Renomeando o diretório do administrador

9

O diretório do administrador pode ser renomeado de maneira eficaz (por exemplo, por simples alteração no código principal do Joomla!), Por exemplo, para admTZ34 ? O principal motivo é ofuscar o padrão padrão em que www.example.com/administrator pode ser usado para verificar a presença do Joomla! instalação (em versões mais antigas também versão Joomla! etc.)

security miroxlav
fonte
2
Antes Joomla SE foi criado Fiz essa mesma pergunta aqui no SO: stackoverflow.com/questions/15034980/...
tim.baker

Respostas:

15

Não é realmente recomendado ou muito simples de fazer. O caminho do administrador é codificado em várias extensões com chamadas para coisas como JTables, o que significa que alterar o nome do diretório pode ter muitas consequências.

Dito isto, se você deseja impedir o acesso direto, tente com uma destas soluções:

A) Proteger com senha / administrador com uma proteção de senha .htaccess .
Isso usa autenticação HTTP para impedir que alguém chegue ao diretório admin.

http://httpd.apache.org/docs/current/programs/htpasswd.html

B) Exigir uma palavra-chave no URL com uma extensão como:

Chad Windnagle
fonte
Pergunta rápida sobre seu primeiro ponto. Protegê-lo usando um arquivo .htaccess impedirá que os arquivos sejam movidos para os diretórios necessários na pasta do administrador após a instalação das extensões?
Lodder
3
Eu não acredito nisso, porque .htpasswd verificará apenas o acesso http. Ao copiar arquivos pelo instalador, acho que tudo o que acontece no nível do servidor, não acho que isso importe. Dito isso, vi problemas com coisas como o javascript sendo armazenado em / administrator e sendo chamado via HTTP no front-end e solicitando que os usuários fizessem login. Portanto, isso nem sempre é uma solução viável.
Chad Windnagle
@ChadWindnagle +1 do meu lado na sua resposta e nos seus comentários. A proteção de back-end por meio do htaccess é uma boa solução, mas poucas extensões buscam imagens e javascript do site no back-end do site. Nesse caso, o htaccess restringe o acesso a essas imagens e javascripts.
Manish Trivedi
Continue @ChadWindnagle answer 3) Use extensões de
Manish Trivedi
Sugestão agradável em 2 fator. Dito isto, acho que está no Joomla 3.2+, portanto uma extensão não deve ser necessária se estiver sendo executada a versão mais recente do Joomla.
Chad Windnagle
4

Você realmente não pode alterá-lo, pois impediria a instalação correta das extensões. No entanto, você pode usar o Admin Exile, que permite adicionar um valor, chave ou ambos ao URL do administrador. Além disso, se o URL padrão do administrador for digitado, ele redirecionará o usuário para um site de sua escolha.

http://extensions.joomla.org/extensions/access-a-security/site-security/login-protection/15711

Espero que isto ajude

Lodder
fonte
Então, se eu entendi, o principal problema são os plugins, certo? Pode-se dizer que Joomla! A instalação sem extensões pode suportar a renomeação do diretório do administrador com relativa segurança?
Miroxlav 5/05
11
Extensões em geral, não apenas plugins. Há também outros motivos pelos quais você não deve alterar o nome da pasta. Uma razão @Chad explica sobre JTables
Lodder
Além disso, todo o processo de renomeação / administrador / em geral como prática não é bom. Não é segurança "real". O autor do backup do Akeeba e um especialista em segurança do Joomla escreveu sobre um tipo semelhante de mudança em relação à configuration.php [ dionysopoulos.me/keep-your-files-where-i-can-see-them/] Eu recomendo a leitura entender por que esse tipo de mudança é mal visto.
Chad Windnagle
2

Se sua única preocupação são os bots ruins que identificam seu site como site do joomla, você precisa fazer muito mais para ocultar essa verdade.

Existe muita técnica para identificar seu site como joomla e sua versão. Esse arquivo .htaccess ajuda nesses ataques.

Shyam
fonte