Umbenennung der Administrator index.php

  • Hallo Forum,


    besteht eine reguläre Methode den Namen der index.php Datei im Administrator-Verzeichnis umzubenennen? Z.B. in hzttr67ug.php, aber natürlich so, dass das Backend noch funktioniert.

    Ich habe das jetzt mal probiert und etliche strings mit 'index.php' in allen möglichen Unterverzeichnissen geändert, das Backend funktioniert dadurch nur noch teilweise.


    Als Sicherung des Administrator-Verzeichnisses habe ich hier schon die Empfehlung bekommen, es mittels htaccess zu schützen, einem potentiellen Angreifer verrät dies aber bereits die Existenz des Verzeichnisses und gibt damit die Information, dass es sich um Joomla handelt, preis. Der Angreifer hat dann ja alle weiteren Verzeichnisse zum Austoben. Oder denke ich da grundsätzlich falsch?


    viele Grüße

    buja

  • Nein das geht aust technischen Gründen nicht.

    Die wirkunsvollste Art ist immer noch der htaccess-Schutz des Backends.


    Außerdem ist es im FE-Quellcode schon ersichtlich um welches CMS es sich handelt. Auch Browserplugins wie Wappalyzer zeigen Dir das CMS an ohne in den Quellcode zu schauen.


    Willst Du unbedingt verstecken, dann schau Dir das Tutorial an: https://www.wicked-software.de…is-per-htaccess-schuetzen

  • Hallo Indigo66,

    das mit dem Wappalyzer ist ja cool :) danke!

    bei mir zeigt er im frontend das apache-Symbol an. Und für die Login-Seite des Backends das php-Symbol.

    Ich habe ja dort schon alle Hinweise auf joomla erfolgreich entfernt; im backend selbst ist natürlich alles da.


    Dass htaccess der beste Schutz ist, bezweifle ich ja gar nicht und ehrlich gesagt, wäre mir die Umbenennung des Administrator-Verzeichnisses noch lieber, sd. man dann dieses umbenannte Verzeichnis mit htaccess schützt. Das wäre richtig konsequent. Kein Hinweis auf die Technologie, weder im Quellcode noch in der Struktur.


    Als "Verzeichnisschutz" hat joomla ja, wenn ich das richtig verstanden habe, in einigen Verzeichnissen eine leere index.html gesetzt; warum nicht in allen und warum keine index.html, die auf die Startseite verweist? Ausserdem werden die php-Dateien mit "defined('_JEXEC') or die;" geschützt, aber auch das liefert wieder einen Hinweis auf die Struktur. Besser wäre vielleicht ein "defined('_JEXEC') or include('leite_mich_um.php');", wobei in der leite_mich_um.php dann zB. ein header('Location: index.html'); auf Standart-Index-Datei stehen könnte und dann erst das exit();


    Naja, das sind nur so Gedanken :)


    ein schönes Wochenende euch allen

    buja


    ps: der Wappalyzer zeigt für diese Seite übrigens gar nichts an, also auch alles super versteckt!

  • Zitat

    Kein Hinweis auf die Technologie, weder im Quellcode noch in der Struktur

    Die leere index.html ist Geschichte, das wird nicht mehr gemacht. Wenn du jeden Hinweis auf die Struktur im Quellcode verschleiern willst wirst du auch alle Views overriden und eigene Klassen vergeben müssen. Oder gleich ein eigenes CMS schreiben.

  • Kein Hinweis auf die Technologie, weder im Quellcode noch in der Struktur.

    Das bringt Dir gar nichts, wenn Du im Quelltext des Frontends und z.B. der Pfadanfgeben von JS und CSS und Klassennamen siehst, dass es sich um Joomla handelt.

    Außerdem scheinst Du das Tutorial nicht angeschaut zu haben, welches ist verlinkt hatte. Du wird gezeigt wie Du das adminverzeichnis "zum Schein" umbenennen bzw. verstecken kannst.