Ve výchozím nastavení je administrační rozhraní Grav CMS (Admin Panel) dostupné přes relativní cestu /admin. Výchozí administrátor má takové uživatelské jméno, které použijeme v registračním formuláři při prvním přihlášení. Obojí má svá potencionální bezpečnostní rizika. Jak jim předejít si řekneme v tomto článku.

Šifrovaná komunikace prostřednictvím zabezpečeného protokolu HTTPS

Začneme tím, že web běžící na Gravu bude používat zabezpečený protokol HTTPS. Konkrétní nastavení je dáno použitým hostingem a jsou k němu obvykle podrobné návody v nápovědě poskytovatele hostingu. Pokud převádíte web z HTTP na HTTPS, nezapomeňte provést přesměrování původních odkazů z nezabezpečeného protokolu HTTP na zabezpečený protokol HTTPS. Zabezpečená komunikace se netýká pouze administračního rozhraní, ale veškeré komunikace, tedy např. i údajů odeslaných prostřednictvím kontaktního formuláře.

Vhodná volba uživatelského jména uživatele s právy administrace

Uživatelské jméno je společně s heslem a cestou administračního rozhraní jedním z klíčů, které je třeba maximálně chránit. Je vhodné se vyvarovat jmen, která jsou předvídatelná, tedy např. admin, administrator nebo spravce, ale volit jména typu vpedit. V případě, že máte pro správce, či dokonce superadmina (uživatele s nejvyššími právy), nastavena z hlediska bezpečnosti nevhodná jména, můžete je změnit. Stačí přejmenovat příslušný .yaml soubor ve složce /user/accounts. Druhou možností je vytvořit nové uživatele s administrátorskými právy a původní deaktivovat nebo jim práva omezit. Pokud používáte uživatelská jména pro výpis autorů, např. prostřednictvím doplňku Stamp, pak těmto veřejným uživatelům doporučuji přidělit pouze nezbytně nutná práva (záleží na účelu účtu).

Unikátní a silné heslo

Dobře zvolené heslo je základem, aby byl účet dobře ochráněn. Grav CMS vyžaduje zadání silného hesla přes definici danou regulárním výrazem pro dané pole (velké písmeno, malé písmeno, číslice, znak), nicméně to je pouze jeden z faktorů. Dalším je, že by heslo mělo být jedinečné pro konkrétní instanci, a nemělo by být odhadnutelné. O tvorbě hesel bylo napsáno tisíce článků jinde, je tedy zbytečné zde uvádět, jak k této problematice přistupovat.

Skrytá cesta k administračnímu rozhraní

Máme vhodně nastavená uživatelská jména a uživatelé používají silná hesla. Co chtít více? Obvykle jsou přihlašovací formuláře snadno dohledatelné na výchozích cestách příslušných CMS. V případě Gravu je přihlašovací formulář do administračního rozhraní přístupný na relativní cestě /admin. V rámci nastavení Admin Panelu lze uvedená cesta snadno změnit. Aby změna měla význam, musí se opět jednat, jako v případě uživatelského jména, o nějaký těžko odhadnutelný název. Určitě tedy ne /administrace.

2FA aneb dvoufaktorové ověření

Pro zabezpečení jsme udělali téměř maximum. Chceme-li jít ještě dál, pak je tu 2FA (two-factor authentication). Tuto volbu musíme nejprve aktivovat v nastavení Admin Panelu u uživatele, který bude 2FA využívat. Naskenujeme QR kód v příslušné ověřovací aplikaci, čímž dojde ke spárování. Nyní se v přihlašovacím formuláři objeví další pole pro zadání jednorázového hesla, které je dostupné přes ověřovací aplikaci. Nezapomeňte si uložit obnovovací klíče, které lze použít v případě nouzového přístupu. Na rozdíl od jiných aplikací lze v případě Gravu poměrně jednoduše obnovit účet, jak v případě zapomenutého hesla, tak i v případě, kdy přijdeme o ověřovací aplikaci, případně i o obnovovací klíče. Je ovšem lepší uvedenému předcházet a obnovovací klíče mít pečlivě uloženy.