Version du 30 janvier 2015 à 12:39

Lien court vers cette page : http://vt.cx/DAEx
QR code vers cette page : http://vt.cx/DAEx.qr

Présentation

Sur Joomla l'excellent plugin AdminExile permet de marsquer l'accès au back office et de bloquer les tentatives de hack en force brute à la manière de fail2ban. L'accès à l'administrator est donc codé ce qui oblige le super admin à utiliser une clé. Deux cas peuvent nécessiter de désactiver AdminExile sans passer par le back office.

1. Perte de la clé -> Méthode 1, méthode 2
2. IP du super admin blacklistée par AdminExile -> Méthode 2

Procédures

Méthode 1

Se faire envoyer la clé à l'email du super admin. Cela implique que le site puisse envoyer des emails et que l'IP du super admin ne soit pas blacklistée.

• Ajouter /administrator?email=username ou username est l'identifiant du super admin

exemple : http://monsite.com./administrator?email=admin

• Un mail est alors expédié qui contient l'URL avec le code secret
• Si le lien envoyé par mail ne fonctionne pas, c'est que l'IP du super admin est blacklistée. Deux cas de figure :
  • Changer d''IP si c'est possible (relancer la box, passer par un proxy ou un VPN, passer par un smartphone)
  • Recourir à la méthode 2

Méthode 2

Désactiver le plugin AdminExile via phpMyAdmin

• Ouvrir la base de données du site à l'aide de phpMyAdmin
• Localiser la table prefix_extension
• Afficher tous les enregistrements de la table extension
• Repérer celui intitulé PLG_SYS_ADMINEXILE
• Cliquer sur modifier
• Mettre le champs enabled à 0 (zéro)
• Cliquer sur Executer

Commentaires