Ändern Joomla-Administrator-URL

Update:

Seit diese Frage gestellt wurde Joomla StackExchange wurde eingerichtet und die gleichen Fragen gibt bitte fügen Sie keine Antworten auf diese Frage

Original:

Ich verwende Joomla 3.0.3 für eine ziemlich große neue client, Sicherheit ist ein muss. Deshalb beschloss ich, zu versuchen, ändern Sie die Administrator-URL, normalerweise

example.com/administrator

geändert

  example.com/newadminurl

Grund sein, wenn die Ordner nicht, wo potenzielle Hacker erwarten, dass ist die erste Hürde, bevor Sie können sogar versuchen, nichts anderes.

Allerdings hat jetzt gemeint, wenn ich gehe zu der neuen URL, es öffnet sich ein 403-Fehler. Ich habe versucht, auf der Suche, wenn es eine Globale config-Einstellung ich ändern muss, aber kann nichts finden auf der web-oder Joomla-Website. Wer weiß, wie dies zu ändern, tief in den Quellcode?

InformationsquelleAutor tim.baker | 2013-02-22
  1. 6

    Zwar gibt es hacks um, die dies tun, stellen Sie neue Sicherheits-Probleme als die Joomla! Kern basiert nicht auf diese Weise zu arbeiten.

    In der Tat ist es gängige Praxis, sowohl in der core-und in der 3rd-Party-Erweiterungen und templates zu laden Modelle, Controller und andere Aktiva aus /administrator.

    Die besten üben ist sicher, Ihre Website ist:

    1. Halten Sie Ihre Joomla! installation up-to-date (die häufigste Ursache ist die veraltete Installationen)
    2. Don ' T hack core-Dateien, wenn Sie benötigen zusätzliche Funktionalität duplizieren Sie die Kern-Komponente und erweitern, nicht aber den Kern.
    3. Hinzufügen realm Passwort /administrator
    4. Ein geheimes Wort auf die /administrator url z.B. /administrator/?s3cr3tpa55w0rd
    5. Eine ip-whitelist, die nur erlaubt, wählen Sie IP-Adressen den Zugriff /administrator
    6. Einzigartige und starke Passwörter
    7. Nicht teilen Kennwörter, auch mit Ihrem Lebensgefährten...
    8. Erlassen, die eine Passwort-policy auf Ihrer Website.
    9. Halten getestet und regelmäßige site-backup in einem off-server-Speicher Ort.
    10. Ausführen einer Datei-scanner zu helfen, Sie erkennen einen hack, so dass Sie wissen, wo Sie Ihr letztes gut zurück genommen wurde.

    Finden Sie Erweiterungen, führen Sie eine oder mehrere der diese Dinge für Sie in die Access & Sicherheit Abschnitt der Joomla! Extension Directory (JED), und für die integrierte Sicherung in der cloud oder auf andere Speicher kann man nicht vorbei gehen Akeeba Backup (und persönlich für die kleine Gebühr im Vergleich zu den Kosten, meine Zeit gehen wir immer mit den Pro-Versionen).

    In der Tat Akeeba Admin Tools Pro (enthalten in jedem Ihrer Abonnements) bietet auch die meisten features, die Liste über die WAF (web application firewall). Der einzige Bereich, der nicht abgedeckt ist Passwort-Management von denen es mehrere Lösungen zur Verfügung.

    InformationsquelleAutor Craig
  2. 8

    Schritt 1. Erstellen Sie ein neues Verzeichnis in deinem root-Verzeichnis (zB. "newadminurl")

    Schritt 2. Erstellen Sie eine index.php Datei in Ihrem "newadminurl" Verzeichnis..

    $admin_cookie_code="3429020892";
setcookie("JoomlaAdminSession",$admin_cookie_code,0,"/");
header("Location: /administrator/index.php");
?>

    Schritt 3. Fügen Sie diese auf .htaccess Ihre echten Joomla-administrator-Verzeichnis

    RewriteEngine On
RewriteCond %{REQUEST_URI} ^/administrator
RewriteCond %{HTTP_COOKIE} !JoomlaAdminSession=3429020892
RewriteRule .* - [L,F]

    Erklärung:

    Nun, müssen Sie öffnen Sie "http://yoursite.com/newadminurl/" vor öffnen Sie die "administrator" - Pfad. Hier haben wir einen cookie verfällt am Ende der Sitzung und leitet Sie zur eigentlichen Verwaltung der Seite. Ihre eigentliche "administrator"Pfad nicht zugänglich ist, bis Sie nicht offen über Ihre geheimen link .

    Ich hoffe das ist, was Sie gesucht haben.

    • Dies sollte die richtige Antwort, sowohl hier als auch auf der Joomla-StackExchange-thread.
    • Dies nicht, brechen Sie die administrator-Seite, aber auch versteckt das /administrator-URL für Benutzer, die nicht wissen, die versteckte URL, es ist genau das, was ich brauchte. Danke!
    InformationsquelleAutor Sagar Awasthi
  3. 3

    Könnte es alle Arten von Abhängigkeiten, die im Kern und in der Dritten Erweiterung, die wird hart code der admin-Pfad, auch wenn es Plattform-Variablen unterstützen.

    Ich würde empfehlen, dass Sie stattdessen konfigurieren Sie Ihren .htaccess um zu verhindern, dass die öffentliche Anzeige Ihrer Ordner "administrator" und Schränken Sie den Zugriff nur für zugelassene IP-Adressen. Dies wird verhindern, dass Sie Zugriff auf den admin-Ordner, aber natürlich keinen Schutz gegen Angriffe, die keine direkten Zugang (z.B., einige Drittanbieter-app, die Anrufe-code im admin-Ordner für die Komponente, von der front-end).

    Hinweis: Diese geht in der .htaccess-Datei in Ihrem administrator Ordner nicht .htaccess im Stammverzeichnis der site, d.h. [siteroot]/administrator/.htaccess

    Hier ist ein Beispiel der .htaccess können Sie konfigurieren:

    ErrorDocument 403 http://www.your-ip-is-not-allowed-to-access-this-section.com
Order deny,allow
Deny from all
Allow from X.X.X.X

    Wo X.X.X.X. wenn die IP-Adresse, die Sie zulassen möchten, um den admin-Bereich. Sie können mehrere Adressen mit mehreren Allow from X.X.X.X Linien.

    InformationsquelleAutor Eric G
Schreibe einen Kommentar