Mengganti nama direktori administrator

9

Apakah direktori administrator dapat diubah namanya secara efektif (misalnya dengan perubahan sederhana dalam kode inti Joomla!) Misalnya ke admTZ34 ? Alasan utamanya adalah untuk mengaburkan pola standar di mana www.example.com/administrator dapat digunakan untuk memeriksa keberadaan Joomla! instalasi (dalam rilis yang lebih lama juga versi Joomla! dll.)

security miroxlav
sumber
2
Sebelum Joomla SE didirikan, saya mengajukan pertanyaan yang sama di sini di SO: stackoverflow.com/questions/15034980/…
tim.baker

Jawaban:

15

Ini tidak benar-benar direkomendasikan atau sangat sederhana untuk dilakukan. Jalur admin mendapat hardcoded di banyak ekstensi dengan panggilan ke hal-hal seperti JTables yang berarti mengubah nama direktori bisa memiliki banyak konsekuensi.

Yang mengatakan jika Anda ingin mencegah akses langsung coba dengan salah satu solusi ini:

A) Proteksi kata sandi / administrator dengan perlindungan kata sandi .htaccess .
Ini menggunakan otentikasi HTTP untuk mencegah siapa pun masuk ke direktori admin.

http://httpd.apache.org/docs/current/programs/htpasswd.html

B) Memerlukan kata kunci dalam URL dengan ekstensi seperti:

  • AdminExile
  • JSecure
  • KSecure

  • Alat Admin

    Alat Admin mampu melakukan kedua opsi untuk Anda.

    Dengan salah satu ekstensi ini, url admin adalah:
    yoursite.com/administrator/ ? MySpecialPhrase

Chad Windnagle
sumber
Pertanyaan cepat tentang poin pertama Anda. Apakah melindunginya menggunakan file .htaccess mencegah file dipindahkan direktori yang diperlukan dalam folder administrator setelah instalasi ekstensi?
Lodder
3
Saya tidak percaya begitu karena .htpasswd hanya akan memeriksa akses http. Saat menyalin file sekitar melalui installer saya pikir semua itu terjadi di tingkat server jadi saya tidak berpikir ini akan jadi masalah. Yang mengatakan, saya telah melihat masalah dengan hal-hal seperti javascript disimpan di / administrator dan dipanggil melalui HTTP di ujung depan dan meminta pengguna untuk masuk. Jadi ini tidak selalu merupakan solusi yang bisa diterapkan.
Chad Windnagle
@ChadWindnagle +1 dari pihak saya dalam jawaban dan komentar Anda. Perlindungan Backend melalui htaccess adalah solusi yang baik tetapi beberapa ekstensi mengambil gambar situs dan javascript dari backend situs, Dalam hal ini htaccess membatasi untuk mengakses gambar dan javascripts ini.
Manish Trivedi
Lanjutkan @ChadWindnagle jawaban 3) Gunakan ekstensi
Manish Trivedi
Saran bagus pada 2 faktor. Yang mengatakan saya pikir itu di Joomla 3.2+ jadi ekstensi tidak diperlukan jika menjalankan versi terbaru Joomla.
Chad Windnagle
4

Anda tidak dapat benar-benar mengubahnya karena itu akan mencegah ekstensi menginstal dengan benar. Namun Anda dapat menggunakan Pengasingan Admin yang memungkinkan Anda untuk menambahkan nilai, kunci atau keduanya ke URL administrator. Selain itu, jika URL admin standar diketik, URL itu akan mengarahkan pengguna ke situs pilihan Anda.

http://extensions.joomla.org/extensions/access-a-security/site-security/login-protection/15711

Semoga ini membantu

Lodder
sumber
Jadi jika saya mengerti, masalah utama adalah plugin, bukan? Dapatkah dikatakan bahwa Joomla! instalasi tanpa ekstensi dapat menahan penggantian nama direktori administrator dengan relatif aman?
miroxlav
1
Ekstensi pada umumnya, bukan hanya plugin. Ada juga alasan lain mengapa Anda tidak perlu mengubah nama folder. Salah satu alasan @Chad menjelaskan tentang JTables
Lodder
Selain itu, seluruh proses pemikiran penggantian nama / administrator / secara umum sebagai praktik tidak baik. Ini bukan keamanan "nyata". Penulis cadangan Akeeba dan pakar keamanan Joomla menulis tentang jenis gerakan serupa mengenai configuration.php [ dionysopoulos.me/keep-your-files-where-i-can-see-them/] saya akan merekomendasikan membacanya untuk memahami mengapa jenis perubahan ini disukai.
Chad Windnagle
2

Jika satu-satunya kekhawatiran Anda adalah bad-bot yang mengidentifikasi situs web Anda sebagai situs web joomla maka Anda perlu melakukan lebih banyak lagi untuk menyembunyikan kebenaran ini.

Ada banyak teknik untuk mengidentifikasi situs web Anda sebagai joomla dan versinya. File .htaccess ini membantu dalam serangan ini.

Shyam
sumber