Изменение Joomla URL-адресу: Administrator

Question

Update:

Поскольку этот вопрос был задан вопрос Joomla StackExchange был настройки и the same questions exists there добавьте любые ответы или комментарии к этому вопросу

Оригинал:

Я использую Joomla 3.0.3 для довольно большого нового клиента, безопасность является обязательным. Поэтому я решил попробовать изменить URL администратора, обычно

example.com/administrator 

изменен

example.com/newadminurl 

Причина того, если папки не где потенциальные хакеры ожидают, что это первый барьер, прежде чем они могут даже попробовать что-нибудь остальное.

Однако это означает, что всякий раз, когда я перехожу к новому URL-адресу, он вызывает ошибку 403. Я попытался выполнить поиск, если есть глобальная настройка конфигурации, которую мне нужно изменить, но не могу найти что-либо в Интернете или на сайте Joomla. Кто-нибудь знает, как изменить это глубоко в исходном коде?

Answer 1

Несмотря на то, что у вас есть хаки, которые делают это, они представляют новые проблемы безопасности, такие как Joomla! ядро не создано таким образом.

На самом деле это обычная практика как в ядре, так и в сторонних расширениях и шаблонах для загрузки моделей, контроллеров и других активов с /administrator.

Лучше всего, чтобы обеспечить ваш сайт:

1. Держите Joomla! (самая распространенная причина устаревшей установки)
2. Не взламывайте основные файлы, если вам нужна дополнительная функциональность, дублируйте основной компонент и расширьте это, а не ядро.
3. Добавить realm пароль /administrator
4. секретное слово на /administrator URL, например, /administrator/?s3cr3tpa55w0rd
5. IP-белый список, который позволяет только выберите IP-адрес для доступа к /administrator
6. Используйте уникальные и надежные пароли
7. Не сообщайте пароли, даже с другой значительным ...
8. Предпишите политику паролей на вашем сайт.
9. Храните протестированную и обычную резервную копию сайта в месте хранения вне сервера.
10. Запустите сканер файлов, чтобы помочь вам обнаружить хак, чтобы вы знали, где была сделана ваша последняя хорошая задняя часть.

Вы можете найти расширение, которые делают один или несколько из этих вещей для вас в Access & Security части Joomla! Extension Directory (JED) и для комплексного резервного копирования облака или другого хранилища, вы не можете пройти Akeeba Backup (и лично для крошечного плата по сравнению со стоимостью моего времени мы всегда идем с версиями Pro).

Фактически Akeeba's Admin Tools Pro (входит в любой из своих подписчиков) также предоставляет большинство функций в этом списке через WAF (брандмауэр веб-приложений). Единственная область, которая не охвачена, - Password Management, из которой доступно несколько решений.

Answer 2

В ядре и в стороннем расширении могут присутствовать всевозможные зависимости, которые будут жестко закодировать путь администратора, хотя для этого необходимы переменные платформы.

Я бы порекомендовал вам вместо этого настроить ваш .htaccess, чтобы предотвратить публичный просмотр вашей папки администратора и ограничивать доступ только к утвержденным IP-адресам. Это не позволит им получить доступ к папкам администратора, но, конечно же, не будет защищать от атак, которые не требуют прямого доступа (например, какое-то стороннее приложение, которое вызывает код в папке администратора для компонента из внешнего интерфейса).

Примечание: Это идет в файл .htaccess в вашей папке administrator не .htaccess в корне сайта, то есть [siteroot]/administrator/.htaccess

Вот пример .htaccess вы можете настроить:

ErrorDocument 403 http://www.your-ip-is-not-allowed-to-access-this-section.com 
Order deny,allow 
Deny from all 
Allow from X.X.X.X 

Где X.X.X.X., если IP-адрес, который вы хотите разрешить администратору. Вы можете указать несколько адресов с несколькими линиями Allow from X.X.X.X.

Answer 3

Этап 1. Создайте новый каталог в корневом каталоге (например, «newadminurl»)

Этап 2. Создайте файл index.php в папке "newadminurl" ..

$admin_cookie_code="3429020892"; 
setcookie("JoomlaAdminSession",$admin_cookie_code,0,"/"); 
header("Location: /administrator/index.php"); 
?> 

Шаг 3. Добавьте к этому .htaccess вашего реального каталога администратора Joomla

RewriteEngine On 
RewriteCond %{REQUEST_URI} ^/administrator 
RewriteCond %{HTTP_COOKIE} !JoomlaAdminSession=3429020892 
RewriteRule .* - [L,F] 

Пояснения:

Теперь вам нужно открыть «http://yoursite.com/newadminurl/» перед тем, как открыть свой «администратор» путь. Здесь мы создали файл cookie, который истекает в конце сеанса и перенаправляется на фактическую страницу администрирования. Ваш фактический «административный» путь недоступен, пока вы не откроете свою секретную ссылку.

Надеюсь, это то, что вы искали.