Защита админки через IP

[allzdorovie]

Здравствуйте!

При защите админки через ip доступ - злоумышленнык может проникнуть на сайт?

[proplat]

17 минут назад, buslikdrev сказал:

Может, если варез установите (и злоумышленник предусмотрел, что такая защита может быть включена и её нужно отключить) или через хостинг взломает.

это врятли

[HyperLabTeam]

34 минуты назад, bitrixlviv сказал:

это врятли

типа иди качай варез?
Я тебе больше скажу, всё что есть в сети всё можно сломать
Причем риск увеличивается в сотни раз взломать то где используется варез!

Отвечайте более развёрнуто а не по типу как хотите так и понимайте. будьте добры.
а то что вы ляпнули это вообще не ответ - типа как хотите так и понимайте..
 

[allzdorovie]

объясните пожалуйста для чайника - что такое варез

[proplat]

15 часов назад, AWARO сказал:

типа иди качай варез?
Я тебе больше скажу, всё что есть в сети всё можно сломать
Причем риск увеличивается в сотни раз взломать то где используется варез!

Отвечайте более развёрнуто а не по типу как хотите так и понимайте. будьте добры.
а то что вы ляпнули это вообще не ответ - типа как хотите так и понимайте..
 

Я против варезов! Все модуля для себя и своих клиентов покупаю здесь или на оф сайте, иногда на лайвопекарт.

А вот за дополнительную защиту с привязкой айпи я за. 

Взломать можно все. Согласен!

Ведь согласитесь чем больше разных вариантов защиты тем лучше!

[proplat]

15 часов назад, buslikdrev сказал:

Вряд ли взломает или предусмотрит? 

Вряд ли взломает, еще можно паку админки запаролить, + капча, + гугл аунтификатор можно,

Защиты много не бывает.

[allzdorovie]

еще можно паку админки запаролить, + капча, + гугл аунтификатор можно,

 

Подскажите, как это всё сделать - подробнее

[sitecreator]

В 07.08.2017 в 21:03, allzdorovie сказал:

При защите админки через ip доступ - злоумышленнык может проникнуть на сайт?

 

такая защита полезна.

И она не только снижает возможности взлома многократно, но и позволяет бороться с ddos атаками.

Методом грубой силы (перебор паролей)  можно создать очень сильную нагрузку на ваш сайт. Но закрытие доступа к админке по всем IP, кроме разрешенных,  лишает злоумышленников возможности вас  ddos -ить через админку. 

Сталкивался с такой проблемой (ddos ) на реальных проектах опенкарт.

 

Так что,  полезно будет всегда.

[sitecreator]

В 08.08.2017 в 21:17, allzdorovie сказал:

+ капча, + гугл аунтификатор можно

 

это все лишнее если у вас доступ только во вашему IP. 

Вам лишь будет мешать.

[snastik]

В 07.08.2017 в 21:38, bitrixlviv сказал:

это врятли

Вы простите за выражение, но что вы несете?
Достаточно пары строк кода, практически в любом файле движка, для того чтобы парой волшебных манипуляций, целиком получить доступ к проекту.

[snastik]

В 10.08.2017 в 20:27, sitecreator сказал:

 

такая защита полезна.

И она не только снижает возможности взлома многократно, но и позволяет бороться с ddos атаками.

Методом грубой силы (перебор паролей)  можно создать очень сильную нагрузку на ваш сайт. Но закрытие доступа к админке по всем IP, кроме разрешенных,  лишает злоумышленников возможности вас  ddos -ить через админку. 

Сталкивался с такой проблемой (ddos ) на реальных проектах опенкарт.

 

Так что,  полезно будет всегда.

 

Что???? Нагрузка на сайт через амдинку...
Вы правда это написали?

Да при желании можно найти вагон и маленькую тележку ссылок на которые ддос будет на порядок эффективнее.

[snastik]

В 08.08.2017 в 13:46, bitrixlviv сказал:

Вряд ли взломает, еще можно паку админки запаролить, + капча, + гугл аунтификатор можно,

Защиты много не бывает.

Если захотят - взломают любой проект.
Лучшая защита - это таки блокировка доступа по ip в admin, а еще лучше вынести admin на отдельный сервер без доступа из мира через dns-домен.

[Yoda]

В 10.08.2017 в 20:27, sitecreator сказал:

 

такая защита полезна.

И она не только снижает возможности взлома многократно, но и позволяет бороться с ddos атаками.

Методом грубой силы (перебор паролей)  можно создать очень сильную нагрузку на ваш сайт. Но закрытие доступа к админке по всем IP, кроме разрешенных,  лишает злоумышленников возможности вас  ddos -ить через админку. 

Сталкивался с такой проблемой (ddos ) на реальных проектах опенкарт.

 

Так что,  полезно будет всегда.

 

Наш вовсевовпросыответ-герой выучил новое слово DDOS атаки. 
Скажите вы не устаете от своей бесконечной клоунады сами?
Какой ДДОС на админку?

На админку может быть брутфорс!
А укладывать магазины через админку - фу фу... Можно же применить более изощренные методы, которые известны школьникам, а вы про них даже не догадываетесь!

[sitecreator]

19 минут назад, snastik сказал:

Что???? Нагрузка на сайт через амдинку...
Вы правда это написали?

 

Спасибо, что вы с партнером уделяете так много времени улучшению нашего форума, поддержанию на нем доброжелательности и поднятию вашего чувства собственной важности.

Что ни слово ваше, то золото или... может быть затычка к каждой бочке?

 

Ни на миг не допускаете, что можете ошибаться?

Ваше "не может быть", основанное на теоретических представлениях не обязано совпадать с действительностью.

 

Кстати, вы не умеете пользоваться такими словосочетаниями как "вы ошибаетесь"  или "вот тут я с вами не согласен"? К чему ваш высокомерный стиль, временами переходящий в откровенное хамство?

 

Специалисты ispserver занимались данным вопросом. И добились результата благодаря именно такой вот банальной вещи как закрытие админки по ip.

Поговорите на одном языке и объясните им насколько они, возможно, далеки от истины. А, может быть, и сами что-то новое узнаете.

 

И практика - штука упертая, да и критерий истины.  У заказчика исчезли проблемы.

Хостер проанализировал ситуацию, в том числе по логам, сделал вывод, принял меры, отчитался.  Проблема решена.

Я сделал вывод не на пустом месте, что метод работает.

 

Вопреки вашим "фу фу" примитивная атака достигала своей цели - страницы были недоступны  по несколько секунд.  Детсадовцам, еще не ставшим школьниками,  вполне хватило  нехитрых способов чтобы положить сайт.  Даже к "поиску" не стучались. Ну что поделать, не научил их йода изощренным методам, а потому как могли, так и добились результата.  Такие вот детсадовцы....

 

Да и вообще то в админку стучатся далеко не только с целью перебора пароля.

В папке admin очень часто лежат всевозможные файлы, нередко не требующие ключа для запуска и обычно предназначенные для запуска по расписанию. Начиная от разных импорт-экспорт и заканчивая отслеживанием продвижения отправлений.

И таких модулей предостаточно на нашем форуме.

И в этом случае закрытие по ip работает.

Или вы такой момент вообще не рассматриваете?

 

 

2 часа назад, Yoda сказал:

Скажите вы не устаете от своей бесконечной клоунады сами?

 

Молодой человек, а вы с какой целью задаете вопросы именно в таком стиле? Это как-то настраивает вас на конструктивный стиль общения? Или желаете услышать "сам дурак"? Так мне воспитание не позволит спуститься на ваш уровень.

 

[Yoda]

37 минут назад, sitecreator сказал:

 

Спасибо, что вы с партнером уделяете так много времени улучшению нашего форума, поддержанию на нем доброжелательности и поднятию вашего чувства собственной важности.

Что ни слово ваше, то золото или... может быть затычка к каждой бочке?

 

Ни на миг не допускаете, что можете ошибаться?

Ваше "не может быть", основанное на теоретических представлениях не обязано совпадать с действительностью.

 

Кстати, вы не умеете пользоваться такими словосочетаниями как "вы ошибаетесь"  или "вот тут я с вами не согласен"? К чему ваш высокомерный стиль, временами переходящий в откровенное хамство?

 

Специалисты ispserver занимались данным вопросом. И добились результата благодаря именно такой вот банальной вещи как закрытие админки по ip.

Поговорите на одном языке и объясните им насколько они, возможно, далеки от истины. А, может быть, и сами что-то новое узнаете.

 

И практика - штука упертая, да и критерий истины.  У заказчика исчезли проблемы.

Хостер проанализировал ситуацию, в том числе по логам, сделал вывод, принял меры, отчитался.  Проблема решена.

Я сделал вывод не на пустом месте, что метод работает.

 

Вопреки вашим "фу фу" примитивная атака достигала своей цели - страницы были недоступны  по несколько секунд.  Детсадовцам, еще не ставшим школьниками,  вполне хватило  нехитрых способов чтобы положить сайт.  Даже к "поиску" не стучались. Ну что поделать, не научил их йода изощренным методам, а потому как могли, так и добились результата.  Такие вот детсадовцы....

 

Да и вообще то в админку стучатся далеко не только с целью перебора пароля.

В папке admin очень часто лежат всевозможные файлы, нередко не требующие ключа для запуска и обычно предназначенные для запуска по расписанию. Начиная от разных импорт-экспорт и заканчивая отслеживанием продвижения отправлений.

И таких модулей предостаточно на нашем форуме.

И в этом случае закрытие по ip работает.

Или вы такой момент вообще не рассматриваете?

 

 

 

Молодой человек, а вы с какой целью задаете вопросы именно в таком стиле? Это как-то настраивает вас на конструктивный стиль общения? Или желаете услышать "сам дурак"? Так мне воспитание не позволит спуститься на ваш уровень.

 

 

Вы знаете, не в обиду будет сказано гомосексуалистам, но в их среде бытует мнение что массаж простаты - это некая божья благодать, и всем пренепременно необходимо прочувствовать всю глубину глубин сего волшебного действа. К счастью, гомосексуальных особей в любой популяции не больше 4%. К сожалению ваши вопли, попытки возмущаться, строить из себя суперспециалиста, и аппелировать к неким спецам из ISP в безвыходной ситуации, мною воспринимаются не более, чем хвальба массажа простаты четырьмя процентами популяции. Уж простите, но такой имидж у вас сформировался в моих глазах, в глазах моего подельника, и я думаю что не только у нас такое стойкое мнение.

Поэтому, прежде чем задавать мне вопросы подобного толка, разберитесь в себе, почему создается устойчивое впечатление, что вы вы апологет массажа простаты. Возможно все-таки у вас есть малюсенький шанс изменить свою ориентацию, ну или по крайней мере, научиться перестать навязывать ее проявления другим.

 

UPD для администрации. Я готов на бан за этот пост на неделю, месяц, год, но извините Sitecreator со своим "всемогузнаювсеменявсеобижают" уж очень портит ленту форума, и читать его профанские посты в каждой второй теме, и бесконечно опровергать его чушь у меня увы иссякли силы.

[Yoda]

А теперь развернуто и по теме, дабы не обвинял меня никто в голословности.

Так как opencart - по своей сути это система для генерации динамического контета, она не может быть абослютно защищена от ДДОС - потому что ключевое слово динамическая.  

Если говорить о том, как сделать действительно работающую защиту, то нужно понимать что она должна быть многослойной.

а) ваш хостер должен вас защищать от UDP и sin флуда. 

б) у вас должен быть оооочень быстрый магазин с запасом ресрурсов в 500-1000%.

в) в вашей системе должен быть настроен мониторинг нагрузки 

г) у вас должны быть настроены инструменты оперативного реагирования на нестандартные всплески.

д) ни один глобальный кешер вас никогда не спасет - так как подделать post-данные и сформировать реальную сессию пользователя, которую невозможно кешировать - это задача для школьника.

е) капчи не спасают, китайцы все еще едят лапшу в горных пещерах и сервисы по обходу каптч безумно дешевы.

ж) вышевысказавшийся персонаж рассказывает про ISP и запароливание админки через htpass, должен расстроить дважды. Во первых htpass - техника придуманная во времена, когда ips еще в памперсы мочилась, во вторых они ввели фичу паролирования директорий, не потому что 

Цитата

Специалисты ispserver занимались данным вопросом. И добились результата благодаря именно такой вот банальной вещи как закрытие админки по ip.

А потому что это нормальная практика в принципе. 
Но более нормальная практика, держать на продкашене только фронтенд, если мы говорим о том "как надо" и практиках.

з) И реально господа, вот вы когда создаете подобные темы, вас же вроде в гугле не забанили. Это очень обширный вопрос, который в рамки форума никак не помещается.
И то что можно сделать средствами движка - это скажем 10-20-30%. Все остальное это серверно-админские технологии, по которым советов и рекомендаций в гугле читать можно на пару месяцев.

[allzdorovie]

15 часов назад, Designer сказал:

 

Поставьте капчу и все на этом.

Не нужно быть на столько параноиком, чтобы так думать о безопасности своего сайта, который не кому не будет нужен.
Максимум по шпилить могут арабы залетные, для галочки или какая нибудь школота, посмотревшая видео на ютубе по перебору паролей.
Установите сложный пароль, а не qwerty и все будет нормально. Если уж совсем паранойя, смените название директории панель администратор.

 

Хорошенько от ДДосить  Вас могут, только в том случае, если в Вашем бизнесе, есть хорошие конкуренты, которому Вы мешаете вести бизнес, случай не так распространен, так как дорого обходиться. Вас это точно не касается...

Комариных атак бояться не стоит, с ними справиться и настроенный iptables

 

Чаще всего, доступ к данным ресурса можно получить из-за ошибок и халатному отношению наемных разработчиков и из-за Ваших ошибок.

 

Поверьте, компетентному человеку в вопросе взлома вашего ресурса панель администратора не нужен.

Доступ к БД или к серверу, он получит совершенно другими методами.

Поймите меня правильно - я сделала сайт на мадженто правда старой версии по урокам, обновить мадженто для меня до новой версии было не реально. Сайт побыл пару недель и его взломали, 3 раза взламывали - я восстанавливала с копии базы данных и как результат - сайт не отправляет писем ни мне как администратору ни пользователю.

 

Исходя из такой ситуации - я хочу максимально защитить свой сайт, сделанный уже на опенкарт.

[allzdorovie]

да, потому что я в третий раз пыталась зайти по своему паролю (все предыдущие разы меняла пароль на админку) - и не могла зайти по своему паролу, восстановила сайт из бекапа, опять поменяла пароль и уже не взламывали

[allzdorovie]

логин admin а пароль сложный - буквы, цифры

[allzdorovie]

на хостинге помимо меня ещё 3 сайта - я смотрела

[proplat]

21 час назад, snastik сказал:

Вы простите за выражение, но что вы несете?
Достаточно пары строк кода, практически в любом файле движка, для того чтобы парой волшебных манипуляций, целиком получить доступ к проекту.

 

 

Ну и кульминация для знатаков!

 

 

То есть защита доступа по айпи это бред. Зато ваша идея защитить админ по айпи это ваше агонь.

Браво маестро...

 

 

 

[snastik]

9 часов назад, bitrixlviv сказал:

 

 

Ну и кульминация для знатаков!

 

 

То есть защита доступа по айпи это бред. Зато ваша идея защитить админ по айпи это ваше агонь.

Браво маестро...

 

 

 

 

Лучшая защита админки - не иметь админки на домене в принципе.
А имея внедрение в любой исполняемую часть кода, злоумышленник получает возможность обойти любые блокировки. Все зависит от типа внедрение.
Уловите мысль - защита по айпи не спасает от инфицированного кода!

 

[allzdorovie]

Уловите мысль - защита по айпи не спасает от инфицированного кода!

Если я правильно поняла - это означает SQL инъекции

[mvarts]

Нет. это значит если в модулях есть строки которые дают доступ к файловой системе например. у того кто выше писал на блоге эта тема раскрыта

[Filipp10]

В 13.08.2017 в 06:53, snastik сказал:

 

Лучшая защита админки - не иметь админки на домене в принципе.

 

А как лучше быть с админкой?