Moin,
da jeder Serendipity-Blog den zu Zugang zum Admin-Interface über "serendipity_admin.php" bereitstellt, ist es natuerlich auch fuer jeden moeglich, sich dort anzumelden.
Aus Sicherheitsgruenden wuerde ich das gerne aendern wollen, damit kein Unberechtigter die Moeglichkeit hat, dort stundenlang nach user und password zu suchen.
Aber ein einfaches umbennen der "serendipity_admin.php" in "irgendwas.php" ist nicht moeglich, da dann nix mehr funktioniert.
Den Permalink "Pfad zur Administration" zu aendern, nutzt nix, da nur in der .htaccess der link auf die "serendipity_admin.php" geaendert wird.
Gibt es eine Moeglichkeit das Admin-Interface zu "verstecken"?
Gruss
Thomas
URL fuer admin-GUI aendern
Dieses Problem wurde hier schon einmal diskutiert. Das Problem ist, dass die Plugins unterschiedlich auf "sich selbst" zugreifen. Die können hardcodiert das serendpity_admin.php drin stehen haben, anderen ist es egal, wie die Admin-Datei heißt.
Verstecken geht an sich nicht. Aber wenn du ein ordentliches Passwort hast dürfte das doch alles egal sein, oder?
Verstecken geht an sich nicht. Aber wenn du ein ordentliches Passwort hast dürfte das doch alles egal sein, oder?
jain. ich haette halt gerne vermieden, das script-kiddies sich da mit ihren tools da dran machen. den einen oder anderen hat es laut apache-log auch schon gegeben...falk wrote:Verstecken geht an sich nicht. Aber wenn du ein ordentliches Passwort hast dürfte das doch alles egal sein, oder?
gruss
thomas
1984 war gestern
-
stm999999999
- Regular
- Posts: 1531
- Joined: Tue Mar 07, 2006 11:25 pm
- Location: Berlin, Germany
- Contact:
naja, dann müssen sie halt noch zusätzlich die URL raten ... Auch keine qualitative Veränderung, nur eine quantitative.
Und denselben Effekt erreichtst Du auch, indem Du einfach ein längeres/besseres Paßword und ein längeres login wählst.
Stichwort: http://de.wikipedia.org/wiki/Security_through_obscurity
Und nochwas: Die meisten haben ja sogar extra ein Plugin installiert, wo ein Link zur Admin-Oberfläche angezeigt wird - wenn also Sicherheits-Bedarf bestehen sollten, dann wäre es wohl vernünftiger, ein paar Mechanismen gegen widerholte Versuche einzubauen. Vom simplen "dreimal falsches Paßword und Du bist raus!" (nur wer soll dann einen wieder freischalten, wenn es den admin-Acount getroffen hat?) oder ein Verzögern der nächsten Eingabe nach 3 falschen von derselben IP. Erst 1 min, dann 5 min ...
Und denselben Effekt erreichtst Du auch, indem Du einfach ein längeres/besseres Paßword und ein längeres login wählst.
Stichwort: http://de.wikipedia.org/wiki/Security_through_obscurity
Und nochwas: Die meisten haben ja sogar extra ein Plugin installiert, wo ein Link zur Admin-Oberfläche angezeigt wird - wenn also Sicherheits-Bedarf bestehen sollten, dann wäre es wohl vernünftiger, ein paar Mechanismen gegen widerholte Versuche einzubauen. Vom simplen "dreimal falsches Paßword und Du bist raus!" (nur wer soll dann einen wieder freischalten, wenn es den admin-Acount getroffen hat?) oder ein Verzögern der nächsten Eingabe nach 3 falschen von derselben IP. Erst 1 min, dann 5 min ...
Ciao, Stephan