Грамотно скрыть админку

подскажите кто как делает

#1 25 февраля 2013 в 19:50
Задался вопросом как грамотно скрыть админку ?? ну вы я думаю поняли о чем я. вот кто как делает? думаю тема будет актуальной для многих
#2 25 февраля 2013 в 20:00
Прописать в admin.php, проверку на IP, если IP отличается от IP админа то вывести 404 страницу. А как ее еще скрывать то?
#3 25 февраля 2013 в 20:11


Прописать в admin.php, проверку на IP, если IP отличается от IP админа то вывести 404 страницу. А как ее еще скрывать то?

FreeLancer

Зайди на большинство сайтов на инстанте да и не только и пропиши сайт.ру/админ и там логин-пароль. вот мне от этого нужно избавится.
#4 26 февраля 2013 в 09:21
В DLE есть фишка с изменением имени админ панели — скрипт меняет admin.php на 1235545456.php здесь бы подобное "замутить" ...
код такой (может кто переделает по icms) :

  1. <?php
  2.  
  3. if ( ! is_file ( 'index.php' ) ) die ( "<strong>Переместите скрипт в корневую папку DataLife Engine!</strong>" );
  4.  
  5. define ( 'ROOT_DIR', dirname ( __FILE__ ) );
  6. define ( 'ENGINE_DIR', ROOT_DIR . '/engine' );
  7.  
  8. require ( ENGINE_DIR . "/data/config.php" );
  9. $var = file_get_contents ( ENGINE_DIR . "/data/config.php" );
  10.  
  11. $search = "'admin_path' => \"" . $config['admin_path'] . "\",";
  12. $newadmpath = "acp_" . rand ( 954612, 984916132 ) . ".php";
  13. $on = "'admin_path' => \"" . $newadmpath . "\",";
  14. $a = rename ( $config['admin_path'], $newadmpath );
  15. if ($a) $b = str_replace ( $search, $on, $var );
  16.  
  17. if ($a and $b) {
  18. $handler = fopen ( ENGINE_DIR . "/data/config.php", "wb" );
  19. $c = fwrite ( $handler, $b );
  20. fclose ( $handler );
  21. }
  22.  
  23. if ($a and $b and $c) echo "<strong>Обновление имени файла админпанели прошло успешно.</strong>";
  24. else echo "<strong>Неудача!</strong>";
  25.  
  26. ?>
#5 26 февраля 2013 в 10:10
Можно просто поставить доп. пароль на папку админки средствами htaccess htpasswd или разрешить доступ только с определенных IP.
#6 26 февраля 2013 в 11:30
+1, самый действиный доп. пароль. Авторы его же юзают. Я поднимал этот вопрос, в теме был подробный ответ.
#7 26 февраля 2013 в 12:11


Можно просто поставить доп. пароль на папку админки средствами htaccess htpasswd или разрешить доступ только с определенных IP.

googlebot
а можно по конкретней об этих средствах? htpasswd
#8 26 февраля 2013 в 12:19

а можно по конкретней об этих средствах? htpasswd

Эдька
У вас какая панэль управления хостингом?
#9 26 февраля 2013 в 13:45
Кратко: в папку /admin/ надо положить файл .htaccess примерно такого содержания
  1. AuthName 'Private Area'
  2. AuthType Basic
  3. AuthUserFile /path-to-file/.authfile
  4. Require user user-name
path-to-file — путь до файла с паролями (абсолютный) user-name — имя пользователя (любое придумайте) .authfile — имя файла с паролями
по пути, кот. указали выше разместите .authfile, создать его можно либо непосредственно на сервере (если есть доступ по ssh) утилитой htpasswd, либо в винде htpasswd.exe -cm .authfile user-name, htpasswd.exe обычно входит в состав всяких денверов и т.п. либо можно скачать отдельно.
Только онлайн генераторы не используйте, есть большая вероятность, что созданная пара хеш-пароль тут же попадет в базу кул-хацкерам.
P.S. Дополнительно надо убедиться, что на сервере не разрешено отдавать по http файлы вида .authfile — попытаться открыть свой файл паролей в браузере, если открывается надо в htaccess максимально высокого уровня добавить
  1. <Files .authfile>
  2. deny from all
  3. </Files>
Либо разместить файл паролей выше, в папке недоступной для apache
#10 26 февраля 2013 в 14:30
я зтедал как тут написано, всё работает, хостер уже предоставляет возможность пароллировать любую дирректорию
#11 28 февраля 2013 в 08:05


а можно по конкретней об этих средствах? htpasswd

Эдька
У вас какая панэль управления хостингом?

Димитриус
Джино хостинг
#12 28 февраля 2013 в 08:07


Кратко: в папку /admin/ надо положить файл .htaccess примерно такого содержания

  1. AuthName 'Private Area'
  2. AuthType Basic
  3. AuthUserFile /path-to-file/.authfile
  4. Require user user-name
path-to-file — путь до файла с паролями (абсолютный) user-name — имя пользователя (любое придумайте) .authfile — имя файла с паролями
по пути, кот. указали выше разместите .authfile, создать его можно либо непосредственно на сервере (если есть доступ по ssh) утилитой htpasswd, либо в винде htpasswd.exe -cm .authfile user-name, htpasswd.exe обычно входит в состав всяких денверов и т.п. либо можно скачать отдельно.
Только онлайн генераторы не используйте, есть большая вероятность, что созданная пара хеш-пароль тут же попадет в базу кул-хацкерам.
P.S. Дополнительно надо убедиться, что на сервере не разрешено отдавать по http файлы вида .authfile — попытаться открыть свой файл паролей в браузере, если открывается надо в htaccess максимально высокого уровня добавить
  1.  
  2. deny from all
  3.  
Либо разместить файл паролей выше, в папке недоступной для apache

googlebot
попытаюсь сделать, может получится
#13 28 февраля 2013 в 12:15
Не стал ничего никуда закидывать из CPanel поставил юзверя и пароль на папку. При входе в админку ICMS спрашивает логин и пасс папки затем админки ICMS. Заодно переименовывает папку.
#14 9 февраля 2014 в 11:54
Та же ситуация что и у IRATE, из CPanel поставил юзверя и пароль на папку.
#15 9 февраля 2014 в 15:19
IRATE, а что папку admin можно переименовать без осложнений и костылей в работе сайта или все же дополнительно пришлось пилить инстант?
Вы не можете отвечать в этой теме.
Войдите или зарегистрируйтесь, чтобы писать на форуме.
Используя этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.