Umbenennen des Administratorverzeichnisses

9

Kann das Administratorverzeichnis effektiv umbenannt werden (z. B. durch einfache Änderung des Joomla! -Kerncodes ), beispielsweise in admTZ34 ? Der Hauptgrund ist die Verschleierung des Standardmusters, bei dem www.example.com/administrator verwendet werden kann, um das Vorhandensein von Joomla! Installation (in älteren Versionen auch Joomla! Version etc.)

security miroxlav
quelle
2
Bevor Joomla SE eingerichtet wurde, stellte ich dieselbe Frage hier auf SO: stackoverflow.com/questions/15034980/…
tim.baker

Antworten:

15

Es ist nicht wirklich zu empfehlen oder sehr einfach zu tun. Der Administratorpfad wird in vielen Erweiterungen mit Aufrufen von Dingen wie JTables fest codiert, was bedeutet, dass das Ändern des Verzeichnisnamens viele Konsequenzen haben kann.

Wenn Sie jedoch den direkten Zugriff verhindern möchten, versuchen Sie es mit einer der folgenden Lösungen:

A) Passwortschutz / Administrator mit einem .htaccess Passwortschutz.
Dies verwendet die HTTP-Authentifizierung, um zu verhindern, dass jemand in das Administratorverzeichnis gelangt.

http://httpd.apache.org/docs/current/programs/htpasswd.html

B) Benötigen Sie ein Schlüsselwort in der URL mit einer Erweiterung wie:

  • AdminExile
  • JSecure
  • KSecure

  • Admin-Tools

    Admin-Tools können beide Optionen für Sie ausführen.

    Bei einer dieser Erweiterungen
    lautet die Administrator-URL: yoursite.com/administrator/ ? MySpecialPhrase

Chad Windnagle
quelle
Kurze Frage zu Ihrem ersten Punkt. Verhindert der Schutz durch eine .htaccess-Datei, dass Dateien bei der Installation von Erweiterungen in die erforderlichen Verzeichnisse im Administratorordner verschoben werden?
Lodder
3
Ich glaube nicht, weil .htpasswd nur nach http-Zugriff sucht. Wenn ich Dateien über das Installationsprogramm kopiere, denke ich, dass alles auf Serverebene passiert, also denke ich nicht, dass dies von Bedeutung ist. Trotzdem habe ich Probleme mit Dingen wie Javascript gesehen, die in / Administrator gespeichert und über HTTP im Frontend aufgerufen wurden und Benutzer aufforderten, sich anzumelden. Dies ist also nicht immer eine praktikable Lösung.
Chad Windnagle
@ChadWindnagle +1 von meiner Seite in Ihrer Antwort und Ihren Kommentaren. Der Backend-Schutz durch htaccess ist eine gute Lösung, aber nur wenige Erweiterungen rufen Bilder und Javascript der Site aus dem Backend der Site ab. In diesem Fall beschränkt sich htaccess auf den Zugriff auf diese Bilder und Javascripts.
Manish Trivedi
Weiter @ChadWindnagle Antwort 3) Verwenden Sie Zwei-Faktor-Authentifizierung extensions.joomla.org/extensions/access-a-security/…
Manish Trivedi
Netter Vorschlag zu 2 Faktor. Das heißt, ich denke, es ist in Joomla 3.2+, daher sollte eine Erweiterung nicht erforderlich sein, wenn die neueste Version von Joomla ausgeführt wird.
Chad Windnagle
4

Sie können es nicht wirklich ändern, da dies die ordnungsgemäße Installation von Erweiterungen verhindern würde. Sie können jedoch Admin Exile verwenden, mit dem Sie der Administrator-URL einen Wert, einen Schlüssel oder beides hinzufügen können. Wenn die Standard-Administrator-URL eingegeben wird, wird der Benutzer außerdem zu einer Site Ihrer Wahl weitergeleitet.

http://extensions.joomla.org/extensions/access-a-security/site-security/login-protection/15711

Hoffe das hilft

Lodder
quelle
Wenn ich das verstehe, sind Plugins das Hauptproblem, oder? Kann man sagen, dass Joomla! Installation ohne Erweiterungen kann das Umbenennen des Administratorverzeichnisses relativ sicher aushalten?
Miroxlav
1
Erweiterungen im Allgemeinen, nicht nur Plugins. Es gibt auch andere Gründe, warum Sie den Namen des Ordners nicht ändern sollten. Ein Grund, warum @Chad in Bezug auf JTables
Lodder
Darüber hinaus ist der gesamte Denkprozess des Umbenennens von / Administrator / im Allgemeinen als Praxis nicht gut. Es ist keine "echte" Sicherheit. Der Autor von Akeeba Backup und ein Joomla-Sicherheitsexperte schrieben über eine ähnliche Art von Umzug in Bezug auf configuration.php [ dionysopoulos.me/keep-your-files-where-i-can-see-them/]. Ich würde empfehlen, dies zu lesen Verstehe, warum diese Art von Veränderung verpönt ist.
Chad Windnagle
2

Wenn Ihre einzige Sorge Bad-Bots sind, die Ihre Website als Joomla-Website identifizieren, müssen Sie viel mehr tun, um diese Wahrheit zu verbergen.

Es gibt viele Techniken, um Ihre Website als Joomla und ihre Version zu identifizieren. Diese .htaccess- Datei hilft bei diesen Angriffen.

Shyam
quelle