Back to top

Autore Topic: Eliminare login dal sito  (Letto 4846 volte)

Offline rozzilla

  • Appassionato
  • ***
  • Post: 262
  • Sesso: Maschio
  • L' esperienza è il nome che diamo agli errori...
    • Mostra profilo
Eliminare login dal sito
« il: 16 Giu 2014, 16:33:14 »
Ciao a tutti.

Siccome ho modificato il login al backoffice del sito (ossia non raggiungibile più tramite nomesito/administrator) vorrei togliere anche la possibilità di loggarsi da frontoffice, tramite il seguente url:

nomesito/index.php?option=com_users&view=login

Ho eliminato la possibilità di registrarsi in qualsiasi modo, anche tramite url.

Come elimino anche il login via url?

:)
The Shaper:
il portale dedicato agli oggetti 3D.
Su The Shaper è possibile caricare o effettuare il download di prodotti 3D, che possono poi essere stampati.

Offline mmleoni

  • Global Moderator
  • Instancabile
  • *****
  • Post: 5547
  • Sesso: Maschio
  • Just another *nix coder/sysadmin...
    • Mostra profilo
Re:Eliminare login dal sito
« Risposta #1 il: 17 Giu 2014, 11:17:28 »
rinomini la cartella com_user il ché blocca qualsiasi accesso o usi .htaccess per bloccare le richieste specifiche.
ma sei sicuro di ciò che stai facendo?

ciao,
marco
mmleoni web consulting - creazione siti web aziendali ed e-commerce avanzati - sviluppo moduli e componenti Joomla

Offline rozzilla

  • Appassionato
  • ***
  • Post: 262
  • Sesso: Maschio
  • L' esperienza è il nome che diamo agli errori...
    • Mostra profilo
Re:Eliminare login dal sito
« Risposta #2 il: 18 Giu 2014, 15:42:23 »
ma sei sicuro di ciò che stai facendo?
In che senso?

Voglio impedire tentativi di login al sito, a meno che non si conosca l'url per index.php della cartella administrator...

E' pericolo secondo te?
The Shaper:
il portale dedicato agli oggetti 3D.
Su The Shaper è possibile caricare o effettuare il download di prodotti 3D, che possono poi essere stampati.

Offline mmleoni

  • Global Moderator
  • Instancabile
  • *****
  • Post: 5547
  • Sesso: Maschio
  • Just another *nix coder/sysadmin...
    • Mostra profilo
Re:Eliminare login dal sito
« Risposta #3 il: 18 Giu 2014, 15:53:47 »
se hai rinominato la cartella administrator è facile che qualche cosa non funzioni, se hai usato .htaccess + cookies allora no.
ciao
mmleoni web consulting - creazione siti web aziendali ed e-commerce avanzati - sviluppo moduli e componenti Joomla

Offline rozzilla

  • Appassionato
  • ***
  • Post: 262
  • Sesso: Maschio
  • L' esperienza è il nome che diamo agli errori...
    • Mostra profilo
Re:Eliminare login dal sito
« Risposta #4 il: 18 Giu 2014, 15:59:39 »
Volevo optare per il file htaccess.

Siccome non ho nessuna esperienza in tal senso, come faccio a reindirizzare la /index.php?option=com_users&view=login
all'homepage?
The Shaper:
il portale dedicato agli oggetti 3D.
Su The Shaper è possibile caricare o effettuare il download di prodotti 3D, che possono poi essere stampati.

mau_develop

  • Visitatore
Re:Eliminare login dal sito
« Risposta #5 il: 18 Giu 2014, 16:14:17 »
ma a che pro? ... magari, visto che stai facendo una cosa "tecnica", una spiegazione un po' tecnica per farci capire il concetto, il ragionamento che sta alla base per cui alla fine ritieni la tua applicazione più sicura....

magari mi convinci e lo faccio anch'io...

Offline rozzilla

  • Appassionato
  • ***
  • Post: 262
  • Sesso: Maschio
  • L' esperienza è il nome che diamo agli errori...
    • Mostra profilo
Re:Eliminare login dal sito
« Risposta #6 il: 18 Giu 2014, 16:24:30 »
Cerco di spiegarmi.

Ho dovuto mettere le mani in un sito realizzato da terzi.
Situazione disastrosa: versione di joomla non aggiornata, moduli pericolosissimi e da togliere all'istante, decine di utenti registrati tramite link (visto che nessun modulo era installato), script inseriti quasi ovunque per effettuare redirect su altri siti (spero a solo scopo di ranking).

Dopo aver effettuato le classiche modifiche di sicurezza (aggiornare joomla, eliminare moduli e utenti potenzialmente pericolosi, modifica di tutte le password relative a ftp, db e utenti) il sito è stato riattaccato, fortunatamente in misura minore.

Parecchi utenti sono riusciti nuovamente a registrarsi. Ho tolto quindi la possibilità di registrarsi al sito, visto che non era necessaria nel nostro caso.

Inoltre ho chiesto al nostro provider di verificare eventuali altri malfunzionamenti o attacchi al sito.

Si sono accorti inoltre che :
"riscontriamo molti tentativi di accesso alla paggina index.php della cartella di amministrazione, Le consigliamo di prendere in considerazione la possibilità di utilizzare un plugin che modifichi il nome della stessa così da renderla sicura"

Ho quindi installato un plugin che modifica l'url di login all'area amministrativa, per evitare eventuali attacchi brute force suppongo.

Se ora però, chi conosce il link nomesito/index.php?option=com_users&view=login riesce comunque a tentare il login, non ha alcun senso utilizzare tale plugin...

Non pensate?
The Shaper:
il portale dedicato agli oggetti 3D.
Su The Shaper è possibile caricare o effettuare il download di prodotti 3D, che possono poi essere stampati.

Offline mmleoni

  • Global Moderator
  • Instancabile
  • *****
  • Post: 5547
  • Sesso: Maschio
  • Just another *nix coder/sysadmin...
    • Mostra profilo
Re:Eliminare login dal sito
« Risposta #7 il: 18 Giu 2014, 16:35:58 »
no, l'accesso al front end del sito è cosa diversa dall'accesso al back end dello stesso, il plugin (per altro non scelta ottima, dato che inserisci comunque codice php per un controllo che è meglio fare a monte) ed il plugin non lo blocca.
ad ogni buon conto, se il problema è che ti sei trovato utenti registrati, non è impedendo l'accesso alla view login che risolverai...
mmleoni web consulting - creazione siti web aziendali ed e-commerce avanzati - sviluppo moduli e componenti Joomla

Offline rozzilla

  • Appassionato
  • ***
  • Post: 262
  • Sesso: Maschio
  • L' esperienza è il nome che diamo agli errori...
    • Mostra profilo
Re:Eliminare login dal sito
« Risposta #8 il: 18 Giu 2014, 16:42:12 »
l'accesso al front end del sito è cosa diversa dall'accesso al back end dello stesso

Ok allora non tocco niente. Non avevo capito questo punto.

Grazie per la delucidazione ;)
The Shaper:
il portale dedicato agli oggetti 3D.
Su The Shaper è possibile caricare o effettuare il download di prodotti 3D, che possono poi essere stampati.

mau_develop

  • Visitatore
Re:Eliminare login dal sito
« Risposta #9 il: 18 Giu 2014, 16:50:26 »
Si sono accorti inoltre che :
"riscontriamo molti tentativi di accesso alla paggina index.php della cartella di amministrazione, Le consigliamo di prendere in considerazione la possibilità di utilizzare un plugin che modifichi il nome della stessa così da renderla sicura"
------------------------------------

bello! mi hai/hanno convinto, ci sto! Ora cambio il nome al citofono, ci scrivo Famiglia Bianchi così se rubano rubano alla famiglia Bianchi... sì, cambiare nome è un ottima idea :)

Offline rozzilla

  • Appassionato
  • ***
  • Post: 262
  • Sesso: Maschio
  • L' esperienza è il nome che diamo agli errori...
    • Mostra profilo
Re:Eliminare login dal sito
« Risposta #10 il: 18 Giu 2014, 16:57:37 »
bello! mi hai/hanno convinto, ci sto! Ora cambio il nome al citofono, ci scrivo Famiglia Bianchi così se rubano rubano alla famiglia Bianchi... sì, cambiare nome è un ottima idea :)

Nella mia beata ignoranza ho capito diversamente...

Se dopo aver installato joomla non modifichi nulla, basta che una persona sappia che il sito è realizzato con Joomla e potra' tentare di loggarsi tramite url /administrator/index.php

Il plugin che ho installato (jlSecureMySite) invece aggiunge due parametri all'url di amministrazione. Tant'è che ora se una persona non conosce questi due parametri trova più difficoltà a tentare il login, visto che l'url è stato modificato dinamicamente in:
administrator/?parametro1=parametro2
The Shaper:
il portale dedicato agli oggetti 3D.
Su The Shaper è possibile caricare o effettuare il download di prodotti 3D, che possono poi essere stampati.

mau_develop

  • Visitatore
Re:Eliminare login dal sito
« Risposta #11 il: 18 Giu 2014, 17:04:24 »
potra' tentare di loggarsi tramite url /administrator/index.php
--------------------------------------------------
eggià.... è un percorso noto ma non vuol dire vulnerabile per cui tu puoi dare pugni al bancomat finchè vuoi...non lo apri...

Ma dovresti avere lo stesso problema con la webmail di google... o cmq con tutti i form esposti ... che fanno tutti cambiano percorsi? :) al max mettono un autoban dopo 5 tentativi... un antispam....

Offline rozzilla

  • Appassionato
  • ***
  • Post: 262
  • Sesso: Maschio
  • L' esperienza è il nome che diamo agli errori...
    • Mostra profilo
Re:Eliminare login dal sito
« Risposta #12 il: 18 Giu 2014, 17:13:20 »
Ma dovresti avere lo stesso problema con la webmail di google... o cmq con tutti i form esposti ... che fanno tutti cambiano percorsi? :) al max mettono un autoban dopo 5 tentativi... un antispam....

Siccome non so come aggiungere nè autoban nè antispam al login ho optato per questa opzione :D
The Shaper:
il portale dedicato agli oggetti 3D.
Su The Shaper è possibile caricare o effettuare il download di prodotti 3D, che possono poi essere stampati.

 



Web Design Bolzano Kreatif