Neuigkeiten:

moziloCMS verwendet Cookies. Wenn Sie auf unserer Seite weitersurfen, stimmen Sie der Cookie-Nutzung zu Datenschutzerklärung
moziloCMS Layouts
moziloCMS Plugins

Hauptmenü

Änderbarkeit des Admin-Verzeichnisses

Begonnen von mozzi, 05. Februar 2010, 04:48:06

« vorheriges - nächstes »

mozzi

Hallo,

da Mozilo ja zunehmend bekannter wird, wird sicher auch das Risiko von Einbruchsversuchen wachsen. Bei größeren CMS benennen daher einige Webmaster schon mal gern das Admin-Zugangsverzeichnis um, damit es nicht auf Anhieb von Hacker-Bots gefunden wird.
Als ich das beim MoziloCMS probiert habe, kam erstmal eine Fehlermeldung auf der Hauptseite, daß irgendwas nicht auffindbar ist. Natürlich hätte ich jetzt nach und nach die entsprechenden PHP-Einstellungen manuell ändern können, aber es wäre doch vermutlich auch nur recht wenig Aufwand, das generell in Mozilo als variabel umzusetzen - ?
Meine Idee wäre, im Hauptverzeichnis den Pfadnamen des Admin-Verzeichnisses in einer (zusätzlichen oder nicht) config-Datei anzugeben, sodaß nur noch diese Angabe und der Admin-Verzeichnisname selbst vom Benutzer geändert werden muß, um den Admin-Zugang zu verstecken.
Sicher gibt es auch andere Möglichkeiten wie .htaccess, um den Einbruch zu erschweren, soweit man mit doppeltem Login leben kann - aber in Anbetracht der einfachen Umsetzbarkeit würde ich auch meine vorgeschlagene Version als sehr lohnenswert ansehen.

Wie sind da die Aussichten, daß das noch in die nächste Version einfließen könnte?

Grüße
Mozzi
Signatur? Ich nehm die Vorlage: "Die Bilder in ihrer Signatur dürfen nicht größ als 640x320 Pixel sein" ... ;-)

Hotte

#1
Lulz, warum sollte man denn das Verzeichniss wechseln o.O ?!
Solange es keine Sicherheitslücken gibt, die den Zugriff auf´s Admin Panel ohne Zugangsdaten ermöglichen/ oder dass diese presgegeben wird, ist doch alles im Lot. Und da Mozilo ja auf Datenbanken verzichtet, ist das Risiko noch geringer...

azett

#2
Wir prüfen das, so schlecht ist die Idee gar nicht. Ist das Directory-Listing abgeschaltet und das Admin-Verzeichnis umbenannt, hat ein Angreifer erstmal absolut keine Angriffsfläche - das ist schon vorteilhaft.

mozzi

#3
Oh fein,
ich denke, langfristig wird das schon noch ein kleines nettes Argument, das den einen oder anderen zusätzlichen Nutzer überzeugen kann.
Ich hatte nach dem ersten gefundenen Fall einer Pfadangabe zum Adminverzeichnis gleich mit der Suche aufgehört, vielleicht sind es ja auch nur 1 bis 3 Zeichenketten, die durch Variablen ersetzt werden müssen. Ich wollte nur nicht selbst im eigentlichen Programmcode rumwurschteln, weil man sich das alles ja auch irgendwo im Hinterkopf behalten muß, um bei Gelegenheit dann die richtige Quelle für weitere Installationen wiederzufinden, bzw. sämtliche eigene Veränderungen am neuen Platz erneut abzuarbeiten. Ist halt schön, wenn man sich das von vornherein sparen kann. Für die Mozilo-Leute wird das vermutlich in einer halben Stunde funktionsfähig umgesetzt sein (evtl. auch mit Configs ohne PHP-Quelltext - aber halt, die Config soll ja von www-Usern nicht lesbar sein, also doch wohl am ehesten in PHP-Form), und wenn es dann zum Standard wird, haben halt noch mehr Leute was davon. Wie gesagt, Mozilo wird ja mit der Zeit nicht unbekannter...

Grüße
Mozzi
Signatur? Ich nehm die Vorlage: "Die Bilder in ihrer Signatur dürfen nicht größ als 640x320 Pixel sein" ... ;-)

stefanbe

#4
In der 1.12 ist das Möglich zwar nur von Hand aber immerhin :)

gruss stefanbe

Rainer

#5
Zitat von: "stefanbe"In der 1.12 ist das Möglich zwar nur von Hand aber immerhin :)
Vor der eigentlichen Installation den Admin-Ordner umbenennen. Oder ist mehr nötig?

Grüße Rainer
moziloCMS über Facebook bekannt machen
•• moziloCMS auf GitHub
••• Nichts ist einfacher, als das, was uns fremd ist, zu verachten.
•••• Mein moziloCMS

stefanbe

#6
Nach der Installation müssen in der index.php und admin/login.php die Variable $ADMIN_DIR_NAME geändert werden und in der .htaccess RewriteRule admin/index.php$ admin/index.php.

gruss stefanbe

mozzi

#7
Vermutlich ist das nicht ganz verhältnismäßig, bezogen auf die üblichen Anwendererwartungen, aber trotzdem mal der Vorschlag:
- Wenn das admin-Verzeichnis nach wie vor mit "admin" beginnt, aber der Name noch durch weitere Zeichen ergänzt werden kann, dann könnte doch automatisiert danach gesucht werden, ohne daß man die Variable dafür irgendwo setzen müßte. Die .htaccess-Datei wäre natürlich auch dann noch sehr viel einfacher von Hand zu ändern, als das auch noch zu automatisieren.

Ansonsten merke ich gerade, daß wenn man sowieso die .htaccess von Hand ändert, der Rest ja kaum noch schneller zu lösen ist, denn eine eigene config-Datei für den Namen des Admin-Verzeichnisses bringt ja nur die Ersparnis von einer einzigen manuellen Änderung.
Bei eigenen Skripten lege ich mittlerweile aber auch ein paar wenige Parameter schon in eine eigene config-Datei, damit ich den Überblick nicht verliere. Da weiß man einfach, daß das nicht nur Layout-abhängig, sondern auch installationsabhängig nochmal in die Hand genommen werden muß - und daß da vertrauliche Sachen drin stehen, die man bei Weitergabe eines Skriptes nicht ganz so leicht übersehen und versehentlich mit rausgeben kann.

Grüße
Mozzi
Signatur? Ich nehm die Vorlage: "Die Bilder in ihrer Signatur dürfen nicht größ als 640x320 Pixel sein" ... ;-)

azett

#8
Naja, damit schränkt mans aber eben auf "admin*" ein... ;)