Безопасная система администрирования со скрытыми URL-адресами администратора

Question

Действительно ли это хорошая идея скрыть URL-адреса админов, чтобы предотвратить их повреждение хакерами? Как хакер может войти в область администрирования, не зная URL, даже если у хакера есть имя пользователя и пароль?

Answer 1

Что вы имеете в виду не безопасность через неизвестность, и это очень очень очень плохая идея ...

Answer 2

Нет, я не считаю, что это хорошая идея, в основном потому, что это, вероятно, бессмысленно, поскольку любое крошечное количество безопасности вы могли бы выиграть, было бы ужасно по сравнению с проверенными и проверенными методами и методами безопасности, которые внедряются, обновляются и используются профессионалами.

Кроме того, это скорее боль в голове, чтобы кодировать и поддерживать, особенно когда дело доходит до того, чтобы проконсультироваться о вашей безопасности доморощенного.

Даже вы спрятали URL-адреса «admin-area.php», если «они» имеют доступ к области администрирования путем перенаправления, фрейма (urgh), перезаписи htaccess или некоторых других плохих средств, которые вы изобрели чтобы не показывать им какой-либо URL-адрес, то они все еще имеют доступ к области администрирования, где они могут вызвать хаос, поэтому он существует для них, и поэтому он предназначен для хакеров/и т. д. (URL-адрес не имеет смысла, это реальные скрипты с запросами БД и т. д., которые должны быть безопасными).

С грубой силой и взломом можно позаботиться о том, что я имею в виду лучше всего, с помощью обычных проверенных подходов к безопасности, используя правильную систему входа с помощью bcrypt/blowfish/random salt на пользователя или аналогичный стандарт для паролей (а не MD5 или SHA), и пользователи должны выбрать по крайней мере X-символы, один верхний регистр и номер, правильно используя PDO/MYSQLI, и прежде чем что-либо делать с любым пользовательским вводом, проверьте все это с помощью strlen, is_numeric, некоторые regex, чтобы избавиться от плохих символов (и т. д.).