Cambio de nombre del directorio del administrador

9

¿Se puede cambiar el nombre del directorio de administrador de manera efectiva (por ejemplo, por un simple cambio en el código central de Joomla!) Por ejemplo a admTZ34 ? La razón principal es ofuscar el patrón estándar donde www.example.com/administrator podría usarse para verificar la presencia de Joomla! instalación (en versiones anteriores también versión Joomla! etc.)

miroxlav
fuente
2
Antes de configurar Joomla SE, hice la misma pregunta aquí en SO: stackoverflow.com/questions/15034980/…
tim.baker

Respuestas:

15

No es realmente recomendable o muy simple de hacer. La ruta del administrador se codifica en muchas extensiones con llamadas a cosas como JTables, lo que significa que cambiar el nombre del directorio podría tener muchas consecuencias.

Dicho esto, si desea evitar el acceso directo, intente con una de estas soluciones:

A) Protección de contraseña / administrador con una protección de contraseña .htaccess .
Esto utiliza la autenticación HTTP para evitar que alguien acceda al directorio de administración.

http://httpd.apache.org/docs/current/programs/htpasswd.html

B) Requerir una palabra clave en la URL con una extensión como:

Chad Windnagle
fuente
Pregunta rápida sobre tu primer punto. ¿Protegerlo usando un archivo .htaccess evitará que los archivos se muevan a los directorios necesarios dentro de la carpeta del administrador después de la instalación de extensiones?
Lodder
3
No lo creo porque .htpasswd solo verificará el acceso http. Al copiar archivos a través del instalador, creo que todo lo que sucede a nivel del servidor, así que no creo que esto importe. Dicho esto, he visto problemas con cosas como javascript que se almacena en / administrador y se llama a través de HTTP en el front-end y solicitando a los usuarios que inicien sesión. Por lo tanto, esto no siempre es una solución viable.
Chad Windnagle 05 de
@ChadWindnagle +1 de mi lado en tu respuesta y tus comentarios. La protección de back-end a través de htaccess es una buena solución, pero pocas extensiones obtienen imágenes del sitio y javascript del back-end del sitio. En ese caso, htaccess restringe el acceso a estas imágenes y javascripts.
Manish Trivedi
Continúe @ChadWindnagle respuesta 3) Use dos factores de extensiones de
Joomla.org/extensions/access-a-security/…
Buena sugerencia en 2 factores. Dicho esto, creo que está en Joomla 3.2+, por lo que no debería ser necesaria una extensión si se ejecuta la última versión de Joomla.
Chad Windnagle
4

Realmente no puede cambiarlo, ya que evitaría que las extensiones se instalen correctamente. Sin embargo, puede usar Admin Exile que le permite agregar un valor, clave o ambos a la URL del administrador. Además de esto, si se escribe la URL de administrador estándar, redirigirá al usuario a un sitio de su elección.

http://extensions.joomla.org/extensions/access-a-security/site-security/login-protection/15711

Espero que esto ayude

Lodder
fuente
Entonces, si entiendo, el principal problema son los complementos, ¿verdad? ¿Se puede decir que Joomla! la instalación sin extensiones puede soportar el cambio de nombre del directorio del administrador de manera relativamente segura?
miroxlav 05 de
1
Extensiones en general, no solo complementos. También hay otras razones por las que no debe cambiar el nombre de la carpeta. Una razón por la que @Chad explica sobre JTables
Lodder
Además de eso, todo el proceso de cambio de nombre / administrador / en general como práctica no es bueno. No es seguridad "real". El autor de la copia de seguridad de Akeeba y un experto en seguridad de Joomla escribió sobre un tipo similar de movimiento con respecto a configuration.php [ dionysopoulos.me/keep-your-files-where-i-can-see-them/] Recomiendo leer eso para entender por qué este tipo de cambio está mal visto.
Chad Windnagle 05 de
2

Si su única preocupación son los robots defectuosos que identifican su sitio web como sitio web de Joomla, entonces necesita hacer mucho más para ocultar esta verdad.

Existe mucha técnica para identificar su sitio web como joomla y su versión. Este archivo .htaccess ayuda en estos ataques.

Shyam
fuente