การเปลี่ยนชื่อไดเรกทอรีผู้ดูแลระบบ

9

สามารถเปลี่ยนชื่อไดเรกทอรีผู้ดูแลระบบได้อย่างมีประสิทธิภาพ (ตัวอย่างเช่นเปลี่ยนง่าย ๆ ใน Joomla! core code) เป็นadmTZ34 ? เหตุผลหลักคือทำให้รูปแบบมาตรฐานที่ทำให้สับสนซึ่งสามารถใช้www.example.com/administratorเพื่อตรวจสอบสถานะของ Joomla! การติดตั้ง (ในรุ่นเก่ายัง Joomla! เวอร์ชั่น ฯลฯ )

security 
miroxlav
แหล่งที่มา
2
ก่อนตั้งค่า Joomla SE ฉันถามคำถามเดียวกันนี้ได้ที่ SO: stackoverflow.com/questions/15034980/…
tim.baker

คำตอบ:

15

ไม่แนะนำจริงๆหรือง่ายมากที่จะทำ เส้นทางผู้ดูแลระบบได้รับ hardcoded ในส่วนขยายจำนวนมากด้วยการโทรไปยังสิ่งต่าง ๆ เช่น JTables ซึ่งหมายความว่าการเปลี่ยนชื่อไดเรกทอรีอาจมีผลกระทบมากมาย

ที่กล่าวว่าหากคุณต้องการป้องกันการเข้าถึงโดยตรงลองด้วยหนึ่งในวิธีแก้ไขปัญหานี้:

A) การป้องกันรหัสผ่าน/ ผู้ดูแลระบบด้วยการป้องกันด้วยรหัสผ่าน. htaccess
สิ่งนี้ใช้การรับรองความถูกต้อง HTTP เพื่อป้องกันไม่ให้ใครก็ตามไปที่ไดเรกทอรีผู้ดูแลระบบ

http://httpd.apache.org/docs/current/programs/htpasswd.html

B)ต้องการคำหลักใน URL ที่มีส่วนขยายเช่น:

  • AdminExile
  • JSecure
  • KSecure

  • เครื่องมือการดูแลระบบ

    เครื่องมือการดูแลระบบสามารถทำได้ทั้งสองตัวเลือกสำหรับคุณ

    ด้วยหนึ่งในส่วนขยายนี้ URL ของผู้ดูแลระบบจะเป็น:
    yoursite.com/administrator/ ? mySpecialPhrase

ชาด Windnagle
แหล่งที่มา
คำถามด่วนเกี่ยวกับประเด็นแรกของคุณ การปกป้องไฟล์โดยใช้ไฟล์. htaccess จะป้องกันไม่ให้ไฟล์ถูกย้ายไดเรกทอรีที่จำเป็นภายในโฟลเดอร์ผู้ดูแลระบบเมื่อทำการติดตั้งส่วนขยายหรือไม่
Lodder
3
ฉันไม่เชื่อเช่นนั้นเพราะ. htpasswd จะตรวจสอบการเข้าถึง http เท่านั้น เมื่อคัดลอกไฟล์ไปมาผ่านตัวติดตั้งฉันคิดว่าทุกอย่างเกิดขึ้นที่ระดับเซิร์ฟเวอร์ดังนั้นฉันจึงไม่คิดว่ามันจะสำคัญ ที่กล่าวว่าฉันได้เห็นปัญหาเกี่ยวกับสิ่งต่าง ๆ เช่นจาวาสคริปต์ถูกเก็บไว้ใน / ผู้ดูแลระบบและถูกเรียกผ่านทาง HTTP ที่ส่วนหน้าและขอให้ผู้ใช้เข้าสู่ระบบ ดังนั้นนี่ไม่ใช่วิธีแก้ปัญหาที่ใช้การได้เสมอ
Chad Windnagle
@ChadWindnagle +1 จากด้านข้างของฉันในคำตอบและความคิดเห็นของคุณ การป้องกันแบ็กเอนด์ผ่าน htaccess เป็นวิธีการแก้ปัญหาที่ดี แต่มีนามสกุลไม่กี่ภาพที่ได้จากเว็บไซต์และจาวาสคริปต์จากแบ็กเอนด์ของไซต์ซึ่งในกรณีนี้ htaccess จะ จำกัด การเข้าถึงรูปภาพและจาวาสคริปต์เหล่านี้
Manish Trivedi
ดำเนินการต่อ @ChadWindnagle คำตอบ 3) ใช้สองปัจจัยส่วนขยายการ
Manish Trivedi
ข้อเสนอแนะที่ดีเกี่ยวกับ 2 ปัจจัย ที่กล่าวว่าฉันคิดว่ามันเป็น Joomla 3.2+ ดังนั้นส่วนขยายไม่ควรจำเป็นถ้าใช้ Joomla รุ่นล่าสุด
Chad Windnagle
4

คุณไม่สามารถเปลี่ยนแปลงได้เพราะจะป้องกันไม่ให้ส่วนขยายติดตั้งได้อย่างถูกต้อง อย่างไรก็ตามคุณสามารถใช้ Admin Exile ซึ่งอนุญาตให้คุณเพิ่มค่าคีย์หรือทั้งสองอย่างใน URL ผู้ดูแลระบบ นอกจากนี้หากพิมพ์ URL ของผู้ดูแลระบบมาตรฐานจะเปลี่ยนเส้นทางผู้ใช้ไปยังไซต์ที่คุณเลือก

http://extensions.joomla.org/extensions/access-a-security/site-security/login-protection/15711

หวังว่านี่จะช่วยได้

Lodder
แหล่งที่มา
ดังนั้นถ้าฉันเข้าใจปัญหาหลักคือปลั๊กอินใช่ไหม อาจกล่าวได้ว่า Joomla! การติดตั้งโดยไม่มีนามสกุลสามารถทนต่อการเปลี่ยนชื่อไดเรกทอรีผู้ดูแลระบบได้อย่างปลอดภัย?
miroxlav
1
ส่วนขยายโดยทั่วไปไม่ใช่แค่ปลั๊กอิน นอกจากนี้ยังมีสาเหตุอื่นที่ทำให้คุณไม่ควรเปลี่ยนชื่อโฟลเดอร์ เหตุผลหนึ่งที่ @Chad อธิบายเกี่ยวกับ JTables
Lodder
นอกจากนั้นกระบวนการคิดทั้งหมดของการเปลี่ยนชื่อ / ผู้ดูแลระบบ / โดยทั่วไปว่าเป็นวิธีการปฏิบัติที่ไม่ดี มันไม่ใช่ความปลอดภัย "ของจริง" ผู้เขียนข้อมูลสำรองของ Akeeba และผู้เชี่ยวชาญด้านความปลอดภัยของ Joomla เขียนเกี่ยวกับการย้ายประเภทที่คล้ายกันเกี่ยวกับ configuration.php [ dionysopoulos.me/keep-your-files-where-i-can-see-them/]ฉันขอแนะนำให้อ่าน เข้าใจว่าทำไมการเปลี่ยนแปลงประเภทนี้ถึงขมวดคิ้ว
Chad Windnagle
2

หากข้อกังวลเดียวของคุณคือบอตที่ไม่ดีซึ่งระบุว่าเว็บไซต์ของคุณเป็นเว็บไซต์ joomla แล้วคุณต้องทำอีกมากเพื่อซ่อนความจริงนี้

มีเทคนิคมากมายที่ระบุเว็บไซต์ของคุณว่าเป็น joomla และรุ่นของมัน ไฟล์. htaccessนี้ช่วยในการโจมตีเหล่านี้

ยัม
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.