0 Пользователей и 1 Гость просматривают эту тему.
  • 26 Ответов
  • 2041 Просмотров
*

Mick_20

  • Давно я тут
  • 870
  • 3 / 0
Как лучше скрыть админку?
« : 26.09.2018, 07:58:26 »
Здравствуйте,

Как по-вашему лучше скрыть от посторонних страницу
http://site.ru/administrator/

по IP не вариант.
*

Olg

  • Завсегдатай
  • 1084
  • 81 / 2
Re: Как лучше скрыть админку?
« Ответ #1 : 26.09.2018, 08:02:19 »
Рейтингов не видал. Сам пользуюсь этим.
*

draff

  • Живу я здесь
  • 4307
  • 290 / 7
  • Ищу работу
*

ProtectYourSite

  • Завсегдатай
  • 1988
  • 106 / 4
  • Безопасность вебсайтов
Re: Как лучше скрыть админку?
« Ответ #3 : 26.09.2018, 08:31:31 »
Чуть подробнее про метод, написанный выше, для защиты админки
*

Mick_20

  • Давно я тут
  • 870
  • 3 / 0
Re: Как лучше скрыть админку?
« Ответ #4 : 26.09.2018, 11:07:03 »
оба варианта использовал - и плагин и папку под пароль ставлю.

значит на правильном пути ))

единственное когда стоит пароль на папке становится понятно, что там админка раз уж запаролено.
*

voland

  • Легенда
  • 10669
  • 568 / 111
  • Эта строка съедает место на вашем мониторе
Re: Как лучше скрыть админку?
« Ответ #5 : 26.09.2018, 11:41:33 »
Правильный путь - не скрывать  ^-^
*

Septdir

  • Живу я здесь
  • 3171
  • 155 / 3
Re: Как лучше скрыть админку?
« Ответ #6 : 26.09.2018, 14:45:44 »
оба варианта использовал - и плагин и папку под пароль ставлю.
Плагин это лишнее. Достаточно просто пароль на папку, чтобы если будут пытаться подобрать пароль (крайне мало вероятно), не было запросов в БД.

Все же остальные способы - это усложнение входа в админку самому себе. Здесь надо понимать, что злоумышленнику ваша панель управления вовсе не нужна.
Не можете справиться с задачей сами пишите, решу ее за вас, не бесплатно*.
*Интересная задача, Деньги или Бартер. Натурой не беру!
Мои Контакты | Мой GitHub | Workshop
*

Mick_20

  • Давно я тут
  • 870
  • 3 / 0
Re: Как лучше скрыть админку?
« Ответ #7 : 26.09.2018, 17:46:52 »
вообще мысль о том, чтобы не могли определить CMS сайта.
а вход в админку самый простой способ это сдедать
*

lexxbry

  • Живу я здесь
  • 2389
  • 65 / 8
Re: Как лучше скрыть админку?
« Ответ #8 : 26.09.2018, 17:52:26 »
Определить cms ваще не проблема и вход в админку тут никаким боком
SEO-оптимизация,продвижение
Создание и сопровождение сайтов на Joomla
Миграция
*

effrit

  • Легенда
  • 9622
  • 1062 / 13
  • effrit.com
*

Septdir

  • Живу я здесь
  • 3171
  • 155 / 3
Re: Как лучше скрыть админку?
« Ответ #10 : 26.09.2018, 18:06:35 »
а вход в админку самый простой способ это сдедать
Самый простой способ, это воспользоваться один из множества сервисов, которые проверяют ряд признаков чтобы определить cms.

У большинства сайтов  можно  довольно просто посмотреть  версию Joomla.
site.ru/administrator/manifests/files/joomla.xml или site.ru/language/en-GB/en-GB.xml

И в этом нет ничего страшного.

Тут главное понять, что 99,9% (цифра с потолка) "атак" проводят боты. Они просто проверяют наличие той или иной уязвимости. И особо смысла проверять, что за CMS стоит и какая у нее версия нет.

К примеру в логах можно часто заметить ботов которые тыкаются в старые уязвимости WP, хотя на сайте стоит последняя версия Joomla

Так что скрывать какой движок стоит на сайте нет ни какого смысла.
Полностью скрыть эту информацию будет очень сложно, кроме того придется пожертвовать обновлениями ядра, что в свою очередь навредит безопасности сайта.

А защита папки администратора, как я уже писал выше, нужна не более чем для того, чтобы если кто-то возомнит себе хаскером и захочет по подбирать пароль, запросы в БД не делались.

Вроде объяснил довольно понятно.
« Последнее редактирование: 26.09.2018, 20:03:51 от Septdir »
Не можете справиться с задачей сами пишите, решу ее за вас, не бесплатно*.
*Интересная задача, Деньги или Бартер. Натурой не беру!
Мои Контакты | Мой GitHub | Workshop
*

dmitry_stas

  • Легенда
  • 13057
  • 1225 / 8
Re: Как лучше скрыть админку?
« Ответ #11 : 26.09.2018, 18:18:02 »
вообще мысль о том, чтобы не могли определить CMS сайта.
а вход в админку самый простой способ это сдедать
уходя вечером с работы Мюллер наглухо закрыл окно в кабинете, чтобы Штрилиц не смог ночью в него залезть, но Штирлиц оказался хитрее и вошел через дверь ))
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

lexxbry

  • Живу я здесь
  • 2389
  • 65 / 8
Re: Как лучше скрыть админку?
« Ответ #12 : 26.09.2018, 18:35:08 »
уходя вечером с работы Мюллер наглухо закрыл окно в кабинете, чтобы Штрилиц не смог ночью в него залезть, но Штирлиц оказался хитрее и вошел через дверь ))
Именно про это и речь, что версия cms определяется не по входу в админку...

Если стоит цель вас взломать, то 90 процентов, взломают
SEO-оптимизация,продвижение
Создание и сопровождение сайтов на Joomla
Миграция
*

Mick_20

  • Давно я тут
  • 870
  • 3 / 0
Re: Как лучше скрыть админку?
« Ответ #13 : 26.09.2018, 19:13:33 »
Если стоит цель вас взломать, то 90 процентов, взломают


что за писсимизм)) мы выстоим!
те кто будет вручную определять движок первое, что сделают посмотрят админку, потом тег генератор потом...
*

ProtectYourSite

  • Завсегдатай
  • 1988
  • 106 / 4
  • Безопасность вебсайтов
Re: Как лучше скрыть админку?
« Ответ #14 : 26.09.2018, 19:19:23 »
Именно про это и речь, что версия cms определяется не по входу в админку...

Если стоит цель вас взломать, то 90 процентов, взломают
Это не значит, что не надо защищать. Через папку administrator самый простой и точный способ определить версию Joomla. Кроме этого, многие атаки на старые уязвимости рассыпаются перед basic авторизацией.
*

xpank

  • Захожу иногда
  • 239
  • 24 / 0
Re: Как лучше скрыть админку?
« Ответ #15 : 26.09.2018, 19:33:02 »
У большинства сайтов  можно  довольно просто посмотреть  версию Joomla.
site.ru/administrator/manifests/files/joomla.xml или site.ru/language/en-GB/en-GB.xml
Так можно и не из админской локализации смотреть site.ru/language/en-GB/en-GB.xml
На счет остального согласен, смысл прикрывать версию движка, разве что он давно не обновлялся, но в таком случае знание версии не нужно, достаточно ботом прогнать по известному набору дыр.
*

Septdir

  • Живу я здесь
  • 3171
  • 155 / 3
Re: Как лучше скрыть админку?
« Ответ #16 : 26.09.2018, 20:07:25 »
Так можно и не из админской локализации смотреть
С оформлением перестарался.

Два самый простых способа определить версию Joomla без доступа к Панели управления:

1. site.ru/administrator/manifests/files/joomla.xml - Файл манифеста Joomla.
site.ru/language/en-GB/en-GB.xml - Файл манифеста английского языка, на тот случай если /administrator закрыта авторизацией.


те кто будет вручную определять движок первое, что сделают посмотрят админку, потом тег генератор потом...
Прошу прощения, возможно это прозвучит грубо, но мы живем не в каменном веке и сейчас "вручную" ни кто ни чего не делает.

Есть онлайн сервисы, например 2ip (второй в поисковой выдаче)
Есть расширения для браузеров, например wappalyzer (подобные расширения стоят, почти у всех людей, кто работает с сайтами)
Eсть списки признаков CMS, которые можно найти в открытом доступе.

Однако для автоматизированного "взлома" все это не нужно.

Давайте на примере:

Предположим вы знаете, что есть уязвимость в Joomla 3.1.0 до Joomla 3.6.5. Вы знаете что это за уязвимость и как ее использовать и решили попробовать.

С одной стороны, может показаться логичный такая цепочка.
1. Узнать какая CMS используется на сайте.
    Если Joomla перейти к шагу 2. |  Если нет переходим к следующему сайту из списка.
2. Какая версия Joomla на сайте.
    Если версия Joomla больше 3.1.0 и меньше 3.6.5 перейти к шагу 3. |  Если нет переходим к следующему сайту из списка.
3. Попытаться использовать уязвимость. 
    Если получилось хорошо. | Если нет переходим к следующему сайту из списка.

Однако надо стремиться к оптимизации. Кроме того в 3 шаговой схеме, даже пройдя шаг 1 и шаг 2, есть шанс того, что веб мастер закрыл уязвимость самостоятельно.
Поэтому почему бы просто сразу не перейти к шагу 3?

А если предположить что все боты проверяют версию движка, тогда стоит демонстрировать то, что у вас самая последняя (защищенная) версия.

что за писсимизм)) мы выстоим!
Я бы сказал что за оптимизм. Если вас, конкретно ваш сайт заходят взломать, его 100% взломают.
Неуязвимых систем не бывает.
А самая главная и страшная уязвимость, человеческий фактор.

P.S Скрытие meta тэга, тоже ни как не влияет на определение CMS.
« Последнее редактирование: 26.09.2018, 21:00:17 от Septdir »
Не можете справиться с задачей сами пишите, решу ее за вас, не бесплатно*.
*Интересная задача, Деньги или Бартер. Натурой не беру!
Мои Контакты | Мой GitHub | Workshop
*

xpank

  • Захожу иногда
  • 239
  • 24 / 0
Re: Как лучше скрыть админку?
« Ответ #17 : 26.09.2018, 20:40:21 »
Если предположить что все боты проверяют версию движка, тогда стоит демонтировать то что у вас самая последняя версия.
Добавлю от себя. Есть ведь еще расширения, которые могут иметь свои уязвимости, ставящие под угрозу весь сайт. И потому при написании бота редко проверяют версию движка, порой даже не проверяют какая CMS используется (ведь можно натолкнуться на самостоятельную модификацию, но которая может наследовать некоторые дыры, при этом не определяясь ботом как известная CMS), а просто перебирают набор известных дыр у популярных CMS и у самых популярных расширений к этим CMS. Я порой в логах вижу, как боты стучатся по дыркам из WP.
*

dmitry_stas

  • Легенда
  • 13057
  • 1225 / 8
Re: Как лучше скрыть админку?
« Ответ #18 : 26.09.2018, 21:05:44 »
Поэтому почему бы просто сразу не перейти к шагу 3?
угу, именно так и делают

А если предположить что все боты проверяют версию движка, тогда стоит демонтировать то что у вас самая последняя (защищенная) версия.
даже и предполагать не стоит :) никто его не проверяет, лупят по всем известным дырам по списку и все. не важна ни версия, а вообще не важно что там - Joomla, или нет. никому не охота тратить ресурсы своего сервера на какой то анализ и проверки, проще загрузить чужой, послав кучу простых запросов, а атакуемый сервер уже пусть думает и отвечает попали в дыру или нет :)
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

ProtectYourSite

  • Завсегдатай
  • 1988
  • 106 / 4
  • Безопасность вебсайтов
Re: Как лучше скрыть админку?
« Ответ #19 : 26.09.2018, 21:10:38 »
угу, именно так и делают
Боты да, при целенаправленном взломе никто не будет пытаться  взломать джумлу  по дырам вордпресса, но это единичные случаи  по сравнению  с атаками ботов
« Последнее редактирование: 26.09.2018, 21:13:40 от ProtectYourSite »
*

dmitry_stas

  • Легенда
  • 13057
  • 1225 / 8
Re: Как лучше скрыть админку?
« Ответ #20 : 26.09.2018, 21:23:14 »
при целенаправленном взломе
это конечно, факт. но я так думаю если сайт дорос до того, что попадает в категорию ломаемых целенаправленно - то обсуждение его защиты не на форуме Joomla должно быть :)
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

robert

  • Живу я здесь
  • 4759
  • 437 / 18
Re: Как лучше скрыть админку?
« Ответ #21 : 26.09.2018, 21:54:32 »
Да ладно, пусть все думают, что их сайты - очень крутые и все недоброжелатели, особенно конкуренты, спят и видят, как эти сайты взломать. Всем хорошо же?
Не будь паразитом, сделай что-нибудь самостоятельно!
*

Septdir

  • Живу я здесь
  • 3171
  • 155 / 3
Re: Как лучше скрыть админку?
« Ответ #22 : 26.09.2018, 22:26:32 »
даже и предполагать не стоит
Вы правы.
Я написал  это к тому, что скрывать версию ядра в любом случае нет смысла.
Не можете справиться с задачей сами пишите, решу ее за вас, не бесплатно*.
*Интересная задача, Деньги или Бартер. Натурой не беру!
Мои Контакты | Мой GitHub | Workshop
*

draff

  • Живу я здесь
  • 4307
  • 290 / 7
  • Ищу работу
Re: Как лучше скрыть админку?
« Ответ #23 : 27.09.2018, 08:37:47 »
оба варианта использовал - и плагин и папку под пароль ставлю.
Плагин - лишняя нагрузка на сайт, хостинг .
*

dmitry_stas

  • Легенда
  • 13057
  • 1225 / 8
Re: Как лучше скрыть админку?
« Ответ #24 : 27.09.2018, 09:06:13 »
А защита папки администратора, как я уже писал выше, нужна не более чем для того, чтобы если кто-то возомнит себе хаскером и захочет по подбирать пароль, запросы в БД не делались.
имхо удобен способ описанный тут https://hika.su/blog/kak-izmenit-nazvanie-papki-administrator-v-joomla
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

AlekVolsk

  • Гуру
  • 6893
  • 403 / 4
Re: Как лучше скрыть админку?
« Ответ #25 : 27.09.2018, 14:16:23 »
те кто будет вручную определять движок первое, что сделают
... жмякнут ctrl+u и посмотрят в head пути подключения файлов стилей и скриптов, Joomla сама себя файловой структурой с потрохами сдаст
*

effrit

  • Легенда
  • 9622
  • 1062 / 13
  • effrit.com
Re: Как лучше скрыть админку?
« Ответ #26 : 29.04.2019, 09:43:38 »
наверно, имеет смысл дополнить закрытием входа с фронта для сайтов, где нет функционала для залогиненных?
Код
# не даем зайти с фронта, выдаем ошибку доступа 403
RewriteRule index.php/component/users* index.php [F]
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

При входе в админку пустая белая страница

Автор sved2000

Ответов: 4
Просмотров: 159
Последний ответ 04.12.2019, 12:58:44
от SeBun
Редирект на главную при входе в админку

Автор QuickSilver_92

Ответов: 14
Просмотров: 640
Последний ответ 23.11.2019, 15:31:39
от geomant
Скрыть блок "Содержание материала"

Автор Mick_20

Ответов: 0
Просмотров: 326
Последний ответ 12.08.2019, 09:50:52
от Mick_20
После обновления с 3.7.5 до 3.8, 3.8.1, 3.8.2 нет входа в админку

Автор AlexZ1

Ответов: 39
Просмотров: 4110
Последний ответ 08.07.2019, 14:39:54
от natashalina
Не получается зайти в админку Joomla 3.6.5, обновляется

Автор newgot

Ответов: 3
Просмотров: 302
Последний ответ 13.05.2019, 10:32:12
от dmitry_stas