1. casa
  2. Domanda e risposta
  3. Cambiare Joomla URL amministratore

Cambiare Joomla URL amministratore

2013-02-22 12 views
7

Aggiornamento:Cambiare Joomla URL amministratore

Dal momento che questa domanda è stato chiesto Joomla StackExchange è stata messa a punto e the same questions exists there si prega di aggiungere eventuali risposte o commenti a questa domanda

originale:

sto usando Joomla 3.0.3 per un nuovo client abbastanza grande, la sicurezza è un must. Ho quindi deciso di provare modificare l'URL amministratore, normalmente

example.com/administrator

cambiato in

example.com/newadminurl

ragione di essere se le cartelle non sono dove potenziali hacker si aspettano che è il primo ostacolo prima ancora di poter provare di tutto altro.

Tuttavia, ciò significa che ogni volta che si accede al nuovo URL viene visualizzato un errore 403. Ho provato a cercare se c'è un'impostazione globale di configurazione che ho bisogno di cambiare ma non riesco a trovare nulla sul web o sul sito Joomla. Qualcuno sa come cambiare questo in profondità nel codice sorgente?

fonte

2013-02-22 tim.baker

risposta

5

Mentre ci sono degli hack in giro che fanno questo, introducono nuovi problemi di sicurezza come Joomla! il core non è costruito per funzionare in questo modo.

In effetti, è pratica comune sia nelle estensioni core e in terze parti e modelli per caricare modelli, controller e altre risorse da /administrator.

La pratica migliore è quella di proteggere il vostro sito è:

  1. Mantenete il vostro Joomla! installazione aggiornata (la causa più comune sono installazioni obsolete)
  2. Non modificare i file core, se hai bisogno di funzionalità aggiuntive, duplica il componente principale ed estendi quello, non il core.
  3. Aggiungi un realm password di /administrator
  4. una parola segreta sul /administrator url esempio /administrator/?s3cr3tpa55w0rd
  5. Una whitelist IP che consente solo su alcuni indirizzi IP per accedere /administrator
  6. Utilizzare password univoche e forti
  7. Non condividere le password, anche con il vostro altro significativo ...
  8. emanare una politica di password sul luogo.
  9. Mantenere un backup del sito testato e regolare in un percorso di archiviazione fuori server.
  10. Esegui uno scanner di file per aiutarti a rilevare un trucco in modo da essere a conoscenza di dove è stato effettuato l'ultimo salvataggio.

È possibile trovare le estensioni che uno o più di queste cose per voi nella sezione Access & Security del Joomla! Extension Directory (JED), e per il backup integrato al cloud o altro di stoccaggio non si può andare oltre Akeeba Backup (e personalmente per la piccola costo rispetto al costo del mio tempo andiamo sempre con le versioni Pro).

Infatti, Akeeba's Admin Tools Pro (incluso in uno qualsiasi dei loro abbonamenti) fornisce anche la maggior parte delle funzionalità di tale elenco tramite il suo WAF (firewall di applicazioni Web). L'unica area non coperta è Password Management di cui esistono diverse soluzioni disponibili.

fonte

2013-02-23 05:29:23 Craig

3

Ci potrebbero essere tutti i tipi di dipendenze nell'estensione principale e di terze parti che codificheranno il percorso di amministrazione, anche se ci sono variabili di piattaforma per aiutare questo.

Si consiglia di configurare invece il file .htaccess per impedire la visualizzazione pubblica della cartella dell'amministratore e limitare l'accesso solo agli indirizzi IP approvati. Ciò impedirà loro di accedere alle cartelle di amministrazione, ma ovviamente non proteggerà da attacchi che non richiedono l'accesso diretto (ad esempio, alcune app di terze parti che chiamano il codice in una cartella di amministrazione per il componente dal front-end).

Nota: Questo va nel file .htaccess nella cartella administrator non il .htaccess nella root del sito, vale a dire [siteroot]/administrator/.htaccess

Ecco un esempio di .htaccess è possibile configurare:

ErrorDocument 403 http://www.your-ip-is-not-allowed-to-access-this-section.com 
Order deny,allow 
Deny from all 
Allow from X.X.X.X

Dove X.X.X.X. se l'indirizzo IP si desidera consentire alla sezione di amministrazione. È possibile specificare più indirizzi con più linee Allow from X.X.X.X.

fonte

2013-02-23 00:19:36

5

Passaggio 1. Creare una nuova directory nella directory principale (ad esempio "newadminurl")

Passaggio 2. Creare un file index.php nella directory "newadminurl" ..

$admin_cookie_code="3429020892"; 
setcookie("JoomlaAdminSession",$admin_cookie_code,0,"/"); 
header("Location: /administrator/index.php"); 
?>

Fase 3. Aggiungi questo alla .htaccess della directory reale amministratore di Joomla

RewriteEngine On 
RewriteCond %{REQUEST_URI} ^/administrator 
RewriteCond %{HTTP_COOKIE} !JoomlaAdminSession=3429020892 
RewriteRule .* - [L,F]

Spiegazione:

Ora, è necessario aprire "http://yoursite.com/newadminurl/" prima di aprire il vostro percorso “amministratore”. Qui abbiamo creato un cookie che scade alla fine della sessione e reindirizzare alla pagina di amministrazione effettiva. Il tuo attuale percorso "amministratore" è inaccessibile finché non apri il tuo link segreto.

Spero che questo sia quello che stavi cercando.

fonte

2014-02-25 10:49:03

 Problemi correlati

  • Nessun problema correlato^_^