Joomla websites bestaan uit twee gedeeltes, een frontend en een backend. De frontend daar heeft iedereen met een internetverbinding toegang toe. Om toegang te krijgen tot de backend, dien je in te loggen.
Dit is bekend bij iedereen. Wat ook bekend is, is dat het adres van de backend (of de beheeromgeving) /administrator is. Dus, je website adres en daarachter /administrator. Ook dat is bij iedereen bekend.
Ook hackers weten dit
Het bovenstaande is dus ook bij hackers bekend. En zodoende is het voor hackers heel eenvoudig om op het inlogscherm van je beheeromgeving te komen. Het enige wat ze dan nog hoeven te doen om toegang te krijgen tot je website, is het raden van je inlog gegevens.
Je Joomla website zou een stukje veiliger zijn, wanneer niet iedereen zomaar op het inlogscherm van je beheeromgeving zou kunnen komen. Eigenlijk zou je het adres van je beheeromgeving moeten kunnen aanpassen.
Er zijn plugins die dit voor je kunnen regelen. Er staat al een hele tijd een video over de ksecure plugin op mijn site, waarmee je het Joomla beheeradres kunt wijzigen. Alleen is deze plugin helaas niet meer beschikbaar.
Daarom nu dit artikel met video over een goed alternatief.
De Adminexile plugin
Deze plugin doet in principe hetzelfde als de Ksecure plugin, namelijk een wachtwoord toevoegen aan je Joomla beheeradres. Daarmee wijzigt het adres en is het inlogscherm van je beheeromgeving niet meer zomaar door iedereen te benaderen.
De Adminexile plugin voegt hier nog wat interessante opties aan toe. Zo is er een mogelijkheid om twee wachtwoorden tegelijk te gebruiken voor je beheeromgeving, waardoor het adres nog lastiger te achterhalen is. Verder is er een optie om een mail te ontvangen met het correcte adres van je beheeromgeving (handig als je vergeten bent welke wachtwoorden je voor je beheeradres ook al weer had gebruikt).
De plugin heeft twee versies, een gratis versie en een betaalde PRO versie. In de onderstaande video laat ik je eerst de mogelijkheden van de gratis versie zien, daarna de opties die je kunt vinden in de PRO versie:
Wanneer je geen gelegenheid hebt om de video te bekijken, dan kun je ook met de instructies hieronder aan de slag. Wanneer je de plugin hebt geïnstalleerd en geactiveerd, kun je een URL Access key invullen (zie afb.)
De URL Access key wordt vervolgens toegevoegd aan je administrator adres. Wanneer je dus als URL access key het woord "geheim" gebruikt, wordt het adres administrator/?geheim.
Uiteraard is het zinvol om een sterker wachtwoord te gebruiken dan "geheim".
Nog wat veiliger wordt het wanneer je ook een Key value gebruikt (zie afb.):
Zowel de URL Access key als de key value worden nu toegevoegd aan het administrator adres. Ze worden van elkaar gescheiden door het "=" teken. Wanneer je als URL Access key "geheim" zou gebruiken en als Key value "zeergeheim", dan wordt dit het adres van je beheeromgeving: administrator/?geheim=zeergeheim.
Wanneer je een URL Access key en key value gebruikt, dan mag je niet alleen cijfers gebruiken en bepaalde tekens zijn ook niet toegestaan. Wanneer je een teken gebruikt dat niet is toegestaan, dan krijg je daarover een melding.
Met de optie "Failure response" kun je instellen wat er moet gebeuren als iemand je administrator pagina wil openen zonder URL access key. Je kunt iemand terugsturen naar je homepage, naar een 404 melding of naar een andere locatie (zie afb.):
Met de frontend restrictions kun je bepaalde gebruikersgroepen het inloggen via de frontend verbieden. Stel dat je niet wilt dat super users via de frontend inloggen, dan kun je dat hier instellen.
Een andere handige optie in de plugin is de "Link recovery" optie. Stel dat je bent vergeten wat ook al weer je URL Access key was, of je weet je key value niet meer (of beide), dan heb je een probleem. Je kunt dan namelijk niet meer toegang krijgen tot je beheeromgeving.
Met de "Link recovery" optie kun je jezelf een mail laten sturen met het correcte adres voor je beheeromgeving. Je kunt deze optie aanzetten en instellen voor welke gebruikersgroepen deze optie beschikbaar is.
Om nu daadwerkelijk een mail te krijgen met het correcte adres van je beheeromgeving, gebruik je deze url: administrator/?maillink=USER .
Waar nu USER staat, vul je je Joomla gebruikersnaam in. Dus, is je gebruikersnaam bijvoorbeeld pietje, dan gebruik je deze url: administrator/?maillink=pietje .
Je ontvangt dan een mail op het mail adres dat staat ingesteld in je Joomla gebruikersaccount. In de mail vind je het correcte adres van je Joomla beheeromgeving.
De gratis versie vs de Pro versie
De mogelijkheden die je hierboven ziet, zijn aanwezig in de gratis versie. Met deze versie kun je dus al een mooie extra beveiligingslaag leggen over je Joomla website.
De PRO versie gaat nog een stap verder en voegt IP security toe en brute force bescherming.
Met de IP security kun je IP adressen en IP reeksen (zowel IPv4 als IPv6) toevoegen aan een white list of aan een black list. Ip adressen op de black list hebben geen toegang meer tot de beheerkant van je Joomla website. Je kunt dit dus als een soort firewall zien voor je beheeromgeving.
Brute force is het geautomatiseerd uittesten van heel veel wachtwoord combinaties op een website. Letterlijk duizenden wachtwoorden worden getest binnen een paar seconden, in de hoop je wachtwoord te raden.
Met dit soort brute force aanvallen worden veel wachtwoorden gekraakt, en dit soort aanvallen zorgen voor een behoorlijke belasting op je website. De PRO versie van de adminexile plugin biedt hier dus bescherming tegen.
De support van Richeyweb
Belangrijke vraag bij een extensie, en zeker bij een betaalde extensie (zoals de PRO versie van adminexile) is: hoe staat het met de support?
Ik heb goede vertrouwen in de support die je van Richeyweb mag verwachten. In de voorbereiding op het maken van deze video, kwam ik een kleine fout tegen. Ik heb toen meteen Michael Richey hierover een mail gestuurd.
Binnen een half uur had ik keurig een reactie terug. Hij had de fout hersteld en hij had me meteen een aangepaste versie gestuurd om te testen.
Met andere woorden, een zeer snelle en adequate reactie op mijn mail. Dit geeft vertrouwen in de support die je mag verwachten.
Mijn conclusie over de adminexile plugin
De adminexile plugin is een uitstekende en aan te raden toevoeging voor je Joomla website. Je geeft je website een stukje extra beveiliging door een wachtwoord op je beheeradres te zetten.
Verder bevat de plugin nog een aantal extra opties die handig kunnen zijn, zoals de mogelijkheid een extra wachtwoord toe te voegen (de key value) en de mogelijkheid om via de mail je correcte beheer adres te krijgen in het geval dat je je URL access key en/of key value vergeten bent.
Met de gratis versie kun je al prima toe. Voor nog meer beveiliging zou je zeker de PRO versie kunnen overwegen. De support van Richeyweb lijkt helemaal oke te zijn.