Eliminare login dal sito

[rozzilla]

Ciao a tutti.

Siccome ho modificato il login al backoffice del sito (ossia non raggiungibile più tramite nomesito/administrator) vorrei togliere anche la possibilità di loggarsi da frontoffice, tramite il seguente url:

nomesito/index.php?option=com_users&view=login

Ho eliminato la possibilità di registrarsi in qualsiasi modo, anche tramite url.

Come elimino anche il login via url?

[mmleoni]

rinomini la cartella com_user il ché blocca qualsiasi accesso o usi .htaccess per bloccare le richieste specifiche.
ma sei sicuro di ciò che stai facendo?

ciao,
marco

[rozzilla]

ma sei sicuro di ciò che stai facendo?

In che senso?

Voglio impedire tentativi di login al sito, a meno che non si conosca l'url per index.php della cartella administrator...

E' pericolo secondo te?

[mmleoni]

se hai rinominato la cartella administrator è facile che qualche cosa non funzioni, se hai usato .htaccess + cookies allora no.
ciao

[rozzilla]

Volevo optare per il file htaccess.

Siccome non ho nessuna esperienza in tal senso, come faccio a reindirizzare la /index.php?option=com_users&view=login
all'homepage?

[mau_develop]

ma a che pro? ... magari, visto che stai facendo una cosa "tecnica", una spiegazione un po' tecnica per farci capire il concetto, il ragionamento che sta alla base per cui alla fine ritieni la tua applicazione più sicura....

magari mi convinci e lo faccio anch'io...

[rozzilla]

Cerco di spiegarmi.

Ho dovuto mettere le mani in un sito realizzato da terzi.
Situazione disastrosa: versione di joomla non aggiornata, moduli pericolosissimi e da togliere all'istante, decine di utenti registrati tramite link (visto che nessun modulo era installato), script inseriti quasi ovunque per effettuare redirect su altri siti (spero a solo scopo di ranking).

Dopo aver effettuato le classiche modifiche di sicurezza (aggiornare joomla, eliminare moduli e utenti potenzialmente pericolosi, modifica di tutte le password relative a ftp, db e utenti) il sito è stato riattaccato, fortunatamente in misura minore.

Parecchi utenti sono riusciti nuovamente a registrarsi. Ho tolto quindi la possibilità di registrarsi al sito, visto che non era necessaria nel nostro caso.

Inoltre ho chiesto al nostro provider di verificare eventuali altri malfunzionamenti o attacchi al sito.

Si sono accorti inoltre che :
"riscontriamo molti tentativi di accesso alla paggina index.php della cartella di amministrazione, Le consigliamo di prendere in considerazione la possibilità di utilizzare un plugin che modifichi il nome della stessa così da renderla sicura"

Ho quindi installato un plugin che modifica l'url di login all'area amministrativa, per evitare eventuali attacchi brute force suppongo.

Se ora però, chi conosce il link nomesito/index.php?option=com_users&view=login riesce comunque a tentare il login, non ha alcun senso utilizzare tale plugin...

Non pensate?

[mmleoni]

no, l'accesso al front end del sito è cosa diversa dall'accesso al back end dello stesso, il plugin (per altro non scelta ottima, dato che inserisci comunque codice php per un controllo che è meglio fare a monte) ed il plugin non lo blocca.
ad ogni buon conto, se il problema è che ti sei trovato utenti registrati, non è impedendo l'accesso alla view login che risolverai...

[rozzilla]

l'accesso al front end del sito è cosa diversa dall'accesso al back end dello stesso

Ok allora non tocco niente. Non avevo capito questo punto.

Grazie per la delucidazione

[mau_develop]

Si sono accorti inoltre che :
"riscontriamo molti tentativi di accesso alla paggina index.php della cartella di amministrazione, Le consigliamo di prendere in considerazione la possibilità di utilizzare un plugin che modifichi il nome della stessa così da renderla sicura"
------------------------------------

bello! mi hai/hanno convinto, ci sto! Ora cambio il nome al citofono, ci scrivo Famiglia Bianchi così se rubano rubano alla famiglia Bianchi... sì, cambiare nome è un ottima idea

[rozzilla]

bello! mi hai/hanno convinto, ci sto! Ora cambio il nome al citofono, ci scrivo Famiglia Bianchi così se rubano rubano alla famiglia Bianchi... sì, cambiare nome è un ottima idea

Nella mia beata ignoranza ho capito diversamente...

Se dopo aver installato joomla non modifichi nulla, basta che una persona sappia che il sito è realizzato con Joomla e potra' tentare di loggarsi tramite url /administrator/index.php

Il plugin che ho installato (jlSecureMySite) invece aggiunge due parametri all'url di amministrazione. Tant'è che ora se una persona non conosce questi due parametri trova più difficoltà a tentare il login, visto che l'url è stato modificato dinamicamente in:
administrator/?parametro1=parametro2

[mau_develop]

potra' tentare di loggarsi tramite url /administrator/index.php
--------------------------------------------------
eggià.... è un percorso noto ma non vuol dire vulnerabile per cui tu puoi dare pugni al bancomat finchè vuoi...non lo apri...

Ma dovresti avere lo stesso problema con la webmail di google... o cmq con tutti i form esposti ... che fanno tutti cambiano percorsi? al max mettono un autoban dopo 5 tentativi... un antispam....

[rozzilla]

Ma dovresti avere lo stesso problema con la webmail di google... o cmq con tutti i form esposti ... che fanno tutti cambiano percorsi? al max mettono un autoban dopo 5 tentativi... un antispam....

Siccome non so come aggiungere nè autoban nè antispam al login ho optato per questa opzione