Переименование каталога администратора

9

Может ли директория администратора быть эффективно переименована (например, путем простого изменения кода ядра Joomla!), Например на admTZ34 ? Основной причиной является запутывание стандартного шаблона, где www.example.com/administrator можно использовать для проверки наличия Joomla! установка (в более старых версиях также Joomla! версия и т. д.)

security miroxlav
источник
2
Перед установкой Joomla SE я задал этот же вопрос здесь, на SO: stackoverflow.com/questions/15034980/…
tim.baker

Ответы:

15

Это не очень рекомендуется или очень просто сделать. Путь администратора жестко запрограммирован во многих расширениях с вызовами таких вещей, как JTables, что означает, что изменение имени каталога может иметь множество последствий.

Тем не менее, если вы хотите предотвратить прямой доступ, попробуйте воспользоваться одним из следующих решений:

A) Пароль защиты / администратор с .htaccess защита паролем.
При этом используется HTTP-аутентификация, чтобы никто не мог попасть в каталог администратора.

http://httpd.apache.org/docs/current/programs/htpasswd.html

Б) Требовать ключевое слово в URL с расширением, как:

Чед Винднагл
источник
Быстрый вопрос относительно вашего первого пункта. Будет ли защита его с помощью файла .htaccess препятствовать перемещению файлов необходимых каталогов в папке администратора при установке расширений?
Лоддер
3
Я не верю в это, потому что .htpasswd будет проверять только доступ по http. При копировании файлов через установщик я думаю, что все это происходит на уровне сервера, поэтому я не думаю, что это будет иметь значение. Тем не менее, я видел проблемы с такими вещами, как javascript, который хранится в / administrator и вызывается через HTTP на внешнем интерфейсе и просит пользователей войти в систему. Так что это не всегда выполнимое решение.
Чед Винднаугл
@ChadWindnagle +1 с моей стороны в вашем ответе и ваших комментариях. Бэкэнд-защита с помощью htaccess является хорошим решением, но немногие расширения извлекают изображения сайта и javascript из бэкэнда сайта, в этом случае htaccess ограничивает доступ к этим изображениям и javascript-кодам.
Маниш Триведи
Продолжить @ChadWindnagle answer 3) Использовать двухфакторные аутентификации: extensions.joomla.org/extensions/access-a-security/…
Маниш Триведи
Хорошее предложение на 2 фактора. Тем не менее, я думаю, что это в Joomla 3.2+, поэтому расширение не должно быть необходимым, если вы используете последнюю версию Joomla.
Чэд Виннэгл
4

Вы не можете изменить его, так как это помешает правильной установке расширений. Однако вы можете использовать Admin Exile, которая позволяет вам добавить значение, ключ или оба к URL администратора. В дополнение к этому, если стандартный URL-адрес администратора введен, он перенаправит пользователя на сайт по вашему выбору.

http://extensions.joomla.org/extensions/access-a-security/site-security/login-protection/15711

Надеюсь это поможет

Лоддер
источник
Так что, если я понимаю, главная проблема в плагинах, верно? Можно ли сказать, что Joomla! Может ли установка без расширений выдержать переименование каталога администратора относительно безопасно?
Miroxlav
1
Расширения вообще, а не просто плагины. Есть и другие причины, по которым вам не следует менять имя папки. Одна из причин @Chad объясняет относительно JTable
Лоддер
В дополнение к этому, весь мыслительный процесс переименования / администратора / в целом как практика не является хорошим. Это не «настоящая» безопасность. Автор резервного копирования Akeeba и эксперт по безопасности Joomla написали о подобном типе действий в отношении configuration.php [ dionysopoulos.me/keep-your-files-where-i-can-see-them/]. Я бы рекомендовал прочитать это понять, почему такого рода изменения не одобряются.
Чэд Виннэгл
2

Если ваше единственное беспокойство - это плохие боты, идентифицирующие ваш сайт как сайт Joomla, то вам нужно сделать гораздо больше, чтобы скрыть эту правду.

Существует множество способов идентифицировать ваш сайт как Joomla и его версию. Этот файл .htaccess помогает в этих атаках.

Shyam
источник