вы будете входить на свой сайт;
  • Скачиваете и/или устанавливаете Google_Authenticator для этого типа устройства;
  • После установки устройства Google_Authenticator, открываете его и готовите к работе, для включения атентификации на Joomla сайте.

Покажу, как включить двухфакторную аутентификацию Joomla по шагам. Считаем, что плагин аутентификации включен.

Включение двухфакторной аутентификации для superuser

Скачиваете и устанавливаете Google Authenticator на свое устройство, которое вы будете использовать для входа в административную панель сайта. Для примера, я использую расширение Google Authenticator для браузера Chrome.

two factor authentication joomla 8

two factor authentication joomla 5

  • Идем в административную панель своего сайта;
  • Далее в "Пользователи" и открываем свой профиль, superuser;
  • Включаем двухфакторную аутентификацию;
  • Видим на шаге (2) свой секретный ключ и учетную запись;

two factor authentication joomla 4

  • Не меняя окна, открываем расширение Google Authenticator в браузере;

two factor authentication joomla 15

two factor authentication joomla 6

  • В расширении вписываем свою учетную запись и ключ. Жмем «OK». Расширение выдаст секретный код;
  • Этот код копируем, вписываем в шаг (3) и сохраняемся;

two factor authentication joomla 10

  • Если вы сделали все правильно, система покажет вам вместо шага (3) одноразовый список ключей, который может пригодиться, если нет доступа к расширению Google Authenticator.
  • Если вы не увидели, одноразовых ключей, значит, где то ошиблись. Повторяете все заново, до получения одноразовых паролей.

two factor authentication joomla 9

Сначала, настройки кажутся сложными, но если вас взламывали и попытки продолжаются, вам может помочь двухфакторная аутентификация Joomla. 

Другие статьи раздела: Безопасность Joomla

 

Рекомендуем