Unnötig, wenn Du wie empfohlen das BE über ein .htaccess-PW sperrst.
Unnötig, wenn Du wie empfohlen das BE über ein .htaccess-PW sperrst.
Aha. DANKE für deine Antwort
Was ich nur noch nicht ganz verstehe.
GEhen wir davon aus das meine zugangsdaten fürs Jomla BE sind: benutzername: T6z/.-234ghUo und das PW: fktri854-lEf31E/! ist
dann ist das doch sicher. wenn eine "Maschiene" das knackt, warum kann "sie" dann das .htaccess PW/zugang nicht knacken?
Oder beruht die These darauf das es problematischer ist zwei schwer Zugänge in Folge zu knacken?
oder ist das vorgeschalte loginmodul besser geschützt?
Eins ist klar, so wohl als auch - alles lebt vom sicheren zugansnamen und dem sicher gewählten Passwort...
P.s: ich habe überall gelesen das der richtige schutz aus vielen verschiednen dingen beseteht. da kann ein zusätzliche adminexile plugin ja nicht schaden bzw unnötig sein oder?
Oder beruht die These darauf das es problematischer ist zwei schwer Zugänge in Folge zu knacken?
Genau!
Außerdem ist eine PW-Sicherung die serverseitig besteht (.htaccess) sicherer als irgendein Plugin, welches selber Sicherheitslücken aufweisen könnte.
BTW: Die wenigsten Angriffe, werden durch erspähte PW durchgeführt, sondern durch Erweiterungen die ein Tor offen haben.
Der .htaccess-Passwortschutz für das administrator-Verzeichnis hat mehrere Funktionen:
1) Zugriffsperre auf alle(!) Dateien via http. Also auch jeder Direktzugriff.
2) Reduzierung der Serverlast bei Bruteforce. Es wird keinerlei PHP und MySQL ausgeführt. Allein der Webserver wehrt ab und das mit einem Bruchteil der CPU-Last.
3) Rückmeldung eines Webserver-Error-Codes, statt einer 200er-Bestätigung. Das veranlasst relativ schnell die Einstellung weiterer Versuche, wenn das Angriffscript halbwegs intelligent ist.
Die Verdoppelung der Passwörter und damit die Erhöhung des Schutzes ist unwichtig, denn gute ausreichend lange und einmalige Passwörter sind nicht knackbar auf diese Weise.
