Rumpelstilzchen
10 Aug
2018
Вот обычно почему ругают Жумлу - потому что ломают, дефейсят и так далее. Причем далеко не всегда прчиина в том, что, сцука, обновляться же надо, а порой тупо пароль подбирают.
И сейчас я вот думаю - а ничего чтов ШТАТНОЙ поставке Жумлы имеется 2FA TOTP плагин? Почему никто не пользует?
Не поймите меня неправильно, я не фоннат таких методов, но ведь Жумла это такая весчь, что лишней бзопасности не помешает.
Стандартно, из коробки Жумла имеет поддержку GA (TOTP) и Yubikey, но можно поставить Akeeba Loginguard который добавляет кучу опций - код на мыло, фиксированный пароль, PushBullet, SMS (за ваши бабки), снова TOTP и yubikey и еще U2F. Webauthn нету пока.
Может и в утиль, зато кулхацкеров отпугивает :)
Двухфакторка не спасёт от эксплойта :)
А что насчет Http авторизации и белых списков IP для админки?
Это хорошо, и так даже делают, но гарантий это не даёт.
Кстати что до эксплойтов. как-то случайно на Ютубе (!) нашло целю россыпь видосов "как ломать жумлу" для самых тупых, пошагово, даже со ссылками. Все бы хорошо, но так эксплойты просто ДРЕВНИЕ. Ну как можно постить видосы про взлом Жумлы 3.4 когда 3.8 на дворе?
Не обновляются…
Если буратина не обновляется то тут ничего не поможет. Бывают, конечно, причины, но как правило тупо лень.
Вангую ещё причину «говнокод разработчика, который менял всё наживую внутри» :)