В этом году, почему-то участились ddos атаки в виде подбора пароля суперпользователя. Запросов такое количество, что если не подберут пароль, то наверное хостер заблокирует хостинг из-за перегрузки.

В этом случае можно ограничить доступ к админ части средствами вебсервера.

Для этого нужно создать два файла:

  • .htaccess
  • и файл со связкой логин пароль, название произвольное, пусть будет users

Сгенерировать связку логин пароль можно с помощью сервиса helpreg.ru/htpasswd.php либо другим каким-то более предпочитаемым вами способом.

Файл с паролями будет выглядеть примерно так:

user1:OUiD1Ygbym5W2
user2:cX2Y8e.LlbCqE

Файл .htaccess кладем в папку administrator и добавляем в него следующий код:

DirectoryIndex index.php

# by reg.ru support team
<Files index.php>
AuthType Basic
AuthName "please use your ISPmanager login and password"
AuthUserFile "/var/www/userfolder/data/etc/users"
Require valid-user
</Files>

Что значат эти строки..

  • Правила применяются к файлу index.php
  • Basic - базовая авторизация. Применяется алгоритм шифрования Base64
  • AuthName - задается поясняющее сообщение в диалоге ввода логина и пароля
  • AuthUserFile - здесь прописывается абсолютный путь к файлу с паролями. Его можно посмотреть в админке Joomla Сайт > Информация о системе > Информация о PHP. Там ищем параметр DOCUMENT_ROOT
  • Require valid-user - для всех пользователей, прошедших авторизацию.