Перейменування каталогу адміністраторів

9

Чи може каталог адміністраторів ефективно перейменований (наприклад, простою зміною основного коду Joomla!), Наприклад, на admTZ34 ? Основна причина - придушити стандартний зразок, де www.example.com/administrator можна було б перевірити наявність Joomla! установка (у старих версіях також версія Joomla! тощо)

security 
мирокслав
джерело
2
Перед тим як Joomla SE був створений , я поставив це ж питання тут , на SO: stackoverflow.com/questions/15034980 / ...
tim.baker

Відповіді:

15

Це не дуже рекомендується або дуже просто зробити. Шлях адміністратора отримує жорстке кодування в багатьох розширеннях з викликами до таких речей, як JTables, що означає, що зміна імені каталогу може мати чимало наслідків.

Це означає, що якщо ви хочете не допустити прямого доступу, спробуйте одне з цих рішень:

A) Захист паролем / адміністратор із захистом пароля .htaccess .
Для цього використовується автентифікація HTTP, щоб не допустити потрапляння будь-кого до каталогу адміністратора.

http://httpd.apache.org/docs/current/programs/htpasswd.html

B) Потрібне ключове слово в URL-адресі з розширенням, наприклад:

Чад Вітрян
джерело
Швидке запитання щодо вашого першого питання. Чи захистить його за допомогою файлу .htaccess перешкоджаючи переміщенню файлів необхідних каталогів у папку адміністратора після встановлення розширень?
Лодер
3
Я не вірю в це, тому що .htpasswd перевірятиме лише доступ http. При копіюванні файлів через інсталятор я думаю, що все, що відбувається на рівні сервера, тому я не думаю, що це матиме значення. При цьому я бачив проблеми з тим, як JavaScript зберігається в / адміністраторі та викликається через HTTP на передній частині та просить користувачів увійти. Тож це не завжди дієве рішення.
Chad Windnagle
@ChadWindnagle +1 з моєї сторони у вашій відповіді та ваших коментарях. Захист вихідного дня через htaccess - це гарне рішення, але мало зображень сайту із розширенням і javascript з бекенда сайту, в такому випадку htaccess обмежується доступом до цих зображень та Java-скриптів.
Manish Trivedi
Продовжуйте відповідь @ChadWindnagle 3) Використовуйте два факторні розширення для
Manish Trivedi
Приємна пропозиція з 2 фактора. Це сказав, що я думаю, що це в Joomla 3.2+ і тому розширення не повинно бути необхідним, якщо запускається остання версія Joomla.
Чад Вітненгл
4

Ви дійсно не можете його змінити, оскільки це не дозволить розширенням встановитись належним чином. Однак ви можете використовувати Admin Exile, який дозволяє додати значення, ключ або обидва до URL-адреси адміністратора. На додаток до цього, якщо введено стандартну URL-адресу адміністратора, він перенаправить користувача на обраний вами сайт.

http://extensions.joomla.org/extensions/access-a-security/site-security/login-protection/15711

Сподіваюсь, це допомагає

Лоудер
джерело
Тож якщо я розумію, головна проблема - плагіни, правда? Чи можна сказати, що Джомла! установка без розширень може протистояти перейменуванню каталогу адміністраторів відносно безпечно?
miroxlav
1
Розширення взагалі, а не лише плагіни. Є й інші причини, чому не слід змінювати назву папки. Одна з причин @Chad пояснює щодо JTable
Лоддер
На додаток до цього, весь розумовий процес перейменування / адміністратора / взагалі як практики не є хорошим. Це не "реальна" безпека. Автор резервного копіювання Akeeba та експерт із безпеки Joomla писали про подібний тип кроку щодо config.php [ dionysopoulos.me/keep-your-files-where-i-can-see-them/], я рекомендував би прочитати це зрозуміти, чому цей тип змін нахмурився.
Chad Windnagle
2

Якщо ваша єдина проблема - це погані боти, що ідентифікують ваш веб-сайт як веб-сайт Joomla, тоді вам потрібно зробити набагато більше, щоб приховати цю правду.

Існує багато методик, щоб визначити ваш веб-сайт як Joomla та його версію. Цей файл .htaccess допомагає в цих атаках.

Шям
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.