-1

Suppose I have index.php and admin.php.

If there is no link to admin.php inside index.php, is there a way to know that the page admin.php exist , other by trying to type it in the browser ? (Because, when you don't have a index.php, and if you don't disable Index in .htacess. One can see all pages on server...)

If no, it means it's better to rename my admin page with a complex string (for example a 64 alpha numeric string) instead of "admin.php" so that someone who tried admin.php, will have a 404 instead of my admin page ? Someone trying to brute force will have to first find the admin page, and then hack the password ?

4

2 回答 2

3

不,除非你做了一些愚蠢的事情,比如允许将脚本上传到服务器(一个人可以上传一个可以读取你所有文件的 shell),或者你启用了索引。

.htaccess您可以通过将以下内容放在服务器根目录上的文件中来禁用 htaccess 索引:

Options -Indexes

但是,有几种工具可以暴力破解/尝试管理系统的常规名称(/admin.php/admin等),它们可以很容易地/wp-admin找到诸如此类的名称。admin.php

但是,最重要的是,如果您的安全性足够好(用户名/密码等),那么一个人是否可以看到您的文件并不重要admin.php,这就是您应该采用的方法。

于 2013-05-25T14:47:20.593 回答
1

我能弄清楚的唯一方法很有趣,但这里是:

如果测试失败,验证用户的 IP 地址然后重定向(显然是服务器端)到一个不存在的页面怎么样?

这会让未经授权的用户认为该页面甚至不存在。然后,如果该用户发现他被骗并设法找到了一个授权 IP(假设他也假装拥有这个 IP),那么您的登录安全性就会受到影响。

于 2013-05-25T15:10:01.563 回答