Помощник
|
Скрытие админ панели |
Wins
|
Сообщение
#1
|
||
|
|
||
|
|||
Licoric |
25.8.2013, 3:17;
Ответить: Licoric
Сообщение
#2
|
|
Заведи отдельный хост, занеси туда админку сайта, залочь по ип, хтацес, пхп (куки, суссии, еще что нить). Совмести это все с ссылкой типа "sg;j484208tcdhgoiygt0824y7t8y4T4217TU". Чем длиннее, тем лучше. Заведи ложные админки и т.д.
На самом деле это вопрос сродни "как защитить контент на сайте". Никак. От дурака защитить можно. От того, кто поставил себе целью получение админки - нет. Вопрос лишь в усложнении доступа. *если утекут логины/пароли от фтп, то уже и защита, как таковая, будет не актуальна. |
|
|
Wins
|
Сообщение
#3
|
|
Никак. От дурака защитить можно. От того, кто поставил себе целью получение админки - нет. Вопрос лишь в усложнении доступа. *если утекут логины/пароли от фтп, то уже и защита, как таковая, будет не актуальна. Согласен, протупил с вопросом, как бы мне это и так понятно было, вот и думал заморачиваться над этим или нет.Значит захотят ломать, пусть ломают. Главное чтоб копия всегда последняя была. |
|
|
Licoric |
25.8.2013, 10:07;
Ответить: Licoric
Сообщение
#4
|
|
Согласен, протупил с вопросом, как бы мне это и так понятно было, вот и думал заморачиваться над этим или нет.Значит захотят ломать, пусть ломают. Главное чтоб копия всегда последняя была. Думаю, да. Но это не означает, что надо вовсе не заниматься защитой. Принять стандартные меры. Может что-то еще придумать. Самописно все или на готовых скриптах работаешь? Ограничь доступ по айпишке, если статическая. По региону или провайдеру, если динамическая. Но забудь о том, что бы попасть в админку с телефона, например. Количество запросов в секунду к файлам в админке тоже сделай около 1 в секунду (на авторизацию как минимум). Как-то так. Сделай липовую админку =) Либо вход в админку по одноразовому паролю в смс. Может это и стоит денег, но это твоя защита. Ну и надейся на то, что у хостера все путем будет. |
|
|
Wins
|
Сообщение
#5
|
|
Думаю, да. Но это не означает, что надо вовсе не заниматься защитой. Принять стандартные меры. Ну это я сделал Самописно все или на готовых скриптах работаешь? Самопис, готовые скрипты если беру, то переделываю под себя. По региону или провайдеру, если динамическая. Но забудь о том, что бы попасть в админку с телефона, например. Мобильным интернетом никогда не пользуюсь,так что это для меня не критично)) вход в админку по одноразовому паролю в смс. Может это и стоит денег, но это твоя защита. Я над этим думал, но пока у меня сайт не конкурентый, и не раскручен, поэтому пока обойдусь без смс. Оно вроде и не дешовое удовольствие. Ну а так по всему остальному понятно, спасибо. |
|
|
MetSerp |
26.8.2013, 17:26;
Ответить: MetSerp
Сообщение
#6
|
|
если очень хотите заморочиться:
адрес админки выноситься в переменную генерируемую динамически зависимости от времени суток + рандомная соль которая меняется рандомно (опять же в зависимости от времени, курса ру*** к юаню и.т.п.) все это прогоняется например через md5() - это и будет ваш адрес админки У себя локально сделайте генератор подобной ссылки. Раз например в месяц менять шаг рандома или еще что то, чтобы если кто то подберет алгориртм генерации - обломался. Но это излишне, достаточно думаю будет иметь адрес админки вида site.ru/skgflkstgvou/ и менять его раз в месяц, в случае подохрения в хакерской активности - раз в час. Как вариант положить в корень админки htaccess наглухо рубящий к ней доступ и коментить его на время работы с админкой. |
|
|
Witu |
26.8.2013, 19:32;
Ответить: Witu
Сообщение
#7
|
|
Wins, MetSerp дал практически правильный совет ) но если есть хоть 1 рандом в ссылке то шанс получить эту ссылку даже у настоящего администратора сайта практически равен нулю
можно просто менять ссылку на админку для каждой сессии новая сессия - новая ссылка (по SESSID например) |
|
|
Wins
|
Сообщение
#8
|
|
Спасибо) когда полностью закончу с ней, порпобую такое применить....Эм такой еще вопрос, посмотрел некоторые cms, dle, joomla и там вот есть возможность лазить по всем директориям сайта через админку, в dle, можно править файлы шаблонов прям в админке. Вроде как удобно, но вот при сохранение не будет ли там лишнего кода,bom символы например? А если еще и хакер какой нить доступ к админке получил, то перед ним сразу все ваши папки и файлы, с возможнотью удаления и правки.
Есть ли резон делать это в админке, или лучше пользоваться фтп и нормальными редакторами? |
|
|
MetSerp |
27.8.2013, 11:34;
Ответить: MetSerp
Сообщение
#9
|
|
Есть ли резон делать это в админке, однозначно не для всех папок, например сомнительное решение открывать из админки папку с ядром движка, нормальный человек не будет править ядро из админки. лучше пользоваться фтп лучше пользоваться sftp, ftp сам по себе дырявый протокол, но конечно не все хостеры дают ssh и скорее всего sftp у вас не будет. С другой стороны вдс сейчас стоит не таких уж не подъемных денег, а сайтов на нем вы сможете клепать сколько угодно и доступ у вас будет фактически как к физической машине, по этой причине я уже пару лет вообще не сталкиваюсь в соей практике конкретно с хостингами и ни о чем не жалею. но если есть хоть 1 рандом в ссылке то шанс получить эту ссылку даже у настоящего администратора сайта практически равен нулю немного не так выразился, под рандомом я имел ввиду не Math.random() а какой то слабо привязанный логикой фактор, который держится какое то время, курс доллара например если и локальный генератор и скрипт который вычисляет путь к админке берут это из одного и того же места, то он будет для них одинаков |
|
|
Licoric |
27.8.2013, 13:44;
Ответить: Licoric
Сообщение
#10
|
|
Как еще один из вариантов - удалять админку после работы.
Залил, поработал, удалил. Все эти "отжиги" являются бессмысленными, если подобрать логин и пасс сразу к мускулу. Еще как вариант - держать все на разных хостах. Юзеры с ролями на одном, контент в другой базе и на другом хосте. Сайт то стоит всего этого геморроя? =) |
|
|
|
Похожие темы
Тема | Ответов | Автор | Просмотров | Последний ответ | |
---|---|---|---|---|---|
Нужен владелец/админ сайта с крупным трафиком | 1 | lucanaz | 933 | 28.5.2018, 17:17 автор: miketomlin |
|
Нуждаемся в модераторах.гарантах.админ истраторах. | 0 | Bicikel | 2126 | 21.11.2015, 11:49 автор: -Bicikel- |
|
Продам Скрипт "игровой Панели" | 0 | RondON_hb | 3960 | 31.3.2013, 19:48 автор: -RondON- |
|
скрытие текста | 25 | cyber_ua | 15657 | 4.5.2012, 1:15 автор: -cyber_ua- |
|
Мини админ-панель | 0 | AND1_rs | 1396 | 10.2.2012, 21:41 автор: AND1_rs |
Текстовая версия | Сейчас: 19.4.2024, 13:39 |