Как лучше скрыть админку? - Joomla 3.x: Установка, обновление и настройка

Здравствуйте,

Как по-вашему лучше скрыть от посторонних страницу
http://site.ru/administrator/

по IP не вариант.

Рейтингов не видал. Сам пользуюсь этим.

http basic authentication

Чуть подробнее про метод, написанный выше, для защиты админки

оба варианта использовал - и плагин и папку под пароль ставлю.

значит на правильном пути ))

единственное когда стоит пароль на папке становится понятно, что там админка раз уж запаролено.

Правильный путь - не скрывать 

оба варианта использовал - и плагин и папку под пароль ставлю.

Плагин это лишнее. Достаточно просто пароль на папку, чтобы если будут пытаться подобрать пароль (крайне мало вероятно), не было запросов в БД.

Все же остальные способы - это усложнение входа в админку самому себе. Здесь надо понимать, что злоумышленнику ваша панель управления вовсе не нужна.

вообще мысль о том, чтобы не могли определить CMS сайта.
а вход в админку самый простой способ это сдедать

Определить cms ваще не проблема и вход в админку тут никаким боком

ахахах.
а хацкеры-то и не знали!
забей в поиск "как узнать версию Joomla чужого сайта"

а вход в админку самый простой способ это сдедать

Самый простой способ, это воспользоваться один из множества сервисов, которые проверяют ряд признаков чтобы определить cms.

У большинства сайтов  можно  довольно просто посмотреть  версию Joomla.
site.ru/administrator/manifests/files/joomla.xml или site.ru/language/en-GB/en-GB.xml

И в этом нет ничего страшного.

Тут главное понять, что 99,9% (цифра с потолка) "атак" проводят боты. Они просто проверяют наличие той или иной уязвимости. И особо смысла проверять, что за CMS стоит и какая у нее версия нет.

К примеру в логах можно часто заметить ботов которые тыкаются в старые уязвимости WP, хотя на сайте стоит последняя версия Joomla

Так что скрывать какой движок стоит на сайте нет ни какого смысла.
Полностью скрыть эту информацию будет очень сложно, кроме того придется пожертвовать обновлениями ядра, что в свою очередь навредит безопасности сайта.

А защита папки администратора, как я уже писал выше, нужна не более чем для того, чтобы если кто-то возомнит себе хаскером и захочет по подбирать пароль, запросы в БД не делались.

Вроде объяснил довольно понятно.

вообще мысль о том, чтобы не могли определить CMS сайта.
а вход в админку самый простой способ это сдедать

уходя вечером с работы Мюллер наглухо закрыл окно в кабинете, чтобы Штрилиц не смог ночью в него залезть, но Штирлиц оказался хитрее и вошел через дверь ))

уходя вечером с работы Мюллер наглухо закрыл окно в кабинете, чтобы Штрилиц не смог ночью в него залезть, но Штирлиц оказался хитрее и вошел через дверь ))

Именно про это и речь, что версия cms определяется не по входу в админку...

Если стоит цель вас взломать, то 90 процентов, взломают

Если стоит цель вас взломать, то 90 процентов, взломают

что за писсимизм)) мы выстоим!
те кто будет вручную определять движок первое, что сделают посмотрят админку, потом тег генератор потом...

Именно про это и речь, что версия cms определяется не по входу в админку...

Если стоит цель вас взломать, то 90 процентов, взломают

Это не значит, что не надо защищать. Через папку administrator самый простой и точный способ определить версию Joomla. Кроме этого, многие атаки на старые уязвимости рассыпаются перед basic авторизацией.

У большинства сайтов  можно  довольно просто посмотреть  версию Joomla.
site.ru/administrator/manifests/files/joomla.xml или site.ru/language/en-GB/en-GB.xml

Так можно и не из админской локализации смотреть site.ru/language/en-GB/en-GB.xml
На счет остального согласен, смысл прикрывать версию движка, разве что он давно не обновлялся, но в таком случае знание версии не нужно, достаточно ботом прогнать по известному набору дыр.

Так можно и не из админской локализации смотреть

С оформлением перестарался.

Два самый простых способа определить версию Joomla без доступа к Панели управления:

1. site.ru/administrator/manifests/files/joomla.xml - Файл манифеста Joomla.
2  site.ru/language/en-GB/en-GB.xml - Файл манифеста английского языка, на тот случай если /administrator закрыта авторизацией.

те кто будет вручную определять движок первое, что сделают посмотрят админку, потом тег генератор потом...

Прошу прощения, возможно это прозвучит грубо, но мы живем не в каменном веке и сейчас "вручную" ни кто ни чего не делает.

Есть онлайн сервисы, например 2ip (второй в поисковой выдаче)
Есть расширения для браузеров, например wappalyzer (подобные расширения стоят, почти у всех людей, кто работает с сайтами)
Eсть списки признаков CMS, которые можно найти в открытом доступе.

Однако для автоматизированного "взлома" все это не нужно.

Давайте на примере:

Предположим вы знаете, что есть уязвимость в Joomla 3.1.0 до Joomla 3.6.5. Вы знаете что это за уязвимость и как ее использовать и решили попробовать.

С одной стороны, может показаться логичный такая цепочка.
1. Узнать какая CMS используется на сайте.
    Если Joomla перейти к шагу 2. |  Если нет переходим к следующему сайту из списка.
2. Какая версия Joomla на сайте.
    Если версия Joomla больше 3.1.0 и меньше 3.6.5 перейти к шагу 3. |  Если нет переходим к следующему сайту из списка.
3. Попытаться использовать уязвимость. 
    Если получилось хорошо. | Если нет переходим к следующему сайту из списка.

Однако надо стремиться к оптимизации. Кроме того в 3 шаговой схеме, даже пройдя шаг 1 и шаг 2, есть шанс того, что веб мастер закрыл уязвимость самостоятельно.
Поэтому почему бы просто сразу не перейти к шагу 3?

А если предположить что все боты проверяют версию движка, тогда стоит демонстрировать то, что у вас самая последняя (защищенная) версия.

что за писсимизм)) мы выстоим!

Я бы сказал что за оптимизм. Если вас, конкретно ваш сайт заходят взломать, его 100% взломают.
Неуязвимых систем не бывает.
А самая главная и страшная уязвимость, человеческий фактор.

P.S Скрытие meta тэга, тоже ни как не влияет на определение CMS.

Если предположить что все боты проверяют версию движка, тогда стоит демонтировать то что у вас самая последняя версия.

Добавлю от себя. Есть ведь еще расширения, которые могут иметь свои уязвимости, ставящие под угрозу весь сайт. И потому при написании бота редко проверяют версию движка, порой даже не проверяют какая CMS используется (ведь можно натолкнуться на самостоятельную модификацию, но которая может наследовать некоторые дыры, при этом не определяясь ботом как известная CMS), а просто перебирают набор известных дыр у популярных CMS и у самых популярных расширений к этим CMS. Я порой в логах вижу, как боты стучатся по дыркам из WP.

Поэтому почему бы просто сразу не перейти к шагу 3?

угу, именно так и делают

А если предположить что все боты проверяют версию движка, тогда стоит демонтировать то что у вас самая последняя (защищенная) версия.

даже и предполагать не стоит никто его не проверяет, лупят по всем известным дырам по списку и все. не важна ни версия, а вообще не важно что там - Joomla, или нет. никому не охота тратить ресурсы своего сервера на какой то анализ и проверки, проще загрузить чужой, послав кучу простых запросов, а атакуемый сервер уже пусть думает и отвечает попали в дыру или нет

угу, именно так и делают

Боты да, при целенаправленном взломе никто не будет пытаться  взломать джумлу  по дырам вордпресса, но это единичные случаи  по сравнению  с атаками ботов

при целенаправленном взломе

это конечно, факт. но я так думаю если сайт дорос до того, что попадает в категорию ломаемых целенаправленно - то обсуждение его защиты не на форуме Joomla должно быть

Да ладно, пусть все думают, что их сайты - очень крутые и все недоброжелатели, особенно конкуренты, спят и видят, как эти сайты взломать. Всем хорошо же?

даже и предполагать не стоит

Вы правы.
Я написал  это к тому, что скрывать версию ядра в любом случае нет смысла.

оба варианта использовал - и плагин и папку под пароль ставлю.

Плагин - лишняя нагрузка на сайт, хостинг .

А защита папки администратора, как я уже писал выше, нужна не более чем для того, чтобы если кто-то возомнит себе хаскером и захочет по подбирать пароль, запросы в БД не делались.

имхо удобен способ описанный тут https://hika.su/blog/kak-izmenit-nazvanie-papki-administrator-v-joomla

те кто будет вручную определять движок первое, что сделают

... жмякнут ctrl+u и посмотрят в head пути подключения файлов стилей и скриптов, Joomla сама себя файловой структурой с потрохами сдаст

наверно, имеет смысл дополнить закрытием входа с фронта для сайтов, где нет функционала для залогиненных?