Zmiana nazwy katalogu administratora

9

Czy można skutecznie zmienić nazwę katalogu administratora (na przykład przez prostą zmianę kodu podstawowego Joomla!) Na przykład admTZ34 ? Głównym powodem jest zaciemnienie standardowego wzorca, w którym www.example.com/administrator może być użyty do sprawdzenia obecności Joomla! instalacja (w starszych wersjach także wersja Joomla! itp.)

security miroxlav
źródło
2
Przed skonfigurowaniem Joomla SE zadałem to samo pytanie tutaj na SO: stackoverflow.com/questions/15034980/…
tim.baker

Odpowiedzi:

15

To naprawdę nie jest zalecane ani bardzo proste. Ścieżka administratora jest zakodowana na stałe w wielu rozszerzeniach z wywołaniami takich rzeczy jak JTables, co oznacza, że ​​zmiana nazwy katalogu może mieć wiele konsekwencji.

To powiedziawszy, jeśli chcesz uniemożliwić bezpośredni dostęp, wypróbuj jedno z poniższych rozwiązań:

A) zabezpieczyć hasłem / administrator z .htaccess ochrony hasłem.
Wykorzystuje to uwierzytelnianie HTTP, aby uniemożliwić komukolwiek dostęp do katalogu administratora.

http://httpd.apache.org/docs/current/programs/htpasswd.html

B) Wymagaj słowa kluczowego w adresie URL z rozszerzeniem takim jak:

Czad Windnagle
źródło
Szybkie pytanie dotyczące pierwszego punktu. Czy ochrona go przy użyciu pliku .htaccess zapobiegnie przenoszeniu niezbędnych katalogów w folderze administratora po instalacji rozszerzeń?
Lodder
3
Nie wierzę w to, ponieważ .htpasswd sprawdzi tylko dostęp http. Podczas kopiowania plików za pomocą instalatora myślę, że wszystko dzieje się na poziomie serwera, więc nie sądzę, żeby to miało znaczenie. To powiedziawszy, widziałem problemy z przechowywaniem javascript w / administrator i wywoływaniem przez HTTP na interfejsie i proszeniem użytkowników o logowanie. Dlatego nie zawsze jest to wykonalne rozwiązanie.
Chad Windnagle
@ChadWindnagle +1 z mojej strony w odpowiedzi i komentarzach. Ochrona zaplecza poprzez htaccess jest dobrym rozwiązaniem, ale niewiele rozszerzeń pobiera obrazy strony i javascript z zaplecza strony, w takim przypadku htaccess ogranicza dostęp do tych obrazów i javascripts.
Manish Trivedi
Kontynuuj @ChadWindnagle odpowiedź 3) Użyj rozszerzenia
Manish Trivedi
Fajna sugestia dotycząca 2 czynników. To powiedziawszy, myślę, że jest w Joomla 3.2+, więc rozszerzenie nie powinno być konieczne, jeśli uruchomisz najnowszą wersję Joomla.
Chad Windnagle
4

Naprawdę nie możesz tego zmienić, ponieważ uniemożliwiłoby to prawidłowe zainstalowanie rozszerzeń. Możesz jednak użyć opcji Wygnanie administratora, która pozwala dodać wartość, klucz lub oba do adresu URL administratora. Oprócz tego, jeśli zostanie wpisany standardowy adres URL administratora, przekieruje użytkownika do wybranej witryny.

http://extensions.joomla.org/extensions/access-a-security/site-security/login-protection/15711

Mam nadzieję że to pomoże

Lodder
źródło
Więc jeśli rozumiem, głównym problemem są wtyczki, prawda? Czy można powiedzieć, że Joomla! instalacja bez rozszerzeń może stosunkowo bezpiecznie wytrzymać zmianę nazwy katalogu administratora?
miroxlav
1
Rozszerzenia w ogóle, nie tylko wtyczki. Istnieją również inne powody, dla których nie należy zmieniać nazwy folderu. Jeden z powodów, dla których @Chad wyjaśnia JTables
Lodder
Poza tym cały proces przemiany nazwy / administratora / ogólnie jako praktyki nie jest dobry. To nie jest „prawdziwe” bezpieczeństwo. Autor kopii zapasowych Akeeba i ekspert bezpieczeństwa Joomla pisał o podobnym rodzaju ruchu czasowo configuration.php [ dionysopoulos.me/keep-your-files-where-i-can-see-them/] Ja polecam czytania, że do zrozumieć, dlaczego ten rodzaj zmiany jest niezadowolony.
Chad Windnagle
2

Jeśli twoją jedyną troską są złe boty identyfikujące twoją stronę jako stronę joomla, musisz zrobić wiele więcej, aby ukryć tę prawdę.

Istnieje wiele technik pozwalających zidentyfikować twoją stronę jako joomla i jej wersję. Ten plik .htaccess pomaga w tych atakach.

Shyam
źródło