因为这个问题被问Joomla StackExchange已经设置并the same questions exists there请任何答案或评论添加到这个问题
原文:
我使用Joomla 3.0.3对于一个相当大的新客户来说,安全是必须的。因此,我决定尝试更改管理员URL,通常
example.com/administrator
改为
example.com/newadminurl
原因是如果文件夹是不是哪里潜在黑客期望是之前,他们甚至可以尝试任何事情的第一道关卡其他。
但是,现在意味着每当我去到新的URL它会引起403错误。我试图搜索是否有全局配置设置,我需要更改但无法在网络或Joomla网站上找到任何内容。任何人都知道如何在源代码中深入改变这一点?
虽然有这样做的黑客,他们引入了新的安全问题,如Joomla!核心不是以这种方式工作的。
实际上,这是核心和第三方扩展和模板中的常见做法,用于从/administrator加载模型,控制器和其他资产。
最好的做法是,以确保您的网站是:
realm密码/administrator/administrator网址,例如: /administrator/?s3cr3tpa55w0rd/administrator您可以找到做一个或Joomla! Extension Directory (JED)的Access & Security节数的这些东西对你来说,和集成的备份到云或其他存储你不能走过去Akeeba Backup(并亲自为微小的扩展费用相比,我的时间,我们总是去与专业版)。
事实上,Akeeba's Admin Tools Pro(包含在他们的任何订阅中)还通过它的WAF(Web应用程序防火墙)提供了该列表上的大部分功能。唯一没有涉及的领域是Password Management,其中有几种可用的解决方案。
在核心和第三方扩展中可能存在各种各样的依赖关系,即使有平台变量来帮助实现管理路径的硬编码。
我建议你改为配置你的.htaccess来防止公众查看你的管理员文件夹,并限制只有获得批准的IP地址。这将阻止他们访问管理文件夹,但当然不能防止不需要直接访问的攻击(例如,某些第三方应用程序在前端的组件管理文件夹中调用代码)。
注:这又在.htaccess文件在你的文件夹administrator不中的.htaccess站点根目录,即[siteroot]/administrator/.htaccess
这里是的.htaccess的例子,你可以配置:
ErrorDocument 403 http://www.your-ip-is-not-allowed-to-access-this-section.com
Order deny,allow
Deny from all
Allow from X.X.X.X
其中X.X.X.X.如果您要允许的管理部分的IP地址。您可以使用多个Allow from X.X.X.X行指定多个地址。
步骤1。在根目录中创建一个新目录(例如“newadminurl”)
步骤2。在你的 “newadminurl” 目录中创建一个index.php文件..
$admin_cookie_code="3429020892";
setcookie("JoomlaAdminSession",$admin_cookie_code,0,"/");
header("Location: /administrator/index.php");
?>
步骤3。添加到您的Joomla真正的管理员目录
RewriteEngine On
RewriteCond %{REQUEST_URI} ^/administrator
RewriteCond %{HTTP_COOKIE} !JoomlaAdminSession=3429020892
RewriteRule .* - [L,F]
说明的的.htaccess:
现在,你需要打开“http://yoursite.com/newadminurl/”你打开你的“管理员”路径之前。在这里,我们创建了一个在会话结束时过期并重定向到实际管理页面的cookie。您的实际“管理员”路径是无法访问的,直到您不打开您的秘密链接。
我希望这是你正在寻找的。