[Решено] Вопрос про админку OPENCART

[slavva]

Здравствуйте, у меня вопрос по поводу админки, по умолчанию вход в админку происходит по стандартному пути www.site/admin , например в престашоп стандартный путь до админки точно такой же, но папку можно переименовать допустим admin1234 и тогда админка для посторонних будет закрыта, есть ли такая возможность у opencart?

[rb2]

Конечно. Переименуйте папку admin (например thog3Sie), сохраните thog3Sie/config.php на всякий случай и измените в нём адреса на новые (admin -> thog3Sie). Не получится - вернёте на место (конфиг и переименовать папку).

[slavva]

Всё понял, благодарю.

Переименовал папку admin и внёс изменения в файл config.php ( нужно отредактировать 5 строчек) И ВСЁ ЗАРАБОТАЛО :rolleyes:

[Zeppelin]

папку можно переименовать допустим admin1234 и тогда админка для посторонних будет закрыта

не совсем так, есть волшебный файл, robots.txt, который сдаст всех с потрохами, исключением является случай, когда злоумышленник лентяй и пользуется "машинными средствами взлома". Во всех остальных случаях админская директория находится элементарно, к сожалению. Можно конечно рассчитывать на то, что оставив директорию "admin", мы "заставим" хакера "ломать" ее, но ведь хакер может и не согласиться с нашей концепцией защиты :)

[costas]

не совсем так, есть волшебный файл, robots.txt, который сдаст всех с потрохами, исключением является случай, когда злоумышленник лентяй и пользуется "машинными средствами взлома". Во всех остальных случаях админская директория находится элементарно, к сожалению. Можно конечно рассчитывать на то, что оставив директорию "admin", мы "заставим" хакера "ломать" ее, но ведь хакер может и не согласиться с нашей концепцией защиты :)

ммм не совсем уловил смысл "который сдаст всех с потрохами"..

файл robots.txt это не исполняемый скрипт, это просто текстовый файл который не завязан никуда и ни с чем

в файл robots.txt не нужно вносить переименованную директорию admin и никто никогда не сможет её найти (подбирать директорию по словарю методом тыка никто не будет, если только совсем психически больной)

ну и Вам никто не мешает создать директорию admin пустую и положить туда пустой файл index.html/php или даже можно с формой отправки куданить подальше на какой нить порнохостинг (ну это будет слишком наверно)

Вы никогда не сможете найти отдельно взятую директорию, которая существует сама по себе и не связанна с пользовательской частью ни коим образом (в т.ч. и с robots.txt), а подобрать имя директории

_http://mysite.ru/b17221c7f4f9ce93d387a2f61d770101/ - как говорится "море удачи и дача у моря!"

[Zeppelin]

в файл robots.txt не нужно вносить переименованную директорию admin и никто никогда не сможет её найти

не спора ради, ради истины :)

тогда "реальная админская" директория попадет в индекс поисковиков, а мы тщетельно следим за тем, чтобы админская директория в индексе отсутствовала... ведь мы блокируем от индексирования админскую директорию.

Получается некое противоречие, с одной стороны мы с помощью robots.txt обычно блокируем индексирование админской директории, с другой стороны ты советуешь индексировать "реальную админскую директорию" :)...

[costas]

не спора ради, ради истины :)

тогда "реальная админская" директория попадет в индекс поисковиков, а мы тщетельно следим за тем, чтобы админская директория в индексе отсутствовала... ведь мы блокируем от индексирования админскую директорию.

Получается некое противоречие, с одной стороны мы с помощью robots.txt обычно блокируем индексирование админской директории, с другой стороны ты советуешь индексировать "реальную админскую директорию" :)...

К сожалению объяснение принципов работы сервера HTTP, а также протокола http выходит за рамки данного форума.

Советую поковырять документацию в инете на предмет как работает сервер HTTP (Apache,Nginx,Lighttpd), что такое листинг директорий и что такое индексный файл и каким образом клиент (Web browser, поисковик и тд) получает дерево "ссылок" всех файлов и директорий на сервере.

Если Вы вностите в robots.txt исключение того или иного контента, то как уже писалось на этом форуме, в поисковике существование этого контента будет зафиксированно со всеми вытекающими. Повторюсь, никто не может обнаружить на сервере директории если к ним не прописаны пути/ссылки/etc. вне этой директории, поисковик начинает ходить по сайту с индексного файла и непосредственно с ссылок которые он находит в индексном файле + robots.txt (или Вы думали что поисковики обладают какими то чудесными полномочиями и сервер HTTP по первому запросу вываливает всё содержимое директории с сайтом?!)

Это не спор, это всего лишь знание или не знание технологий/протоколов и тд (опять же выходит за рамки этого форума).

[costas]

не спора ради, ради истины :)

тогда "реальная админская" директория попадет в индекс поисковиков, а мы тщетельно следим за тем, чтобы админская директория в индексе отсутствовала... ведь мы блокируем от индексирования админскую директорию.

Получается некое противоречие, с одной стороны мы с помощью robots.txt обычно блокируем индексирование админской директории, с другой стороны ты советуешь индексировать "реальную админскую директорию" :)...

Вы не правильную цель преследуете, нужно не блокировать от индексирования, а скрывать от всех (в т.ч. от поисковиков). У магазина кстати нет авторизации с пользовательской части в админку, и сделано это не случайно, а именно для того что бы можно было куда угодно перенести директорию с админкой.

[rb2]

Повторюсь, никто не может обнаружить на сервере директории если к ним не прописаны пути/ссылки/etc.

Сниффер может. Кейлоггер ещё может. Логи заходов ещё бывают лежат в индексируемом месте, пусть и анонимизированные. Со своими логами каждый волен поступать как вздумается, а вы вполне можете сходить по ссылке из профиля покупателя или партнёра, которую заметите в админке.

[costas]

Сниффер может. Кейлоггер ещё может. Логи заходов ещё бывают лежат в индексируемом месте, пусть и анонимизированные. Со своими логами каждый волен поступать как вздумается, а вы вполне можете сходить по ссылке из профиля покупателя или партнёра, которую заметите в админке.

Я не программист, так уж сложилось, вего лишь unix-администратор (php это хобби), для того чтобы использовать сниффер нужно вклиниться в TCP/IP сессию между админом (его рабочее место) и сервером где расположен магазин, к директориям на сервере и работе самого сервера, как и магазина, это не имеет никого отношения, сам факт попытки такого взлома это уже человеческий фактор в отношении магазина и его владельцев, либо к компании хостинг-провайдера где находится данный магазин.

Кейлогер это уже на совести пользователя, украденные пароли и всё остальное то же не имеют отношения к работе http сервера и не никакие действия не спасут ни один сервер от такого пользователя, который раздаёт пароли и тд налево и направо (примеров из жизни масса).

На счёт логов согласен, неправильно настроенный хостинг тому способствует, ну и конечно же логи которые ведёт сам магазин (не включенный htaccess и тд).

[Zeppelin]

Это не спор, это всего лишь знание или не знание технологий/протоколов и тд (опять же выходит за рамки этого форума).

к сожалению, мы как то скатились с той дорожки о которой шла речь :)

вот реальный роботс.тхт из поставки магазина

User-agent: *
Disallow: /*route=account/login
Disallow: /*route=checkout/cart
Disallow: /admin
Disallow: /catalog
Disallow: /download
Disallow: /export
Disallow: /system

с директивой "Disallow: /admin" , какой в ней смысл ;) ведь судя по твоей логике, если мы уберем эту директиву, то директория /admin никогда не попадет в индекс поисковых пауков, ведь на нее нет нигде ссылок :) или я чето-то не так понял. Я не шучу, я действительно вижу в этом противоречие. К тому-же "индекс" поисковой системы, это точная копия структуры и содержания сайта, кроме тех участков, которые явно запрещены к индексированию в файле роботс.тхт. Или я не прав. А если я прав, то новая админская директория попадет в индекс поисковой системы и ее можно будет увидеть простым запросом, типа site:mysite.com

[costas]

к сожалению, мы как то скатились с той дорожки о которой шла речь :)

вот реальный роботс.тхт из поставки магазина

User-agent: *
Disallow: /*route=account/login
Disallow: /*route=checkout/cart
Disallow: /admin
Disallow: /catalog
Disallow: /download
Disallow: /export
Disallow: /system

с директивой "Disallow: /admin" , какой в ней смысл ;) ведь судя по твоей логике, если мы уберем эту директиву, то директория /admin никогда не попадет в индекс поисковых пауков, ведь на нее нет нигде ссылок :) или я чето-то не так понял. Я не шучу, я действительно вижу в этом противоречие. К тому-же "индекс" поисковой системы, это точная копия структуры и содержания сайта, кроме тех участков, которые явно запрещены к индексированию в файле роботс.тхт. Или я не прав. А если я прав, то новая админская директория попадет в индекс поисковой системы и ее можно будет увидеть простым запросом, типа site:mysite.com

Disallow: /admin

приведёт к тому что знающий пользователь сможет найти данную директорию в поисковике, она не будет проиндексирована, но будет отмечена в поисковике как запрещённая к индексированию, сам факт что она будет засвеченна уже на лицо, в сотый раз повторюсь, поисковик может индексировать сайт только по доступным url и индексация начинается с индексного файла (смотрите настройки Apache) в случае магазина это index.php (стоит поразмыслить почему все скрипты php начинаются с этого файла), файл index.php это точка старта, далее парсится контент который отдаётся по запросу index.php на предмет переходов на другие страницы, то есть все ссылки полученные из содержимого ответа сервера в запросах HTTP GET к файлу index.php, дальнейший парсинг идёт тем же путём по ссылкам найденым в контенте.

Веб сервер не отдаёт случайных директорий и файлов, клиент не может узнать ничего кроме того что отдаёт сервер по запросу, инициатором запросов в данном случае всегда выступает клиент (браузер, поисковик и тд), всё общение сервера и клиента сводится к вопросу со стороны клиента и ответу со стороны сервера.

Ни одни поисковик не сможет узнать о существовании директории если на неё нет ссылок из контента к которому ведёт index.php.

Запрещение в robot.txt дано для того что бы контент который доступен например с главной сраницы (авторизация пользователя или корзина) не был проиндексирован, но не для защиты или скрытия, а просто чтоб не попадал в поисковую базу и только для этого.

это точная копия структуры и содержания сайта

у меня точная копия на диске в директории сайта в открытом доступе занимает порядка 6ГБ, вот только в поисковике максимум 18 Мб наберётся, и что же поисковик такой умный не нашёл всё остальное?

ведь судя по твоей логике, если мы уберем эту директиву, то директория /admin никогда не попадет в индекс поисковых пауков, ведь на нее нет нигде ссылок :)

Это не логика и не умозаключение, это чуть-чуть немного знаний о работе веб-сервера и протокола HTTP (не к месту и не на этом форуме)...

[costas]

к сожалению, мы как то скатились с той дорожки о которой шла речь :)

вот реальный роботс.тхт из поставки магазина

User-agent: *
Disallow: /*route=account/login
Disallow: /*route=checkout/cart
Disallow: /admin
Disallow: /catalog
Disallow: /download
Disallow: /export
Disallow: /system

Ах да, если вы заглянете в реальные файлы магазина opencart 1.5.x то не найдёте там файла с таким названием, то что поставляется с ocstore это сугубо личные предпочтения команды которая занимается сборкой этой версии, данный файл может необходим для господина тындекса (на гугле даже описание есть для чего и как), но всё же не является обязательным, и господа разработчики оригинального opencart не берут на себя ответственности по части предустановленной версии данного файла с целью облегчить жизнь в борьбе с поисковиками (ничего против данного файла не имею).

З.Ы. я бы не включал данный файл в сборку магазина, но это мои личные предпочтения.

Последний аргумент: вот сайт http://kvartnikstroy.ru/, хотите знать где админка?

открываем http://kvartnikstroy.ru/robots.txt ... без коментариев

[alexyo7]

А не проще В admin/config.php поставить права доступа "ххх" ( 000 ) = тогда админка не будет отображаться по адресу /ваш сайт/admin

таким образом ее никто не взломает ( я так думаю )

[Гість brk]

А не проще В admin/config.php поставить права доступа "ххх" ( 000 ) = тогда админка не будет отображаться по адресу /ваш сайт/admin

таким образом ее никто не взломает ( я так думаю )

Я думаю, куда недёжнее использовать .htaccess или .htpasswd

http://www.softtime.ru/info/apache.php?id_article=27

[forhost]

Господа - прочитал. А такой подход как вам:
реальную админку кладем в
/admin/superadmin/
переписываем пути в конфигах.
итого:
/superadmin/ - индексироваться не будет никогда ибо в роботсе запрещен "верхний уровень"

а в обычном /admin/ нифига не будет

[hplus]

Еще для тех кто пользуется vqmod. Для автоматической смены путей admin на superadmin необходимо в файл vqmod/pathReplaces.php добавить следующий код: 

// START REPLACES //

$replaces[] = array('~^admin\b~', 'superadmin'); 

// END REPLACES //

Теперь vqmod автоматически будет заменять пути в xml файлах.