Zmień Joomla adresu URL administrator

Question

UPDATE:

Ponieważ pytano Joomla StackExchange został zainstalowany i the same questions exists there należy dodawać żadnych odpowiedzi lub uwag na to pytanie

oryginału:

używam Joomla 3.0.3 dla dość dużego nowego klienta, bezpieczeństwo jest koniecznością. Dlatego postanowiliśmy spróbować zmienić adres administratora, normalnie

example.com/administrator 

zmieniona na

example.com/newadminurl 

powodem jest jeśli foldery nie są tam, gdzie potencjalni hakerzy oczekiwać, że to pierwsza przeszkoda przed mogą nawet próbować niczego jeszcze.

Jednak teraz oznacza to, że zawsze, gdy odwiedzam nowy adres URL, wywołuje błąd 403. Próbowałem wyszukać, czy istnieje globalne ustawienie konfiguracji, które muszę zmienić, ale nie mogę znaleźć niczego w sieci lub na stronie Joomla. Ktoś wie, jak to zmienić w kodzie źródłowym?

Answer 1

Podczas gdy w tym są hacki, wprowadzają nowe problemy z bezpieczeństwem, takie jak Joomla! rdzeń nie jest zbudowany, aby działał w ten sposób.

W rzeczywistości powszechną praktyką zarówno w podstawowych, jak i zewnętrznych rozszerzeniach i szablonach jest ładowanie modeli, kontrolerów i innych zasobów z poziomu /administrator.

Najlepszym rozwiązaniem jest zapewnienie witryna jest:

1. Miej Joomla! instalacja na bieżąco (najczęstszą przyczyną są nieaktualne instalacje)
2. Nie zhakuj podstawowych plików, jeśli potrzebujesz dodatkowej funkcjonalności, duplikuj główny komponent i rozszerz go, a nie rdzeń.
3. dodać realm hasło /administrator
4. tajnego słowo na /administrator url np /administrator/?s3cr3tpa55w0rd
5. whitelist IP, która pozwala jedynie na wybranych adresów IP, aby uzyskać dostęp /administrator
6. Używaj unikalnych i silnych haseł
7. Nie udostępniaj haseł nawet ze swoją drugą połówką ...
8. Uchwalenie politykę hasła na teren.
9. Zachowaj przetestowaną i regularną kopię zapasową witryny w lokalizacji poza serwerem.
10. Uruchom skaner plików, aby pomóc w wykryciu włamania, abyś wiedział, gdzie zostały pobrane ostatnie dobre rzeczy.

można znaleźć rozszerzenia, które należy wykonać jedną lub kilka z tych rzeczy dla ciebie w sekcji Access & Security z Joomla! Extension Directory (JED) i zintegrowanego tworzenia kopii zapasowych do przechowywania chmura lub innego nie można przejść obok Akeeba Backup (i osobiście dla maleńka opłata w porównaniu do kosztów mojego czasu zawsze idziemy z wersjami Pro).

Faktycznie Akeeba's Admin Tools Pro (zawarte w dowolnej z ich subskrypcji) zapewnia również większość funkcji na tej liście poprzez jego WAF (firewall aplikacji internetowych). Jedyny obszar nieobjęty ochroną to Password Management, z którego dostępnych jest kilka rozwiązań.

Answer 2

W rdzeniu i w rozszerzeniu strony trzeciej mogą występować różne rodzaje zależności, które utworzą ścieżkę administratora, mimo że istnieją zmienne platformy, aby temu zaradzić.

Zalecam zamiast tego skonfigurować .htaccess, aby uniemożliwić publiczne przeglądanie folderu administratora i ograniczyć dostęp tylko do zatwierdzonych adresów IP. Uniemożliwi to dostęp do folderów administracyjnych, ale oczywiście nie będzie chronił przed atakami, które nie wymagają bezpośredniego dostępu (np. Jakaś aplikacja stron trzecich, która wywołuje kod w folderze administratora dla komponentu z przodu).

Uwaga: To idzie w pliku .htaccess w folderze administrator nie .htaccess w głównym miejscu, tj [siteroot]/administrator/.htaccess

Oto przykład z .htaccess można skonfigurować:

ErrorDocument 403 http://www.your-ip-is-not-allowed-to-access-this-section.com 
Order deny,allow 
Deny from all 
Allow from X.X.X.X 

Gdzie X.X.X.X., jeśli adres IP, który chcesz zezwolić do sekcji administratora. Możesz podać wiele adresów z wieloma liniami Allow from X.X.X.X.

Answer 3

Krok 1. Utwórz nowy katalog w katalogu głównym (np. "Newadminurl")

Krok 2. Utwórz plik index.php w katalogu "newadminurl" ..

$admin_cookie_code="3429020892"; 
setcookie("JoomlaAdminSession",$admin_cookie_code,0,"/"); 
header("Location: /administrator/index.php"); 
?> 

Krok 3. Dodaj to do .htaccess swojego prawdziwego katalogu Joomla administratora

RewriteEngine On 
RewriteCond %{REQUEST_URI} ^/administrator 
RewriteCond %{HTTP_COOKIE} !JoomlaAdminSession=3429020892 
RewriteRule .* - [L,F] 

Wyjaśnienie:

Teraz trzeba otworzyć "http://yoursite.com/newadminurl/" przed otwarciem swój „administratora” ścieżkę. W tym miejscu utworzyliśmy plik cookie, który wygasa pod koniec sesji i przekierowuje na właściwą stronę administracyjną. Twoja aktualna ścieżka "administratora" jest niedostępna, dopóki nie otworzysz swojego tajnego linku.

Mam nadzieję, że tego właśnie szukałeś.