Joomla tem um inconveniente, a url de administração. Qualquer usuário da web após identificar que o website foi desenvolvido em Joomla, pode acessar a url de administração do website, digitando (seusite.com.br/administrator). Isso faz com que os "crackers" poupem tempo ao tentar um ataque do tipo força bruta em que tentam descobrir o usuário e senha de administração, uma vez que o Joomla entrega de bandeja o local em que é efetuado o login, ou seja, /administrator.
Existem várias formas de se implementar segurança extra no momento de efetuar o login no backend do Joomla. Algumas são caras (token), outras inviáveis em ambientes comerciais, ficando mais restrita a ambientes corporativos (autenticação pelo Apache). Porém, existe um plugin livre e gratuito de fácil configuração e que resolve este problema.
A dica veio de um tópico da comunidade SGC Joomla e eu fui atrás para testar e disponibilizar um tutorial de utilização para vocês.
O plugin de autenticação jSecure foi desenvolvido pela seguinte equipe: (Ajay Lulia, Bhavin Shah, Kamlesh Rewapati).
Informações:
O plugin de autenticação jSecure impede o acesso a página de entrada da administração (back-end) sem a chave de acesso adequado.
Etapas de instalação:
1. Faça Login para área de administração
2. Extensões -> Instalar/Desinstalar -> selecione o arquivo plgSystemJSecure.zip.
3. Clique em Instalação e carregamento.
Uma vez que o plugin está instalado há poucos passos manuais que precisam ser seguidos para fazer funcionar o plugin:
1. Ir a plugins-> System
3. Clique em System - link Autenticação jSecure
4. Ativar o plugin e configurar os parâmetros opcionais especificados abaixo
5. Salve o plugin.
A Chave padrão para acessar a página de login é "jSecure" e você deve alterá-la para a sua chave, observe a imagem acima.
Observação: A chave é case sensitive (sensível a caracteres maiúsculos e minúsculos) e pode conter valores alfanuméricos (RECOMENDADO). POR FAVOR, não use os valores numéricos
Como usar:
nome http://www.site/administrador/?keyname
keyname: nome da chave é a chave especificada no módulo de autenticação jSecure.
Definir os parâmetros:
O plugin de autenticação jSecure fornece os seguintes parâmetros:
Key: Esta é a chave de segurança que será utilizado para conceder acesso à área de administração.
Redirecionar Opções: Este parâmetro especifica a ação a tomar se a chave não corresponde. Existem duas opções:
* Índice página de redirecionamento para: usuário não autorizado Redirect back to home page
* Custom Caminho: Fornecer caminho relativo para a página personalizada, por exemplo 404 página não encontrada.
(*) erro ao tentar acessar a url /administrator
(*) acesso com sucesso ao utilizar a chave criada
Você pode baixar o plugin no website extensoesjoomla.com.br
