Hallo, ist es möglich die Backend URL /admin in eine frei gewählte URL zu ändern?
Zum Beispiel wäre dann das Backend nur per http://www.shop.de/agsdkagfadfadfhhh54/
erreichbar.
Das würde die Sicherheit ganz enorm steigern, da die Standard URL allgemein bekannt ist.
Klar ist die Sicherheit auch zusätzlich per .htaccess Login zu steigen. Hier sind aber in der Regel drei Versuche möglich, nach einem Reload sind wieder 3 drei Versuche möglich, etc. Ein leichtes für robots, das entsprechend abzufangen und immer wieder zu testen.
Wenn die Backend URL erst gar nicht bekannt ist, stellt das eine rießige Hürde dar.
Kann so etwas realisiert werden? Aich per .htaccess? Und wenn ja, wie genau?
Ich denke nicht, besonders weil der admin Bereich im Ordner “admin” liegt. Außerdem nützt es nicht viel die URL zu ändern, wenn alle Anfragen auf admin/trotzdem auf die geheime URL weitergeleitet werden.
Hast du versucht den Ordner umzubenennen? Oder möchtest du es verschleiern ohne den Ordner umzubenennen?
Das Umbennen des Ordners admin funktioniert soweit, das ich mich erfolgreich mit dem neuen Ordnernamen im Backend anmelden kann.
Wenn ich dann aber einen Menüpunkt anklicke, erscheint ein 404 Fehler “Seite nicht gefunden”.
Vielleicht muss dann noch einmal ein redirect erfolgen?
Eigentlich würde es mir schon reichen, den Ordnernamen zu verschleiern (ohne umzubenennen).
Das hilft nicht bei der Sicherheit, das ist wirklich nur “Verschleiern” (Obfuscation). Ein geübter Hacker findet das in Nullkommanix ^^
Ist das ein Feature, das Du von Presta kennst, @Stroet? Ich fand das aus Anwendersicht zunächst auch sehr sexy, allerdings ist der eigentliche Admin-Bereich sehr sehr leicht herauszufinden.
Wirklich wichtig ist, dass der Admin per .htaccess geschützt ist.
Habe eine WAF (Web Application Firewall) entdeckt, die alle meine Wünsche erfüllt: http://nintechnet.com/ninjafirewall/
Kein Eingriff in die bestehende Struktur, super einfach zu installieren, kein DB Zugriff , und kann für alle Anwendungen (nicht nur OXID) verwendet werden. Habe mal die kostenlose Version getestet. Mach einen sehr guten Eindruck!
Die ganzen Feature sind schon erstaunlich.
Die Pro+ Version kosten 30$ pro Jahr (sollte doch machbar sein). Nur diese enthält die wirklich sinnvollen und effektiven Schutzfunktionen.
Hat schon in Bezug auf OXID jemand Erfahrung damit gemacht?
Jede Softwarelösung, die aufgesetzt werden muss, ist knackbar und bietet im schlimmsten Fall nur einen scheinbaren Schutz.
Beschäftige dich mal mit den Möglichkeiten, die dein Apache von Hause aus bietet (HTTPS User-Auth via Client-Cert zum Beispiel in Kombi mit einer ganz simplen User-Auth via Passwort) - diese Möglichkeiten sind de facto nicht zu umgehen. Jeder, der in der Lage wäre, diese Mechanismen zu hacken, wäre auch in der Lage solche Ninjasoftware zu hacken. Und die Mechanismen, die der Server selber bietet, sind kostenfrei und garantiert mit dem Server zu 100% kompatibel - auch nach einem Update
[QUOTE=wolkenkrieger;184843]Jede Softwarelösung, die aufgesetzt werden muss, ist knackbar …[/QUOTE]
Ein Webserver und deren Module müssen auch aufgesetzt werden (OS, Services, etc.) und bestehen auch nur aus Software und sind auch angreifbar. Leider wird es immer schlimmer. Es gibt keinen 100% Schutz. Auch nicht mit Bordmitteln. Never.
Mit welchen Mitteln man nun dagegen vorgeht, ist denke ich auch eine Geschmacks- und Glaubensfrage.
Wenn sich jemand grundsätzlich mehr Sichherheit verschaffen möchte und nicht zusätzlich noch mit einem (auch kostenpflichten) Workshop in Sachen Security unter Apache und Linux auseinandersetzen möchte (was sind 30$ dagegen und ganz von der Zeit abgesehen), ist eine solche WAF für den “normalo” doch die bessere Variante.
Die ist in 30 Minuten voll einsatzfähig (habe nur 10 Minuten gebraucht).
Natürlich muss man sich dann noch über die möglichen Regeln Gedanken machen - das wird wohl die Hauptaufgabe sein. Aber schon in der Grundeinstellung sind sehr sehr viele Gefahren damit vom Tisch.
Klar, für einen Linux/Apache Guru mag das ein wenig “öselig” klingen.
Aber selbst der kann sich schnell verkonfigurieren und irgendwo klafft ein Lücke …
How ever, würde geren mal den Test machen. Die NinjaFirewall auf einem Testserver installieren und dann mal ran …
Laut meiner Recherche ist die schon wirklich gut.
[QUOTE=Stroet;184844]Klar, für einen Linux/Apache Guru mag das ein wenig “öselig” klingen[/QUOTE]
Da sprichst du mit mir aber den ganz ganz falschen an … ich habe auch nach fast 25 Jahren Berufserfahrung im IT-Bereich Null Plan von Linux (weswegen meine dev-Maschine ein Windows-Client ist btw.)
Und genau deswegen kann ich dir mit absoluter Sicherheit sagen, dass es eben kein Hexenwerk ist, den Indianer mit seinen eigenen Mitteln sicher zu bekommen - eines kostenpflichtigen Kurses bedarf es dafür absolut nicht (warum auch - steht alles im Netz).
Natürlich kannst du installieren, was dir das bessere Gefühl gibt - ganz unbenommen will ich dir das Recht gar nicht absprechen Wenn’s Spass macht
Du fragst hier initial nach einer Möglichkeit, deinen Adminzugang deines Shops zu schützen und ich habe dir eine kostenfreie und getestete Variante genannt, mehr nicht
Sicher ist nichts. Nur der Tod und die Steuer.
Selbst wenn ich mir das Wissen im Netz zusammensuche (wovon ich dringend abrate - das gehört zu 100% in die Hände eines Profis, der einem die richtigen Sachen beibringt), dauert das eine bis zwei Ewigkeiten, bis ich dann vielleicht so weit bin. Und ich garantiere dir, wenn du dir das autodidakt aus dem Netz zusammensuchst, wird dein Wissen noch große Lücken aufweisen und Sicherheitslücken bleiben bestehen, von denen du nichts ahnst. Da kannst du noch so gewissenhaft arbeiten - ein Rest Unwissenheit bleibt - speziell was Security angeht - ein sehr komplexes Thema. Einfach mal einen Apache aufsetzen mit ein paar Anleitungen kann (fast) jeder. Die Details sind das Problem. Und ohne langjährige Erfahrung?? Vergiss es ganz schnell. Keine gute Idee.
Ne, warum böse - alles gut.
Und ja, ich kann Cowboy und Indianer spielen. Aber ist schon etwas eingestaubt.
Es geht mir aber immer um Grundsätzliches.
Nicht jeder hat einen root-Server - sondern Shared
Halte ich es aus den vorgenannten Gründen für gefährlich, gerade was das Thema Security angeht, zum Selbststudium aufzurufen
Genau das verursacht bei vielen das Gefühl “klar - das kann ich auch”. Und damit werden so viele fehlerhafte Webserver ins Netz gelassen und den bösen Buben freien Lauf gelassen. Und dadurch werden nicht nur die betroffenen Server kompromittiert (oft wissen die betroffenen noch nicht mal etwas davon), auch die Kunden und damit das gesamte Netz werden somit zur Zielscheibe. Eine Kettenreaktion ist die Folge. Ein Ding, was nicht sein sollte.
Das gehört in Experten Hände. Wenn du einer bist - nur zu.
Alles andere ist schon fast grob fahrlässig und da hört der Spaß auf.
Leider sehe ich das immer wieder … null Problem - bei mir ist alles sicher. Und zwei Monate später gab es den Supergau, weil etwas nicht beachtet wurde. Und warum? Weil das Expertenwissen und die Erfahrung fehlte.
Ist nicht böse gemeint, sonder nur grundsätzlich.
Wenn’s Spass macht