Rinomina della directory dell'amministratore

9

La directory dell'amministratore può essere rinominata in modo efficace (ad esempio modificando semplicemente il codice core di Joomla!) Ad esempio con admTZ34 ? Il motivo principale è quello di offuscare il modello standard in cui www.example.com/administrator potrebbe essere utilizzato per verificare la presenza di Joomla! installazione (nelle versioni precedenti anche versione Joomla! ecc.)

security 
miroxlav
fonte
2
Prima di Joomla SE è stato istituito Ho fatto questa stessa domanda qui su SO: stackoverflow.com/questions/15034980/...
tim.baker

Risposte:

15

Non è davvero raccomandato o molto semplice da fare. Il percorso dell'amministratore viene codificato in molte estensioni con chiamate a cose come JTables, il che significa che la modifica del nome della directory potrebbe avere molte conseguenze.

Detto questo, se si desidera impedire l'accesso diretto, provare con una di queste soluzioni:

A) Proteggere con password / amministratore con un .htaccess password di protezione.
Questo utilizza l'autenticazione HTTP per impedire a chiunque di accedere alla directory di amministrazione.

http://httpd.apache.org/docs/current/programs/htpasswd.html

B) Richiedi una parola chiave nell'URL con un'estensione come:

Chad Windnagle
fonte
Domanda veloce sul tuo primo punto. Proteggerlo utilizzando un file .htaccess impedisce che i file vengano spostati nelle directory necessarie all'interno della cartella dell'amministratore durante l'installazione delle estensioni?
Lodder
3
Non ci credo perché .htpasswd controllerà solo l'accesso http. Quando si copiano file tramite il programma di installazione, penso che tutto ciò avvenga a livello di server, quindi non credo che questo abbia importanza. Detto questo, ho visto problemi con cose come javascript che sono archiviate in / administrator e che sono state chiamate via HTTP sul front-end e chiedono agli utenti di accedere. Quindi questa non è sempre una soluzione praticabile.
Chad Windnagle,
@ChadWindnagle +1 dalla mia parte nella tua risposta e nei tuoi commenti. La protezione back-end tramite htaccess è una buona soluzione, ma poche estensioni recuperano le immagini del sito e javascript dal back-end del sito, in tal caso htaccess si limita ad accedere a queste immagini e javascript.
Manish Trivedi
Continua @ChadWindnagle risposta 3) Utilizza le estensioni di
Manish Trivedi
Bel suggerimento su 2 fattori. Detto questo, penso che sia in Joomla 3.2+ quindi un'estensione non dovrebbe essere necessaria se si esegue l'ultima versione di Joomla.
Chad Windnagle,
4

Non puoi davvero cambiarlo in quanto impedirebbe l'installazione corretta delle estensioni. Tuttavia, puoi utilizzare Admin Exile che ti consente di aggiungere un valore, una chiave o entrambi all'URL dell'amministratore. Inoltre, se viene digitato l'URL standard dell'amministratore, reindirizzerà l'utente a un sito di tua scelta.

http://extensions.joomla.org/extensions/access-a-security/site-security/login-protection/15711

Spero che sia di aiuto

Lodder
fonte
Quindi, se ho capito, il problema principale sono i plugin, giusto? Si può dire che Joomla! l'installazione senza estensioni può resistere in modo relativamente sicuro alla ridenominazione della directory dell'amministratore?
miroxlav,
1
Estensioni in generale, non solo plugin. Ci sono anche altri motivi per cui non dovresti cambiare il nome della cartella. Uno dei motivi per cui @Chad spiega di JTables
Lodder
Inoltre, l'intero processo di rinominare / amministratore / in generale come pratica non è un buon processo. Non è una sicurezza "reale". L'autore del backup di Akeeba e un esperto di sicurezza di Joomla hanno scritto di un tipo simile di mossa per quanto riguarda configuration.php [ dionysopoulos.me/keep-your-files-where-i-can-see-them/] consiglierei di leggerlo per capire perché questo tipo di cambiamento è disapprovato.
Chad Windnagle,
2

Se la tua unica preoccupazione è che i bot malevoli identificano il tuo sito web come sito Web joomla, allora devi fare molto di più per nascondere questa verità.

Esistono molte tecniche per identificare il tuo sito web come joomla e la sua versione. Questo file .htaccess aiuta in questi attacchi.

Shyam
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.