آموزش عوض کردن پوشه ادمین

سلام همون طور که میدونید پوشه ادمین مرکز مدیریت مامبو هست و اگه بخواهید اسم این فولدر رو عوض کنید هنگام نصب برخی کامپوننت ها و ماژول ها به مشکل بر میخورید
من امروز براتون یه آموزش میزارم که بدون عوض کردن نام این فولدر بتونید آدرس دسترسی به قسمت مدیریت رو عوض کنید
خوب مراحل زیر رو به ترتیب انجام بدین

1- در دایرکتوری root یه پوشه جدید به اسم دلخواه بازید(مثلا: yashar)

2-یه فایل index.php در دایرکتوری "yashar"بسازید و این کد ها رو داخلش بزارید

کد:

---

<?php
$admin_cookie_code="192837465";
setcookie("MamboAdminSession",$admin_cookie_code,0,"/");
header("Location: /administrator/index.php");
?>

---

3-کد زیر را به .htaccess در root اضافه کنید

کد:

---

RewriteEngine On
RewriteCond %{REQUEST_URI} ^/administrator
RewriteCond %{HTTP_COOKIE} !MamboAdminSession=1234567890
RewriteRule .* - [L,F]

---

4-حالا بخش مدیریت در آدرس http:// yoursite.com/yashar قابل دسترس هست

موفق باشید
یا علی

سلام

یاشار عزیز اگر ممکنه این موارد رو در [مهمان/کاربر گرامی برای دیدن لینک ها ابتدا باید عضو سایت شوید و لاگین کنید برای ثبت نام اینجا کلیک کنید] هم اضافه کنید ...

یا علی

رو چشمم برادر فیروزمندان

سلام
ممنون یاشار جان، این هم لینک این مقاله در ویکی :
[مهمان/کاربر گرامی برای دیدن لینک ها ابتدا باید عضو سایت شوید و لاگین کنید برای ثبت نام اینجا کلیک کنید]

یا حق

مهدی جان ممنونم که زحمت کشیدی

شما خودتون این روش رو تست کردید؟! یا فقط در حد تئوری ارائه کردید؟

من تست نکردم، اما از روی کد مشخصه که این کد عمل نمی کنه.

این کار رو انجام بدید و به مطابق معمول وارد پوشه /administrator/ بشید. می بینید که ...

می بینید که صفحه مدیریت زیبا و دلپذیر مامبو کما فی السابق داره باز میشه !

بله تست شده هست برادر من، ولی دوباره تست میکنم و خدمتتون عرض میکنم
شما تست کردین و نشد؟

مطمئنید همین کد بوده که تست کردید و جواب داده؟!

دوباره تست کردم
نمونه
w ww.rahva.ir
توی سایت فوق از همین کد استفاده شده
البته مقدار کوکی رو میتونید به دلخواه خودتون عوض کنید

شما اگه کد بهتری میشناسید بفرمایید تا استفاده کنیم

آقا سعید در نگارش کد ها یه اشتباه تایپی رخ داده که به جناب فیروزمندان گفتم انشالله ویرایش میکنن
اول اینکه عبارت عددی جلوی $admin_cookie_code= میتونه هر عددی باشه با ایت شرط که با مقدار جلوی MamboAdminSession= برابر باشه که اشتباها توی اونچه که من قرار دادم برابر نیست و غلط تایپ شده
دوم هم این که بجای

کد:

---

header("Location: /administrator/index.php");

---

مقدار

کد:

---

header("Location: ../administrator/index.php");

---

درسته چون این کد داخل یه دایرکتوری گذاشته میشه مقدار .. رو باید قبلش داشته باشه
امیدوارم که این دو نکته در ابتدای بحث ویرایش بشه
بدین وسیله عذر خواهی میکنم
برادر سعید دوباره تست بفرمایید ، من بودن اشکال تست کردم

باز هم این کد کار نمی تونه کار بکنه !

کد:

---

RewriteCond %{REQUEST_URI} ^/administrator

---

شما URL سراغ دارید که با administrator/ شروع بشه؟

بنا به انتفای مقدم، این کدی که نوشتید از این خط به بعد در نظر گرفته نمی شه.

میشه تست کنید و نتیجه رو به ما بگید
من همین الان این روش رو روی aspt.ir اجرا کردم و به درستی کار میکنه
انتفای مقدم رو نمیدونم ولی بنا به اصل علت و معلولی کار میکنه!!! ;)
ضمنا دفع خطر احتمالی عقلا واجب هست بنا بر این منتظر تست کردن شما هستیم تا اگه جواب نداد در بحر htaccess بیشتر شناور بشیم

هر چند نیاز به تست نبود، اما تست کردم روی لوکال جواب نداد.

با حذف همون خط، از پذیرش درخواست بدون کوکی جلوگیری می کنه.

منتها در نهایت کاری که می کنه اینه که اگر بدون کوکی وارد پشه /administrator/ بشیم، خطای 403 رو برمی گردونه و اصل پوشه رو مخفی نگه نمی داره.

کاری که با پسورد گذاشتن روی این پوشه انجام میشه و ضمنا سایر فایل ها هم به طرز بهتری محافظت میشن.

sسعید جان من رو دوتا سرور تست کردم ارور 404 داریم نه 403!!!!!

Forbidden
You don't have permission to access /administrator/ on this server

لوکال هاست شما ویندوز هست دیگه؟!!

Forbidden = 403

Forbidden

You don't have permission to access /administrator on this server.

Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.

سر چی دارید بحث می کنید دوست عزیز؟

[مهمان/کاربر گرامی برای دیدن لینک ها ابتدا باید عضو سایت شوید و لاگین کنید برای ثبت نام اینجا کلیک کنید]

نقل قول:

---

[left]
403

"Forbidden" - this generally indicates the server software itself cannot accesos the location where the file would be found, or that access to that location is not permitted from the internet under any circumstance - login or authorization infrmation will not change things
[left]

---

به پیام توجه کنید:

You don't have permission to access /administrator on this server.

در مورد 404 هم ترجمه کنید همون خط رو متوجه خواهید شد که مربوط به چیه.

Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request

این خطا مربوط به - هست که شما به اونجا ریدایرکت کردید. به جای - از index.php استفاده کنید تا ببینید که 404 هم در کار نیست!

کد:

---

RewriteRule .* index.php

---

با توجه به اینکه بعد از درخواست آدرس پوشه مدیریت مشخص هست که پوشه وجود داره، این کار ضمن اینکه هیچ مزیتی نسبت به پسورد گذاشتن روی پوشه مدیریت نداره، یک اشکال دیگه هم ایجاد می کنه که اگر کسی متوجه پوشه /yashar/ بشه می تونه به مدیریت دسترسی داشته باشه !

بنابراین بهترین راه برای محافظت از بخش مدیریت همون پسورد گذاشتن روی/administrator/ هست و همین روش رو توصیه می کنیم.

یا علی

سعید جان صحبت سر محافظت از پوشه ادمین نیست گرچه عوض کردن این آدرس شاید به امنیت هم کمک کنه
خیلی از شرکت ها هستن که دوست دارن آدرس ورود به بهخش مدیریت رو بیی دردسر خصوصی سازی کنن و یا ... حی کسایی که مشکل پسند هستن هم ازین روش استفاده میکنن
خوب به نظر شما کد ها به چه شکل اصلاح بشه بهتر هست؟ البته میشه هم پسورد گذاشت و هم به این شکل در مسیر ورود دخل و تصرف کرد

من کاملا متوجه منظور شما هستم.

منتها ضرب المثل "چرخوندن لقمه دور سر" مصداقی از این بارز تر نداره!

1- بعد از وورد به پوشه فرضا /yashar/ ، کاربر بلافاصله به پوشه /administrator/ هدایت میشه ! یعنی فقط لقمه یک دوری می زنه و چیزی عوض نمی شه.

2- حتی ورود نام کاربری و رمز عبور هم در مسیر administrator/index.php انجام میشه !

3- این کار نه تنها باعث افزایش امنیت نمی شه، بلکه یک حفره جدید خودش بوجود میاره. دو اصل پنهان سازی و محرمانگی در این کار رعایت نشدن. اگر به هر دلیلی مقدار کوکی در موقع باز بودن پوشه مدیریت دیده بشه، بعدا می تونه بطور دائم روی مرورگر ست بشه تا بدون ورود به آدرس /yashar/ هم امکان دسترسی به پوشه /administrator/ وجود داشته باشه.

4- اگر صحبت از محافظت هم نیست، پس این شرط بررسی کوکی برای چی هست؟ اگر صرفا وجود یک آدرس اختصاصی برای ورود کفایت می کنه، خوب خیلی ساده یک پوشه بسازید و ریدایرکت کنید به /administrator/ ! اگر هم می خواید بگید که دوست ندارید ریدایرکت بشه، خوب این کد شما ریدایرکت می کنه و هیچ کاری در پوشه /yashar/ انجام نمی شه.

هیچ توجیه و مزیتی بری استفاده از این کد وجود نداره و هیچ چیزی رو عوض نمی کنه. فقط همون ضرب المثل که ...

از تحلیل زیبای شما ممنونم
ولی به هر دلیلی نمیشه مقدار کوکی رو خوند !!!چون اگه بشه با دسترسی به فایل ها این کار رو کرد نفوذگر یه راست میده سراغ فایل کانفیگ و نام کاربری و کلمه عبور دیتابیس رو میخونه دیگه چیکار داره که بیاد کوکیه ما رو بخونه!!! درثانی این کار رو میشه علاوه بر پسورد گذاشتن روی پوشه ادمین انجام داد یعنی امنیت کم نمیشه
و این که پوشه ادمین به صورت مستقیم در دسترس نیست و قبلش باید وارد پوشه مورد نظر بشه و ...
رابعا میشه این مسئله رو تعمیم داد و این کد رو گسترش داد.
خمسا اگر مشکل شما با دیده شدن مسیر /administrator/ هست اونم میشه با یه کد در همین فایل htaccess درستش کرد تا آدرس overwirte بشه و همه تصور کنن که در پوشه دیگری هستن ضمنا یه حلقه if در index پوشه مدیریت کمی امنیت رو از اینی هم که هست بیشتر ارتقا داد

کد:

---

if ($_COOKIE['MamboAdminSess ion'] != "1234567890")
{
header("Location: ../index.php");

---

سادسا : از این روش در خیلی جا ها استفاده میشه

دوست عزیز شما هنوز درک درستی از کوکی ندارید.

نام کاربری و دیتابیس سمت سرور هستند و کوکی سمت کاربر. هر کاربری به راحتی آب خوردن می تونه به مرورگرش مراجعه کنه و متغیرهای کوکی ها رو با مقدارشون ببینه. اگر در اینکار از Session استفاده می شد این اشکال وارد نبود.

نقل قول:

---

اونم میشه با یه کد در همین فایل htaccess درستش کرد تا آدرس overwirte بشه

---

ببینید خیلی کارها میشه انجام داد !

اما بحث سر این هست که شما اینجا معرفی کردید. به عنوان عنوان تاپیک که باز کردید دقت کنید : آموزش عوض کردن پوشه ادمین

این کدی که معرفی کردید این کار رو انجام نمی ده !

دوست عزیز متوجه فرمایشتون هستم
در هر صورت ترکیبی از کوکی و نشت امنیت رو بالا تر میبره و انجام این کار امنیت رو پایی نمیاره هیچ بلکه بالاتر هم میبره
اگه مشکل شما با عنوان تاپیک هست بفرمایید که عنوانش رو چی بزارییم؟ یا اگه احیانا پاک کردن این بحث خیالتون رو راحت میکنه باز هم من حرفی ندارم
البته من پیش نهاد میکنم تو اینترنت یه گشتی بزنید و ببیند که تو سایت های خیلی مشهور این روش رو با همین عنوان(البته به زبان انگلیسی) برای مامبو گذاشتن که بنده با کمی تصرف برای مامبو ارائه کردم
ولی از حساسیت شما خیلی ممنونم ولی کاش بجای ایراد گرفتن ، سعی در تکمیل کردن کد و ارائه راه کارهای عملی تر میپرداختید
یا علی

ببینید دوست من شما یک چیزی رو مطرح می کنید و من تنها این موضوع رو بیان کردم کدی که شما معرفی کردید کار نمی کنه و اگر کار هم کرد چیزی رو عوض نمی کنه. آش همون آش و کاسه همون کاسه هست.

حالا شما بجای پذیرفتن این موضوع، اینکه شما بقیه رو متهم به عیب جویی کنید کار درستی نیست. اگر قرار بود من عیبگویی کنم و عیب های شما رو می دونستم سالها باید وقت برای نوشتنش صرف می کردم! (و همینطور درمورد خودم و شاید در مورد خودم بیشتر)

ضمن اینکه "تکمیل" وقتی می تونه مطرح باشه که اصولا "نقصی" در کار باشه باشه و این موضوع منوط به پذیرفتن این نقص از طرف شماست!
هر چند با همین وجود باز هم من اشاره کردم شما برای رعیت اصل پنهان سازی و محرمانگی باید از session به جای کوکی استفاده کنید.

شما فرد مقدسی به نظر می رسید. امام ششم شیعیان حضرت جعفر صادق (ع) می فرمایند: "بهترین دوست من کسی است که عیوب من را به من هدیه دهد"
تا جایی که اطلاع دارم شما تاپیکی رو باز کرده بودید به مناسبت 15 شعبان تا همه دوستان اینجا به هم هدیه بدن. من اینجا عیب شما رو در جلوی دیگران بیان نمی کنم. بلکه اگر فرصتی دست داد در «پیغام خصوصی» چند موردی به شما هدیه خواهم کرد.

از این موضوع که بگذریم، باز هم چیزی عوض نمی شه. پوشه مدیریت همون پوشه هست و این روشی که اینجا اعلام شده هیچ کار خاصی به جز دور زدن و ریدایرکت کردن به همون پوشه انجام نمی ده. از نظر امنیتی هم عرض شد . این کار مثل اینه که افساری به دهن اسب ببندیم و این افسار آزاد باشه. وقتی ورود به مدیریت تنها به شرط ورود به پوشه /yashar/ می تونه امنیت پوشه مدیریت رو تامین کنه که امنیت خود پوشه /yashar/ تامین شده باشه. اگر هم امنیت پوشه /yashar/ رو با پسورد تامین کنید، خوب پسورد گذاشتن روی پوشه /administrator/ بخوبی اینکار رو انجام میده و تمام احراز هویت مبتنی بر نشست( که در این کد بطور ناقص و فقط توسط کوکی ازش استفاده شده) بصورت کامل و اتوماتیک انجام میشه.

شما مطمئن هستید که اون سایت های مشهور دقیقا همین کار رو انجام دادند؟!

برادر عزیزم در کتاب جنود عقل و جهل حضرت امام میخوندم که خطاب به وعظ کنندگان فرموده بودند که راهنمایی به تنهایی کافی نیست و هر راهنما باید راهبر هم باشه!!!
من مطمئنم که سطح دانش شما تو این زمینه از من بالاتر هست و کا آزموده تر هستید.انشاالله ولی بنده عرضم این بود که از همین مسئله ای که در نظر اول از دید شما لقمه دور سر چرخوندن اومد اگه فکر بیشتری بشه و به اشکال یابی بسنده نشه حتما راهکاری برای عملیاتی شدن ادعای بنده مبنی بر عوض کردم نام پوشه ادمین پیدا میشه.
همون طور که عرض کردم خدمتتون سایت های بسیاری این روش رو با آب و تاب نقل کردن.
فرمایشات شما هم متین هست و قوه عاقله بنده هم تا حدود زیادی تائید میکنه اونچه رو که شما بهش اشاره میکنید ، ولی این نحوه برخورد شما با قضیه این حرکت رو در نطفه خفه میکنه.
به برکت عرایض شما برخی اشکالات این کد رفع شد و استفاده یا عدم استفاده از این روش رو به عهده خود دوستان میزارم و خدمتشون میگم که من از این کد در دو سایت همین الان دارم استفاده میکنم و رضایت خاطر کاربرهای سایتم رو ازون جهت که به خاطر سپردن و تایپ کردن کلمه administrator براشون سخته به خودش جلب کرده به انضمام اینکه خود پوشه Administrator به صورت مستقیم قابل دسترس نیست و ارور چهار صد و خورده ای میده و منوط به انتقال کوکی فوق به مروگر هست و همچین روی پوشه Administrator نیز پسورد گذاشتم تا در صورت دزدیده شدن کوکی ،کسی بدون برقراری سسشن وارد محیط ادمین نشه
درود بر آقا سعید
باز هم بابت پی گیری از شما تشکر میکنم

در مورد آدرس پوشه درست می فرمایید و خیلی طولانی هست. اینکار حداقل برای این منظور درست به نظر می رسه و در این مورد حق با شماست.

اکثر کسانی که می شناسم با این مورد مشکل دارند و راه حلی که برای این مورد بکار می بردم استفاده از Shortcut یا Bookmark ها بوده.

درهر صورت دوستانی که قصد استفاده دارند، اگر با وجود کدهای ذکر شده دسترسی به پوشه مدیریت بطور مستقیم آزاد بود، برای حل این مشکل خط دوم کد ارائه شده رو میشه حذف کرد و فایل htaccess. رو به پوشه /administrator/ انتقال داد.

کد:

---

RewriteEngine On

RewriteCond %{HTTP_COOKIE} !MamboAdminSession=1234567890
RewriteRule .* - [L,F]

---