Имена файлов и защита сайта

12
ВC
На сайте с 02.02.2006
Offline
459
684

В своей системе аналитики я вижу, что периодически приходят запросы страниц, являющихся адресами панелей управления популярных CMS. Как можно предположить, это взломщики – ибо кому еще это нужно? Вероятно, они знают технику взлома какой-то конкретной CMS, и если ее обнаружат, то им известно, как действовать дальше. 

Поэтому возникает мысль: нет ли смысла дать нетипичные названия файлам и папкам? 

Чтобы не было файлов index.php, config.php, папок templates, profile, admin и т.п? 

Или это только морочание головы самому себе и для защиты ничего не даст?


S3
На сайте с 29.03.2012
Offline
305
#1
Имеет смысл делать оригинальными страницы входа в админку сайта, страницу логина. И конечно при этом правильно обрабатывать  400 и 500 коды ошибок. Для остальных страниц особо не важно. И опять же - нормальный роутинг не должен показывать, как у вас папки на хостинге называются - вы меняете название в url 
Mik Foxi
На сайте с 02.03.2011
Offline
1079
#2
держать актуальными версии своих скриптов. если есть возможность переименовать админку, добавить доп пароль, капчу и т.п. - тоже сделать. но в остальном врятли надо сильно параноить. ну и бекапы иметь )
Антибот, антиспам, веб файрвол, защита от накрутки поведенческих: https://antibot.cloud/ + партнерка, до 40$ с продажи.
-S
На сайте с 10.12.2006
Offline
1355
#3
Владимир-C :
Поэтому возникает мысль: нет ли смысла дать нетипичные названия файлам и папкам? 

Просто вбей в гугл запрос "tips to improve YOUR_CMS security". Уже давно все разжевано и с примерами кода и даже с картинками.

Vladimir
На сайте с 07.06.2004
Offline
541
#4
-= Serafim =- #:
tips to improve YOUR_CMS security

Не проще закрыть доступ к логин файлу и админ папке?
и более ничего не городить

Аэройога ( https://vk.com/aeroyogadom ) Йога в гамаках ( https://vk.com/aero_yoga ) Аэройога обучение ( https://aeroyoga.ru ) и просто фото ( https://weandworld.com )
-S
На сайте с 10.12.2006
Offline
1355
#5
Vladimir #:
Не проще закрыть доступ к логин файлу и админ папке?

Конечно, нет, так как большая часть взломов производится не брутфорсом пароля. Почитай про уязвимости.

S3
На сайте с 29.03.2012
Offline
305
#6
-= Serafim =- #:
большая часть взломов производится не брутфорсом пароля. Почитай про уязвимости.

А можешь рассказать вкратце? Вот я считал что больше всего ломают фишингом, на втором месте как раз брутфорс. Кроме страниц логина уязвимы FTP, console, database, но это все ломается в основном подбором пароля. Иньекции в БД уже давно из области сказок

htexture
На сайте с 29.05.2017
Offline
204
#7
в чем смысл темы если в нормальных случаях недохакер получит 403 ошибку, а в других случаях если взлом получился, он получит полный листинг всех файлов и как не извращайся, сайт будет отдан хакеру полностью) в дле лет 10 назад уже начали давать в админке менять название admin.php на другое, и что? ломают только так
S3
На сайте с 29.03.2012
Offline
305
#8
htexture #:
получит 403 ошибку,

можно за ддосить страницу логина, если она переименована - будет отдавать 404

suffix
На сайте с 26.08.2010
Offline
329
#9
Смена названия файлов / страниц входа даёт в плюс возможное уменьшение нагрузки. Никакого плюса в плане безопасности данное шаманство не даёт. Если Вы допускаете что админка взломается находясь по обычному стандартному адресу значит с безопасностью у Ваc всё отвратительно и надо решать эту проблему а не изменять путь до страницы входа ! Неужели это не очевидно  ?
Клуб любителей хрюш (https://www.babai.ru)
S3
На сайте с 29.03.2012
Offline
305
#10
suffix #:
Неужели это не очевидно  ?

Конечно нет. Куча китайских ботов бродят и пытаются забрутфорсить стандартные адреса для популярных CMS. уже как минимум это часть отсекается простым переименованием. 

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий