Kalbynet logo 19

kalbynet

Skydda din inloggningssida mot attacker

20 november 2014

Skydda inloggningen för din hemsida

Olika typer av hackerattacker blir allt vanligare. Måltavlorna är ofta hemsidor byggda  i vanliga CMS-system som Joomla, Wordpress och Drupal. Anledningen till att dessa system är måltavlor är att hackern här vet sökvägen till inloggningssidan.

Varför behöver jag skydda inloggningssidan?

Lyckas hackern lista ut lösenordet till administrator-delen så är det sedan enkelt att ta över hela sidan. Detta kan vara mycket förrödande. Även om inte hackern lyckas lista ut något lösenord så kan själva attacken belasta hemsida och server hårt då det görs väldigt många anrop på kort tid. Detta gör hemsidan seg och kan t.om. göra att besökare får "time out" då hemsidan tidvis helt enkelt slutar att fungera.

Skydda inloggningssidan med kakor

Som tur är så är det relativt enkelt att skydda sin hemsida mot denna typ av attack. Det finns olika sätt, men nedan visar jag på ett sätt att stoppa upprepade inloggningsförsök på hemsidan.Det enklaste sättet att skydda inloggningssidan är att bara tillåta besök från vissa ip-adresser. Problemet med denna teknik är att den inte fungerar för flertalet användare då det krävs att man har en fast ip-adress.  Jag presenterar därför här en annan metod som kräver lite mer arbete, men som inte hindrar legitima användare att logga in på sidan.

Så här gör man

  1. Skapa en ny mapp i root-mappen för din hemsida. Namnet på denna mapp blir den nya adressen till inloggningssidan. Exempel: www.dinhemsida.se/mapp
  2. Skapa en index.php fil i dennna mapp som innehåller följande kod:
$admin_cookie_code="12345678";

setcookie("JoomlaAdminSession",$admin_cookie_code,0,"/");

header("Location: /administrator/index.php");

?>

Du behöver sedan lägga till följande kod till .htaccess-filen i administrator-mappen (för Joomla):

RewriteEngine On
RewriteCond %{REQUEST_URI} ^/administrator
RewriteCond %{HTTP_COOKIE} !JoomlaAdminSession=12345678
RewriteRule .* - [L,F]

Så här fungerar det

Php-filen genererar en cookie med en speciell kod till användaren som sedan automatiskt skickas till inloggningssidan där det går att logga in som tidigare. Hackers som försöker logga in direkt stoppas då de inte har den cookie som krävs i .htaccess-filen.

Detta betyder att för att kunna logga in behöver du gå in på den nya adress som skapades under punkt 1. Såvida inte hackern vet namnet på mappen som du skapade så har de ingen möjlighet att besöka din inloggnings-sida.

Några nyttiga länkar i ämnet:

https://www.udemy.com/blog/joomla-admin-url/

http://anything-digital.com

Skriven av

Per Pegard

Per Pegard

Delägare. Var med och startade KalbyNet och har jobbat med webbutveckling sedan 1996.

Lämna en kommentar

Du kommenterar som gäst.

KalbyNet AB

Södra Portgatan 28 B vån 2
Södra Portgatan 28 B, 283 50 Osby
0479-42120
service@kalbynet.se

Följ oss

  

Kalbynet använder så kallade cookies för att göra din upplevelse bättre och ditt besök på hemsidan bekvämare. Genom att fortsätta accepterar du att vi använder cookies.
Mer info Ok