htaccess и htpasswd пароль только на url с параметром например "index.php?test" - Безопасность сайтов на Joomla

Объясню задачу.
Хочу защитить админку.
Есть 2 варианта 
1. AdminExile ("перенос" админки)
2. Базовая авторизация

Сделал и то и другое - работает.

Одно немножко не нравится - при вводе site.ru/administrator/ спрашивается авторизация (при её отсутствии AdminExile молча перебрасывает этот URL на морду.).
Как бы невелика проблема, но это даёт понять что админка здесь, и это лишний повод побрутфорсить сервер.
Возникла идея, точнее вопрос:

Как сделать так, чтобы site.ru/administrator/ молча перебрасывал на морду, а site.ru/administrator/index.php?test требовал базовой авторизации?

Нашел в инете похожее решение, но не смог допилить до своего случая.

Возникла идея...

Знаете, все давно уже придумано за вас. И ничего нового сейчас не рождается, лишь вспоминается все давно забытое старое... Давайте вернемся к истокам. Вы знаете, как ломают сайты? Первым делом я начну выяснять, на каком движке он работает. Для этого я могу сделать  несколько запросов к файлам, которые я знаю, посмотреть robots.txt, файлы локализации, тот же readme небось до сих пор там и лежит... Если подчистили, то есть масса сервисов, определяющих движок сайта по присущим ему признакам. А зная, что сайт на Joomla, мне уже все равно, стоит ли у вас плагин скрытия админки или нет, я и так знаю, где она. Подобного рода украшательства прячут лишь форму с логином и паролем, предотвращая брутфорс. Однако брутфорсом никто в наше время и не занимается. Следовательно, в подобных плагинах, имхо, смысла мало. Оставьте htpassword, остальное вам не нужно.

Для этого я могу сделать  несколько запросов к файлам, которые я знаю, посмотреть robots.txt, файлы локализации, тот же readme небось до сих пор там и лежит... Если подчистили, то есть масса сервисов, определяющих движок сайта по присущим ему признакам.

Согласен, но речь не идет о пуленепробиваемом бронежилете.
- В robots.txt можно вставить блоки от Wordpress-овского робота (не повредят сайту, а запутать злоумышленника могут) и создать папку "wp-admin"
- readme не лежит
- прямой доступ к файлам *.ini (локали) запрещен
- сервисы не панацея (сайт amett.ru сделан на Joomla, но хоть одна система палит это? Догадаться можно лишь косвенно, по имени js файла расширения, доступного только для Joomla)

А зная, что сайт на Joomla, мне уже все равно, стоит ли у вас плагин скрытия админки или нет, я и так знаю, где она.

а что вам даст знание папки site.ru/administrator/, если плаг AdminExile редиректит этот адрес на морду?

Однако брутфорсом никто в наше время и не занимается.

Да ладно, на этом форуме полно сообщений "Аааа, стучаться в админку - помогите."

Оставьте htpassword, остальное вам не нужно.

А можете посоветовать что-нибудь для мониторинга коннектов, попыток инъекций, подбора паролей для Joomla?
RSFirewall вроде рогатый, но платный. Варезный ставить не хочу.
Либо мониторить всё по логам Апача хостера?

В robots.txt можно вставить блоки от Wordpress-овского робота (не повредят сайту, а запутать злоумышленника могут) и создать папку "wp-admin"

Угу, а можно ещё в футере написать: "Работает на 1С-Битрикс". Толку от этого будет ровно столько же.

сайт amett.ru сделан на Joomla, но хоть одна система палит это?

Там даже школьник спалит Joomla, увидев в исходнике ссылки вида images/stories или amett.ru/modules

Да ладно, на этом форуме полно сообщений "Аааа, стучаться в админку - помогите."

Стучатся и брутфорсят - разные вещи. К тому же, от брутфорса можно сделать бан по IP в случае превышения лимита ввода неправильных логинов/паролей.

Если у Вас обычный сайт, то достаточно выставить правильные права на файлы и папки, защитить админку через htpasswd (ну и пароль придумать не 123456), своевременно обновляться и не использовать варёз. Хостинг тоже желательно иметь нормальный, не копеечный. Если коммерс, тогда это уже другая тема, хотя базовые принципы останутся теми же.

@ice99
Вам правильно советуют htpasswd, увы вы не понимаете. На пальцах разложу.
Сейчас любой менеджер файлов панели управления на хосте или сервере дает возможность установить ограничение доступа к папке.
Вот это вам и советуют.
Все что вам надо сделать это выбрать папку и на неё завести пользователя и выдать ему пароль, и все, при входе в админку у вас будет запрашиваться лог/пас в браузере для доступа к панели и потом для самой админки для входа в неё. Придется вводить 2 раза разные логин/пасс, но если не ввести первый раз вас ни куда не перекинет, а просто ответит 401 ошибкой.
То что вы узко мыслите это точно, отдав вместо админки главную вместо положенной 404 вы уже сами "спалили поляну". Ваш вариант о котором вы думаете (хотя это пустая трата времени) от get запросов может и хорош, но еще есть и post.