Renommer le dossier administrator !!!!!!

[vistamedia]

Une excellente parade contre de nombreuses attaques consiste à renommer le dossier administrator. En effet, le petit malin qui aura réussi à récupérer vos login et mot de passe sera bien ennuyé pour entrer dans votre console d'administration...
... s'il ne s'est pas où elle est.

Je m'apprêtais à faire ça "à la porc" : rechercher/remplacer dans tout le site est dans la base lorsque ouly m'"a donné une solution super élégante.
Utiliser un .htaccess - et oui cela ne sert pas qu'au référencement !!!

Je vous fais donc partager ce petit bijou :

1.- choisissez un joli nom pour votre dossier d'administration. Pour cet exemple je choisis : "manuadmin"

2.- éditer les fichiers :
administrator/index.php
administrator/index2.php
administrator/index3.php

Dans chacun de ces fichiers remplacez le code :

Code PHP:

require_once( '../configuration.php' ); 


par le code

Code PHP:

require_once( '../configuration.php' );
$mosConfig_live_site = $mosConfig_live_site . '/manuadmin'; 


3: Placez à la racine de notre site un fichier .htaccess contenant le code suivant :

Code:

Options +FollowSymlinks
RewriteEngine on

#------------------------------------------------
# A rectifier si Joomla! se trouve dans un sous-dossier
RewriteBase /

#------------------------------------------------
# Redirection sur la page d'index de l'admin
RewriteRule ^manuadmin(/)?$ manuadmin/administrator/ [R,L]

#------------------------------------------------
# Redirection des URLs admin
RewriteRule ^manuadmin/administrator/(.*) administrator/$1 [L,E=JOS_ADMIN:true]

# Redirection en cascade ?
RewriteCond %{ENV:REDIRECT_JOS_ADMIN} ^true$
RewriteRule (.*) - [E=JOS_ADMIN:true]

#------------------------------------------------
# Redirection de la deconnexion
RewriteRule ^manuadmin/index index.php [R,L]

#------------------------------------------------
# Redirection des URLs non-admin utilisees dans l'admin (images, etc.)
RewriteCond %{REQUEST_URI} !^manuadmin/administrator
RewriteRule ^manuadmin/(.*) $1 [L]

#------------------------------------------------
# Acces direct a l'admin refuse
RewriteCond %{ENV:JOS_ADMIN} !^true$
# RewriteRule ^administrator - [F]
RewriteRule ^administrator [R=301,L]

#------------------------------------------------

4.- Adaptez le au besoin si vous l'utilisez déja pour le SEF

5.- Testez
http://mon.site.com/administrator
Renvoie une erreur 404
Et
http://mon.site.com/manuadmin
fonctionne :-)

6.- Pensez à remplacer "manuadmin" par le nom que vous souhaitez donner à votre dossier

Je ne sais pas pourquoi, mais je pense que cela va faire des heureux...

PS: Si vous parlez apache courament, vos critiques sont les bienvenues !!!

[crony]

Hello,
Je parle mal l'Apache, mais j'apprécie la feinte de Sioux !!

Une précision cependant, le fichier .htaccess que tu présentes est à rajouter dans le répertoire administrator ? Ou sont ce des lignes à rajouter au .htaccess existant à la racine du site ?
Je demande car j'ai installé le "pack sécurité" présenté ici, et mon .htaccess actuel est assez gros...Et je voudrais pas tout faire "exploser"...

Enfin, est ce que ça marche également pour la 1.5.3 ?

Merci !

[vistamedia]

Le fichier doit être placé à la racine du SITE pas dans le dossier administrator.
Il ne devrait pas entrer en conflit avec quoique ce soit !!!

Si tu utilise déjà un .htaccess pour autre chose (URL rewriting par exemple) il suffit de supprimer le haut

Code:

Options +FollowSymlinks
RewriteEngine on

#------------------------------------------------
# A rectifier si Joomla! se trouve dans un sous-dossier
RewriteBase /

et de coller le bas à la fin de ton fichier existant

Code PHP:

#------------------------------------------------
# Redirection sur la page d'index de l'admin
RewriteRule ^manuadmin(/)?$ manuadmin/administrator/ [R,L]

#------------------------------------------------
# Redirection des URLs admin
RewriteRule ^manuadmin/administrator/(.*) administrator/$1 [L,E=JOS_ADMIN:true]

# Redirection en cascade ?
RewriteCond %{ENV:REDIRECT_JOS_ADMIN} ^true$
RewriteRule (.*) - [E=JOS_ADMIN:true]

#------------------------------------------------
# Redirection de la deconnexion
RewriteRule ^manuadmin/index index.php [R,L]

#------------------------------------------------
# Redirection des URLs non-admin utilisees dans l'admin (images, etc.)
RewriteCond %{REQUEST_URI} !^manuadmin/administrator
RewriteRule ^manuadmin/(.*) $1 [L]

#------------------------------------------------
# Acces direct a l'admin refuse
RewriteCond %{ENV:JOS_ADMIN} !^true$
# RewriteRule ^administrator - [F]
RewriteRule ^administrator [R=301,L]
#------------------------------------------------ 


Sans oublier les trois petites modifs sur les fichiers cités au point 2.

Et ça fonctionne parfaitement avec la 1.0 et la 1.5

[crony]

Merci pour ces précisions, je teste ça au plus vite et fais un retour dans la foulée

[Peter_P]

C'est en mode de test, car ça m'intéresse vivement. Cet été, j'ai vécu trois piratage coup sur coup par pisskopat, et Nithor, (quand je remettais le site, ils me le hackaient le lendemain) sur un site d'un client en plus (ça serait le mien je m'en foutrais un peu) je ne veux plus revivre cette expérience assez chaude, le client était chaud comme la braise , tout le monde était chaud ....... L'été aussi, était chaud

[pixeoprod]

bonjour,
tout d'abord merci
Ca coince après s'être loggé+pass

j'ai ce message d'erreur
Warning: require_once(/web/sites/vhbu3/1/147/59707/public/www/administrator/components/com_admin/admin.admin.php) [function.require-once]: failed to open stream: No such file or directory in /web/sites/vhbu3/1/147/59707/public/www/toto/index2.php on line 70

or je vais à la ligne 69-70 de index2.php

if ($path = $mainframe->getPath( 'admin' )) {
require_once ( $path );

j'arrive à trouver ou ça se trouve le $path
j'ai cherché partout mais je panne

seriez vous assez gentil pour me répondre merci
pascal

[vistamedia]

Bonjour,

Désolé mais je n'arrive pas à reproduire ton erreur.

1.- Vérifie de bien avoir modifié les trois fichiers (point 2) avec le nom du dossier que tu as choisi.
2.- Vérifie de bien avoir remplacer les 5 occurences de "manuadmin" par le nom du dossier choisi (point 3).
3.- Vérifie que le fichier .htaccess est bien à la racine de ton SITE (au même niveau que le fichier configuration.php)

4.- Si cela ne marche toujours pas envoie nous les paramètres de ton serveur.

PS: Normalement ce patch est compatible avec TOUTES les versions de Joomla!

[pixeoprod]

Bonsoir,
J'ai bien modifié les index, 2,3 dans le dossier administrator et ensuite j'ai installé le .htaccess en faisant copier coller de votre code et bien sur en remplacant partout manuadmin par mon nom de dossier administrator que j'avais modifié

ensuite ni une ni deux, j'ai tapé http://mondomaine.com/toto/
l'url renvoyée fut http://mondomaine.com/toto/administrator/
ou il y a rien bien sur puisqu'il n'existe pas

donc j'ai viré le .htaccess et j'ai recommencé http://mondomaine.com/toto/
je suis tombé sur mon login+pass tout ça ok
puis l'erreur ou plutot les erreurs à la suite

j'ai pu changé dans les différents php les chemins en fonction car il trouvait pas amin.amin.php
admin.php, etc...
jusqu'à celle ci qui me coince
Warning: require_once(/web/sites/vhbu3/1/147/59707/public/www/administrator/components/com_admin/admin.admin.php) [function.require-once]: failed to open stream: No such file or directory in /web/sites/vhbu3/1/147/59707/public/www/toto/index2.php on line 70

j'ai viré aussi dans .htaccess pour essayer
les /administrator/ et j'ai garder ^toto/

En gros j'ai essayé plein de trucs
ce que je constate c'est que cela marche mieux sans le .htaccess
mais c'est tout de meme pas le pied

les parametres du serveur dans configuration.php ?
------------------------------------------------------------------
ma version joomla est Joomla_1.0.12-Stable-fr

ci joint le configuration.php

[vistamedia]

ensuite ni une ni deux, j'ai tapé http://mondomaine.com/toto/
l'url renvoyée fut http://mondomaine.com/toto/administrator/

Ca c'est parfaitement normal puisque l'on ne change pas physiquement le dossier administrator. Pour faire simple, on intercale un dossier virtuel entre la racine du site et administrator.

1.- Essaye de rétablir tous les fichiers d'origine et de retirer le .htaccess
2.- Vérifie que cela fonctionne en te loguant à ta console via monsite.com/administrator
3.- Recopie exactement ce fichier dans ton .htaccess

Code PHP:

Options +FollowSymlinks
RewriteEngine on

#------------------------------------------------
# A rectifier si Joomla! se trouve dans un sous-dossier
RewriteBase /

#------------------------------------------------
# Redirection sur la page d'index de l'admin
RewriteRule ^dossier_admin(/)?$ dossier_admin/administrator/ [R,L]

#------------------------------------------------
# Redirection des URLs admin
RewriteRule ^dossier_admin/administrator/(.*) administrator/$1 [L,E=JOS_ADMIN:true]

# Redirection en cascade ?
RewriteCond %{ENV:REDIRECT_JOS_ADMIN} ^true$
RewriteRule (.*) - [E=JOS_ADMIN:true]

#------------------------------------------------
# Redirection de la deconnexion
RewriteRule ^dossier_admin/index index.php [R,L]

#------------------------------------------------
# Redirection des URLs non-admin utilisees dans l'admin (images, etc.)
RewriteCond %{REQUEST_URI} !^dossier_admin/administrator
RewriteRule ^dossier_admin/(.*) $1 [L]

#------------------------------------------------
# Acces direct a l'admin refuse
RewriteCond %{ENV:JOS_ADMIN} !^true$
# RewriteRule ^administrator - [F]
RewriteRule ^administrator [R=404,L]
#------------------------------------------------ 


4.- Tape monsite.com/dossier_admin et regarde si tu es bien renvoyé vers monsite.com/dossier_admin/administrator
5.- Normalement tu devrais pouvoir te loguer mais l'admin ne sera parfaitement fonctionnelle que lorsque tu auras changé les chemins dans les fichiers administrator/index.php, administrator/index2.php et administrator/index3.php

en remplaçant le code

Code PHP:

require_once( '../configuration.php' ); 


par

Code PHP:

require_once( '../configuration.php' );
$mosConfig_live_site = $mosConfig_live_site . '/dossier_admin'; 


Si cela ne fonctionne toujours pas on essayera autre chose, mais cela vient sans doute de ton hébergeur.

A+ tard,

Manu.

[pixeoprod]

Bonjour,
Merci encore et toujours pour ton effort
Ca ne marche toujours pas mais là j'ai un gros doute
car j'ai tellement modifié les path dans les php
que je ne suis pas absolument sur que ce n'est pas de mon fait
Est ce que j'ai bien tout remis ? That is the question !
Toujours est il que j'ai fait exactement ce que tu m'as dit et je retrouve le même problème du http://mondomaine.com/toto/administrator
et que ça bloque
Ca doit venir du serveur sinon je ne pige plus
Bon j'abandonne pour l'instant
Je vais m'attacher à retrouver tous mes chemins d'administrateur
car là carrément je n'ai plus accès à mon backoffice à force de farfouiller !
Merci tout de même
A une prochaine fois
Pascal