Renommage du répertoire administrateur

9

Le répertoire administrateur peut-il être renommé efficacement (par exemple par un simple changement dans le code principal de Joomla!), Par exemple en admTZ34 ? La raison principale est d'obscurcir le modèle standard où www.example.com/administrator pourrait être utilisé pour vérifier la présence de Joomla! installation (dans les versions plus anciennes également la version Joomla! etc.)

miroxlav
la source
2
Avant la création de Joomla SE, j'ai posé cette même question ici sur SO: stackoverflow.com/questions/15034980/…
tim.baker

Réponses:

15

Ce n'est pas vraiment recommandé ou très simple à faire. Le chemin d'administration est codé en dur dans de nombreuses extensions avec des appels à des choses comme JTables, ce qui signifie que la modification du nom du répertoire pourrait avoir de nombreuses conséquences.

Cela dit, si vous souhaitez empêcher l'accès direct, essayez l'une des solutions suivantes:

A) Protection par mot de passe / administrateur avec une protection par mot de passe .htaccess .
Cela utilise l'authentification HTTP pour empêcher quiconque d'accéder au répertoire d'administration.

http://httpd.apache.org/docs/current/programs/htpasswd.html

B) Exiger un mot-clé dans l'URL avec une extension comme:

  • AdminExile
  • JSecure
  • KSecure
  • Outils d'administration

    Les outils d'administration sont capables de faire les deux options pour vous.

    Avec l'une de ces extensions, l'url d'administration sera:
    yoursite.com/administrator/ ? MySpecialPhrase

Chad Windnagle
la source
Question rapide concernant votre premier point. La protection à l'aide d'un fichier .htaccess empêchera-t-elle les fichiers d'être déplacés vers les répertoires nécessaires dans le dossier administrateur lors de l'installation des extensions?
Lodder
3
Je ne le crois pas car .htpasswd ne vérifiera que l'accès http. Lors de la copie de fichiers via l'installateur, je pense que tout ce qui se passe au niveau du serveur, donc je ne pense pas que cela importera. Cela dit, j'ai vu des problèmes avec des choses comme javascript stocké dans / administrator et appelé via HTTP sur le front-end et demandant aux utilisateurs de se connecter. Ce n'est donc pas toujours une solution viable.
Chad Windnagle
@ChadWindnagle +1 de mon côté dans votre réponse et vos commentaires. La protection du backend via htaccess est une bonne solution mais peu d'extensions récupèrent les images du site et le javascript du backend du site, dans ce cas, htaccess restreint l'accès à ces images et javascripts.
Manish Trivedi
Continuer @ChadWindnagle réponse 3) Utilisez les extensions d'
Manish Trivedi
Belle suggestion sur 2 facteurs. Cela dit, je pense que c'est dans Joomla 3.2+, donc une extension ne devrait pas être nécessaire si vous exécutez la dernière version de Joomla.
Chad Windnagle
4

Vous ne pouvez pas vraiment le changer car cela empêcherait les extensions de s'installer correctement. Vous pouvez cependant utiliser Admin Exile qui vous permet d'ajouter une valeur, une clé ou les deux à l'URL administrateur. En plus de cela, si l'URL d'administration standard est saisie, elle redirigera l'utilisateur vers un site de votre choix.

http://extensions.joomla.org/extensions/access-a-security/site-security/login-protection/15711

J'espère que cela t'aides

Lodder
la source
Donc, si je comprends bien, le principal problème est les plugins, non? Peut-on dire que Joomla! une installation sans extensions peut supporter le changement de nom du répertoire administrateur de manière relativement sûre?
miroxlav
1
Les extensions en général, pas seulement les plugins. Il existe également d'autres raisons pour lesquelles vous ne devez pas modifier le nom du dossier. @Chad explique pourquoi JTables
Lodder
En plus de cela, l'ensemble du processus de réflexion de renommer / administrateur / en général en tant que pratique n'est pas bon. Ce n'est pas une "vraie" sécurité. L'auteur de la sauvegarde Akeeba et un expert en sécurité Joomla ont écrit sur un type similaire de mouvement concernant configuration.php [ dionysopoulos.me/keep-your-files-where-i-can-see-them/] Je recommanderais de lire cela pour comprendre pourquoi ce type de changement est mal vu.
Chad Windnagle
2

Si votre seul problème est que les mauvais robots identifient votre site Web comme site Web Joomla, vous devez faire beaucoup plus pour masquer cette vérité.

Il existe de nombreuses techniques pour identifier votre site Web comme joomla et sa version. Ce fichier .htaccess aide à ces attaques.

Shyam
la source