Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

[Решено] Вопрос про админку OPENCART


slavva

Recommended Posts

Здравствуйте, у меня вопрос по поводу админки, по умолчанию вход в админку происходит по стандартному пути www.site/admin , например в престашоп стандартный путь до админки точно такой же, но папку можно переименовать допустим admin1234 и тогда админка для посторонних будет закрыта, есть ли такая возможность у opencart?

Надіслати
Поділитися на інших сайтах


Конечно. Переименуйте папку admin (например thog3Sie), сохраните thog3Sie/config.php на всякий случай и измените в нём адреса на новые (admin -> thog3Sie). Не получится - вернёте на место (конфиг и переименовать папку).

  • +1 2
Надіслати
Поділитися на інших сайтах


папку можно переименовать допустим admin1234 и тогда админка для посторонних будет закрыта

не совсем так, есть волшебный файл, robots.txt, который сдаст всех с потрохами, исключением является случай, когда злоумышленник лентяй и пользуется "машинными средствами взлома". Во всех остальных случаях админская директория находится элементарно, к сожалению. Можно конечно рассчитывать на то, что оставив директорию "admin", мы "заставим" хакера "ломать" ее, но ведь хакер может и не согласиться с нашей концепцией защиты :)

Надіслати
Поділитися на інших сайтах


не совсем так, есть волшебный файл, robots.txt, который сдаст всех с потрохами, исключением является случай, когда злоумышленник лентяй и пользуется "машинными средствами взлома". Во всех остальных случаях админская директория находится элементарно, к сожалению. Можно конечно рассчитывать на то, что оставив директорию "admin", мы "заставим" хакера "ломать" ее, но ведь хакер может и не согласиться с нашей концепцией защиты :)

ммм не совсем уловил смысл "который сдаст всех с потрохами"..

файл robots.txt это не исполняемый скрипт, это просто текстовый файл который не завязан никуда и ни с чем

в файл robots.txt не нужно вносить переименованную директорию admin и никто никогда не сможет её найти (подбирать директорию по словарю методом тыка никто не будет, если только совсем психически больной)

ну и Вам никто не мешает создать директорию admin пустую и положить туда пустой файл index.html/php или даже можно с формой отправки куданить подальше на какой нить порнохостинг (ну это будет слишком наверно)

Вы никогда не сможете найти отдельно взятую директорию, которая существует сама по себе и не связанна с пользовательской частью ни коим образом (в т.ч. и с robots.txt), а подобрать имя директории

_http://mysite.ru/b17221c7f4f9ce93d387a2f61d770101/ - как говорится "море удачи и дача у моря!"

Надіслати
Поділитися на інших сайтах

в файл robots.txt не нужно вносить переименованную директорию admin и никто никогда не сможет её найти

не спора ради, ради истины :)

тогда "реальная админская" директория попадет в индекс поисковиков, а мы тщетельно следим за тем, чтобы админская директория в индексе отсутствовала... ведь мы блокируем от индексирования админскую директорию.

Получается некое противоречие, с одной стороны мы с помощью robots.txt обычно блокируем индексирование админской директории, с другой стороны ты советуешь индексировать "реальную админскую директорию" :)...

Надіслати
Поділитися на інших сайтах


не спора ради, ради истины :)

тогда "реальная админская" директория попадет в индекс поисковиков, а мы тщетельно следим за тем, чтобы админская директория в индексе отсутствовала... ведь мы блокируем от индексирования админскую директорию.

Получается некое противоречие, с одной стороны мы с помощью robots.txt обычно блокируем индексирование админской директории, с другой стороны ты советуешь индексировать "реальную админскую директорию" :)...

К сожалению объяснение принципов работы сервера HTTP, а также протокола http выходит за рамки данного форума.

Советую поковырять документацию в инете на предмет как работает сервер HTTP (Apache,Nginx,Lighttpd), что такое листинг директорий и что такое индексный файл и каким образом клиент (Web browser, поисковик и тд) получает дерево "ссылок" всех файлов и директорий на сервере.

Если Вы вностите в robots.txt исключение того или иного контента, то как уже писалось на этом форуме, в поисковике существование этого контента будет зафиксированно со всеми вытекающими. Повторюсь, никто не может обнаружить на сервере директории если к ним не прописаны пути/ссылки/etc. вне этой директории, поисковик начинает ходить по сайту с индексного файла и непосредственно с ссылок которые он находит в индексном файле + robots.txt (или Вы думали что поисковики обладают какими то чудесными полномочиями и сервер HTTP по первому запросу вываливает всё содержимое директории с сайтом?!)

Это не спор, это всего лишь знание или не знание технологий/протоколов и тд (опять же выходит за рамки этого форума).

Надіслати
Поділитися на інших сайтах

не спора ради, ради истины :)

тогда "реальная админская" директория попадет в индекс поисковиков, а мы тщетельно следим за тем, чтобы админская директория в индексе отсутствовала... ведь мы блокируем от индексирования админскую директорию.

Получается некое противоречие, с одной стороны мы с помощью robots.txt обычно блокируем индексирование админской директории, с другой стороны ты советуешь индексировать "реальную админскую директорию" :)...

Вы не правильную цель преследуете, нужно не блокировать от индексирования, а скрывать от всех (в т.ч. от поисковиков). У магазина кстати нет авторизации с пользовательской части в админку, и сделано это не случайно, а именно для того что бы можно было куда угодно перенести директорию с админкой.
Надіслати
Поділитися на інших сайтах

Повторюсь, никто не может обнаружить на сервере директории если к ним не прописаны пути/ссылки/etc.

Сниффер может. Кейлоггер ещё может. Логи заходов ещё бывают лежат в индексируемом месте, пусть и анонимизированные. Со своими логами каждый волен поступать как вздумается, а вы вполне можете сходить по ссылке из профиля покупателя или партнёра, которую заметите в админке.
Надіслати
Поділитися на інших сайтах


Сниффер может. Кейлоггер ещё может. Логи заходов ещё бывают лежат в индексируемом месте, пусть и анонимизированные. Со своими логами каждый волен поступать как вздумается, а вы вполне можете сходить по ссылке из профиля покупателя или партнёра, которую заметите в админке.

Я не программист, так уж сложилось, вего лишь unix-администратор (php это хобби), для того чтобы использовать сниффер нужно вклиниться в TCP/IP сессию между админом (его рабочее место) и сервером где расположен магазин, к директориям на сервере и работе самого сервера, как и магазина, это не имеет никого отношения, сам факт попытки такого взлома это уже человеческий фактор в отношении магазина и его владельцев, либо к компании хостинг-провайдера где находится данный магазин.

Кейлогер это уже на совести пользователя, украденные пароли и всё остальное то же не имеют отношения к работе http сервера и не никакие действия не спасут ни один сервер от такого пользователя, который раздаёт пароли и тд налево и направо (примеров из жизни масса).

На счёт логов согласен, неправильно настроенный хостинг тому способствует, ну и конечно же логи которые ведёт сам магазин (не включенный htaccess и тд).

  • +1 1
Надіслати
Поділитися на інших сайтах

Это не спор, это всего лишь знание или не знание технологий/протоколов и тд (опять же выходит за рамки этого форума).

к сожалению, мы как то скатились с той дорожки о которой шла речь :)

вот реальный роботс.тхт из поставки магазина

User-agent: *
Disallow: /*route=account/login
Disallow: /*route=checkout/cart
Disallow: /admin
Disallow: /catalog
Disallow: /download
Disallow: /export
Disallow: /system

с директивой "Disallow: /admin" , какой в ней смысл ;) ведь судя по твоей логике, если мы уберем эту директиву, то директория /admin никогда не попадет в индекс поисковых пауков, ведь на нее нет нигде ссылок :) или я чето-то не так понял. Я не шучу, я действительно вижу в этом противоречие. К тому-же "индекс" поисковой системы, это точная копия структуры и содержания сайта, кроме тех участков, которые явно запрещены к индексированию в файле роботс.тхт. Или я не прав. А если я прав, то новая админская директория попадет в индекс поисковой системы и ее можно будет увидеть простым запросом, типа site:mysite.com

Надіслати
Поділитися на інших сайтах


к сожалению, мы как то скатились с той дорожки о которой шла речь :)

вот реальный роботс.тхт из поставки магазина

User-agent: *
Disallow: /*route=account/login
Disallow: /*route=checkout/cart
Disallow: /admin
Disallow: /catalog
Disallow: /download
Disallow: /export
Disallow: /system

с директивой "Disallow: /admin" , какой в ней смысл ;) ведь судя по твоей логике, если мы уберем эту директиву, то директория /admin никогда не попадет в индекс поисковых пауков, ведь на нее нет нигде ссылок :) или я чето-то не так понял. Я не шучу, я действительно вижу в этом противоречие. К тому-же "индекс" поисковой системы, это точная копия структуры и содержания сайта, кроме тех участков, которые явно запрещены к индексированию в файле роботс.тхт. Или я не прав. А если я прав, то новая админская директория попадет в индекс поисковой системы и ее можно будет увидеть простым запросом, типа site:mysite.com

Disallow: /admin

приведёт к тому что знающий пользователь сможет найти данную директорию в поисковике, она не будет проиндексирована, но будет отмечена в поисковике как запрещённая к индексированию, сам факт что она будет засвеченна уже на лицо, в сотый раз повторюсь, поисковик может индексировать сайт только по доступным url и индексация начинается с индексного файла (смотрите настройки Apache) в случае магазина это index.php (стоит поразмыслить почему все скрипты php начинаются с этого файла), файл index.php это точка старта, далее парсится контент который отдаётся по запросу index.php на предмет переходов на другие страницы, то есть все ссылки полученные из содержимого ответа сервера в запросах HTTP GET к файлу index.php, дальнейший парсинг идёт тем же путём по ссылкам найденым в контенте.

Веб сервер не отдаёт случайных директорий и файлов, клиент не может узнать ничего кроме того что отдаёт сервер по запросу, инициатором запросов в данном случае всегда выступает клиент (браузер, поисковик и тд), всё общение сервера и клиента сводится к вопросу со стороны клиента и ответу со стороны сервера.

Ни одни поисковик не сможет узнать о существовании директории если на неё нет ссылок из контента к которому ведёт index.php.

Запрещение в robot.txt дано для того что бы контент который доступен например с главной сраницы (авторизация пользователя или корзина) не был проиндексирован, но не для защиты или скрытия, а просто чтоб не попадал в поисковую базу и только для этого.

это точная копия структуры и содержания сайта

у меня точная копия на диске в директории сайта в открытом доступе занимает порядка 6ГБ, вот только в поисковике максимум 18 Мб наберётся, и что же поисковик такой умный не нашёл всё остальное?

ведь судя по твоей логике, если мы уберем эту директиву, то директория /admin никогда не попадет в индекс поисковых пауков, ведь на нее нет нигде ссылок :)

Это не логика и не умозаключение, это чуть-чуть немного знаний о работе веб-сервера и протокола HTTP (не к месту и не на этом форуме)...
Надіслати
Поділитися на інших сайтах

к сожалению, мы как то скатились с той дорожки о которой шла речь :)

вот реальный роботс.тхт из поставки магазина

User-agent: *
Disallow: /*route=account/login
Disallow: /*route=checkout/cart
Disallow: /admin
Disallow: /catalog
Disallow: /download
Disallow: /export
Disallow: /system
Ах да, если вы заглянете в реальные файлы магазина opencart 1.5.x то не найдёте там файла с таким названием, то что поставляется с ocstore это сугубо личные предпочтения команды которая занимается сборкой этой версии, данный файл может необходим для господина тындекса (на гугле даже описание есть для чего и как), но всё же не является обязательным, и господа разработчики оригинального opencart не берут на себя ответственности по части предустановленной версии данного файла с целью облегчить жизнь в борьбе с поисковиками (ничего против данного файла не имею).

З.Ы. я бы не включал данный файл в сборку магазина, но это мои личные предпочтения.

Последний аргумент: вот сайт http://kvartnikstroy.ru/, хотите знать где админка?

открываем http://kvartnikstroy.ru/robots.txt ... без коментариев

Надіслати
Поділитися на інших сайтах

  • 8 months later...

А не проще В admin/config.php поставить права доступа "ххх" ( 000 ) = тогда админка не будет отображаться по адресу /ваш сайт/admin

таким образом ее никто не взломает ( я так думаю )

Надіслати
Поділитися на інших сайтах


А не проще В admin/config.php поставить права доступа "ххх" ( 000 ) = тогда админка не будет отображаться по адресу /ваш сайт/admin

таким образом ее никто не взломает ( я так думаю )

Я думаю, куда недёжнее использовать .htaccess или .htpasswd

http://www.softtime.ru/info/apache.php?id_article=27

Надіслати
Поділитися на інших сайтах

  • 3 years later...

Господа - прочитал. А такой подход как вам:
реальную админку кладем в
/admin/superadmin/
переписываем пути в конфигах.
итого:
/superadmin/ - индексироваться не будет никогда ибо в роботсе запрещен "верхний уровень"

а в обычном /admin/ нифига не будет

Надіслати
Поділитися на інших сайтах


Еще для тех кто пользуется vqmod. Для автоматической смены путей admin на superadmin необходимо в файл vqmod/pathReplaces.php добавить следующий код: 

// START REPLACES //

$replaces[] = array('~^admin\b~', 'superadmin'); 

// END REPLACES //

Теперь vqmod автоматически будет заменять пути в xml файлах.

Надіслати
Поділитися на інших сайтах


Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку

×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.