Mi chiedono: "Disabilitami il link dell'Admin", ma si può fare?

[FlowArt st]

A seguito di un penetration test, mi hanno riferito che serve ch'io disabiliti il link dell'administrator. Ora, per esser chiari, loro intendono che la URL www.miosito.it/administrator non debba essere raggiungibile dal pubblico (ma solo qualcuno che si fa venire un dubbio sull'uso del CMS, andrà ad aggiungere "administrator" alla fine della stringa, perché non ho assolutamente messo link sul sito in questione che riconducano, appunto, all'area di login dell'amministrazione.
Chiarito questo punto (solo con voi, che quelli mica mi capiscono, quando parlo!!), mi chiedevo: È possibile fare in modo che non si possa raggiungere quella URL? 
Io ho i miei dubbi...

[luketto]

forse, tramite .htaccess la potresti proteggere anche in http... ormai /administrator o /wp-login.php lo mettono tutti x capire quale piattaforma sia...

[mau_develop]

A seguito di un penetration test, mi hanno riferito che serve ch'io disabiliti il link dell'administrator.
-----------------------------------------------------------------------------------------------------------------------------------

solo due domande, dopo ti dico meglio....

1) chi ha eseguito il test, ovvero che qualifiche o esperienza ha per farlo

2) visto che serve che tu disabiliti il link ti sapranno anche spiegare perchè serve questa cosa,... ma no alla "facciamo felice il parroco" una relazione che dimostri che quello è un punto vulnerabile.

... il resto ... giochi da bimbi...

M.

[FlowArt st]

Il sito cui mi riferisco, è il Geoportale della Provincia di Lecco.
Chi ha eseguito il penetration test è il responsabile alla sicurezza del geoportale in quel di Lecco, quindi se è possibile disabilitare o rendere difficoltoso il raggiungimento della URL d'accesso al beck-end, lo faccio molto volentieri. Evidentemente per loro (parlo al plurale, riferendomi ai signori di Lecco) con la visualizzazione della pagina di login, potrebbe apparire come un sito "debole".
Visto che mi hanno già pagato, mi costa poco fare questa piccola modifica.
Chiaro che se poi non sono felici, io non mi prendo responsabilità di nessun genere!!

[mau_develop]

trovi vari tutorial in rete
http://www.joomlahackers.net/joomla-tutorials/change-joomla-admin-name-or-path.html

e altrettanti esperimenti su questo sito.

comunque sarebbe interessante sapere il perchè... illuminerebbe l'intera comunità di Joomla e anche i poveri sviluppatori, così sprovveduti da lasciare queste vulnerabilità... ma magari loro non usano Acunxxx come i veri esperti...

polemico?... si ...parecchio! ... ma son problemi miei

M.

[56francesco]

si può fare con le tante estensioni per la sicurezza  (sicurezza che prima o poi lo stesso admin sfascia tutto o non entra più  )

ma dovresti farti una idea di cosa vogliono con precisione,  vogliono una ulteriore stringa di sicurezza?  vogliono un lucchetto che si rimuove solo via ftp? vogliono un accesso per determinati ip  e basta? 
insomma  come ogni progetto prima occorre avere le idee chiare, poi basta cercare su www.joomla.org qualche estensione oppure a saperlo fare scrivere qualche riga di codice, ma dove?

[FlowArt st]

trovi vari tutorial in rete
http://www.joomlahackers.net/joomla-tutorials/change-joomla-admin-name-or-path.html

e altrettanti esperimenti su questo sito.

comunque sarebbe interessante sapere il perchè... illuminerebbe l'intera comunità di Joomla e anche i poveri sviluppatori, così sprovveduti da lasciare queste vulnerabilità... ma magari loro non usano Acunxxx come i veri esperti...

polemico?... si ...parecchio! ... ma son problemi miei

M.

Personalmente non me lo chiedo più e non mi interessa nemmeno più riuscire a capire cosa passa nel loro cervello
Tanto mi hanno fatto delle richieste così ASSURDE che, se potevo fargliele, gliele facevo ed amen
È inutile combattere contro i mulini a vento, no?

[adottauncane]

So che a mau_develop non piacerà... e nemmeno a 56francesco, 
ma se il problema è solo che se si aggiunge /administrator non si veda la form, può esserti utile questo:
http://extensions.joomla.org/extensions/access-a-security/site-security/login-protection/13919

non serve a nulla, ma credo li renderà felici.

[maicolstaip]

Ciao  FlowArt st,
in ogni caso gli eventuali attacchi mica li fanno da
/administrator
ma usano sistemi un po' più sofisticati o sfruttano vulnerabilità di estensioni scritte male o non aggiornate.
Ma se lo dice il responsabile alla sicurezza del geoportale 

Comunque seguirei il consiglio di Francesco, chiedendo prima ai responsabili cosa vogliono.

EDIT: anche il suggerimento di adottauncane non è mica male 

[mau_develop]

È inutile combattere contro i mulini a vento, no?
----------------------------------------------------------------
no no ...i mulini a vento anche a testate prima o poi cadono, quello che è difficile è riuscire a farsi spiegare e capire delle cose che l'interlocutore non sa spiegare.
Non ce l'ho assolutamente con te è che qs cose mi fanno girare le scatole perchè non hanno alla base nulla.
se ci fosse saprebbe quanto è inutile quello che richiede, non solo, da esperto di sicurezza dovrebbe sapere che le modifiche sul codice non possono che influire negativamente su una cosa già ritenuta sicura.

@adottauncane
beh... scrivere si può scrivere di tutto ...che sia utile poi bisogna dimostrarlo

M.

[adottauncane]

@adottauncane
beh... scrivere si può scrivere di tutto ...che sia utile poi bisogna dimostrarlo

Utile alla sicurezza no, ma se li facesse felici... 

[FlowArt st]

Sono finalmente riuscita a capire cosa vogliono da me
Dunque, il percorso all'amministraizone deve prendere... diversa strada
Ovvero: vogliono che io modifichi la URL www.miosito.it/administrator ; a quanto pare ho la possibilità di scegliere e mettere quel che mi pare, ma personalmente non so come fare.
Chi ha la capacità / pazienza di aiutarmi?

[56francesco]

a quanto pare ho la possibilità di scegliere e mettere quel che mi pare,

questo lo dicono loro, ma non joomla,  ora joomla devi sapere che è un software tradotto in quasi tutte le lingue del pianeta e che gira su miliardi di server in quel modo li,  i tuoi capi invece chi sarebbero?
 

a parte gli scherzi,  prova con qualche plugin che trovi qui  ma prima fai le copie, e poi fai le copie, e ricordati dove le metti le copie

http://extensions.joomla.org/extensions/access-a-security

ps
dimenticavo: fai le copie prima e mettile al sicuro 
pps
fai le copie prima e non lasciare le copie nel server

[56francesco]

ti segnalo anche questo articolo
http://www.joomla.it/articoli-della-community/3925-la-sicurezza-in-joomla.html