Изменение адреса панели управления GetSimple CMS

Важной составляющей обеспечения безопасности веб-сайта, использующего систему управления контентом, является обеспечение приватности данных, гарантирующих ограничение доступа к функциям управления веб-сайтом.

Если с нюансами безопасности использования и хранения логина и пароля знакомо большинство опытных пользователей систем управления контентом, то такой момент, как обеспечение приватности адреса доступа к панели управления, часто забывается или не рассматривается вовсе.

Для GetSimple CMS доступ к панели управления осуществляется по умолчанию по адресу: http://my-site/admin. Серьёзный недостаток использования такого адреса – присутствие в нём слова "admin". Однако данная проблема присуща не только GetSimple CMS, она является распространённой: многие из популярных систем управления контентом используют по умолчанию для доступа к панели управления адреса, содержащие в себе слова "admin", "administrator", "panel" и другие, явно указывающие на точку входа для получения доступа к функциям управления веб-сайтом.

Таким образом, любой посетитель веб-сайта, не обязательно злоумышленник, даже не зная под управление какой именно системы управления контентом работает веб-сайт, может проверить распространённые адреса на предмет возможности доступа по ним к форме аутентификации для доступа к панели управления. Обнаружив такую форму, посетитель может попытаться подобрать логин и пароль для доступа. Если администратор веб-сайта в силу каких-либо причин использовал логин и пароль, которые могут быть угаданы, велика вероятность компрометирования веб-сайта.

Не стоит предоставлять посетителям возможность протестировать безопасность веб-сайта таким образом.

С целью решения описанной проблемы GetSimple CMS обладает стандартной возможностью изменения адрес доступа к панели управления. Учитывая все возможные последствия от получения несанкционированного доступа к управлению веб-сайтом, следует включить изменение адреса доступа к панели управления в число обязательных задач при разработке веб-сайта с использованием GetSimple CMS.

Для этого необходимо:

  1. выбрать собственный адрес доступа к панели управления;
  2. внести изменения в файл gsconfig.php, присвоив постоянной GSADMIN значение, соответствующее выбранному адресу;
  3. переименовать директорию /admin в соответствии со значением GSADMIN, обязательно соблюдая регистр символов.

Так, если пользователь решил использовать для доступа к панели управления GetSimple CMS адрес http://my-site/the_boss_of_the_all, он должен:

  1. изменить в файле gsconfig.php объявление постоянной GSADMIN: define('GSADMIN', 'the_boss_of_the_all');;
  2. переименовывать директорию /admin в /the_boss_of_the_all.

После выполнения этих действий, веб-сайт стал гораздо защищённее. При желании можно создать специальную страницу с адресом admin, которая будет показана посетителю при переходе по адресу http://my-site/admin. Однако необходимо понимать, что не стоит разглашать новый адрес доступа к панели управления. Тем более, не стоит размещать публичную ссылку для аутентификации на страницах веб-сайта без обоснованной необходимости.

После изменения адреса доступа к панели управления, пользователь GetSimple CMS может столкнуться с тем, что некоторые плагины перестанут корректно работать. Это не является ошибкой системы управления контентом, а является следствием того, что разработчики проблемных плагинов использовали жёстко заданный адрес панели управления. Решить возникшие проблемы можно самостоятельно, найдя проблемные участки кода плагинов и изменив их. При этом важно сообщить об обнаруженной проблеме авторам плагинов.

Как обычно, предполагая появление потенциально возможных проблем, рекомендуется выполнить все действия на локальной копии веб-сайта, произвести полное, всестороннее тестирование, и только после этого, применить изменения на действующем веб-сайте.