Важной составляющей обеспечения безопасности веб-сайта, использующего систему управления контентом, является обеспечение приватности данных, гарантирующих ограничение доступа к функциям управления веб-сайтом.
Если с нюансами безопасности использования и хранения логина и пароля знакомо большинство опытных пользователей систем управления контентом, то такой момент, как обеспечение приватности адреса доступа к панели управления, часто забывается или не рассматривается вовсе.
Для GetSimple CMS доступ к панели управления осуществляется по умолчанию по адресу: http://my-site/admin. Серьёзный недостаток использования такого адреса – присутствие в нём слова “admin”. Однако данная проблема присуща не только GetSimple CMS, она является распространённой: многие из популярных систем управления контентом используют по умолчанию для доступа к панели управления адреса, содержащие в себе слова “admin”, “administrator”, “panel” и другие, явно указывающие на точку входа для получения доступа к функциям управления веб-сайтом.
Таким образом, любой посетитель веб-сайта, не обязательно злоумышленник, даже не зная под управление какой именно системы управления контентом работает веб-сайт, может проверить распространённые адреса на предмет возможности доступа по ним к форме аутентификации для доступа к панели управления. Обнаружив такую форму, посетитель может попытаться подобрать логин и пароль для доступа. Если администратор веб-сайта в силу каких-либо причин использовал логин и пароль, которые могут быть угаданы, велика вероятность компрометирования веб-сайта.
Не стоит предоставлять посетителям возможность протестировать безопасность веб-сайта таким образом.
С целью решения описанной проблемы GetSimple CMS обладает стандартной возможностью изменения адрес доступа к панели управления. Учитывая все возможные последствия от получения несанкционированного доступа к управлению веб-сайтом, следует включить изменение адреса доступа к панели управления в число обязательных задач при разработке веб-сайта с использованием GetSimple CMS.
Для этого необходимо:
- выбрать собственный адрес доступа к панели управления;
- внести изменения в файл gsconfig.php, присвоив постоянной GSADMIN значение, соответствующее выбранному адресу;
- переименовать директорию /admin в соответствии со значением GSADMIN, обязательно соблюдая регистр символов.
Так, если пользователь решил использовать для доступа к панели управления GetSimple CMS адрес http://my-site/the_boss_of_the_all, он должен:
- изменить в файле gsconfig.php объявление постоянной GSADMIN:
define('GSADMIN', 'the_boss_of_the_all');; - переименовывать директорию /admin в /the_boss_of_the_all.
После выполнения этих действий, веб-сайт стал гораздо защищённее. При желании можно создать специальную страницу с адресом admin, которая будет показана посетителю при переходе по адресу http://my-site/admin. Однако необходимо понимать, что не стоит разглашать новый адрес доступа к панели управления. Тем более, не стоит размещать публичную ссылку для аутентификации на страницах веб-сайта без обоснованной необходимости.
После изменения адреса доступа к панели управления, пользователь GetSimple CMS может столкнуться с тем, что некоторые плагины перестанут корректно работать. Это не является ошибкой системы управления контентом, а является следствием того, что разработчики проблемных плагинов использовали жёстко заданный адрес панели управления. Решить возникшие проблемы можно самостоятельно, найдя проблемные участки кода плагинов и изменив их. При этом важно сообщить об обнаруженной проблеме авторам плагинов.
Как обычно, предполагая появление потенциально возможных проблем, рекомендуется выполнить все действия на локальной копии веб-сайта, произвести полное, всестороннее тестирование, и только после этого, применить изменения на действующем веб-сайте.