Seguridad en la web: Sección Administrador

Josepanaero #1 Abr '08

Muy buenas! Me gustaría abrir este thread para crear un tema de debate sobre la seguridad de una página web en cuanto a la inclusión de una sección administrador. Imaginad una web en la que los usuarios no tengan que registrarse, pero que, por motivos de actualización, moderación, etc, haga falta crear una cuenta de administrador.

¿Qué opciones pensáis que son las mejores? A mí se me ocurren un par de ideas:

1.- Crear un enlace en la página que vaya a la sección de administración.

Creo que esta solución no es buena, pq ¿para qué quieren todos los usuarios ver ese enlace ahí, si solamente es útil para una única persona (el admin)?

2.- Crear una sección con una dirección que solamente la conozca el administrador.

Por ejemplo, sería algo así: http://www.miweb.com/admin

Entonces ningún enlace apuntaría a esa sección, sería invisible para la gente q no sabe de su existencia. Pero se me ocurre una cosa: los buscadores podrían indexarlo? Es decir, si ninguna página en el mundo apunta a esa dirección, ningún buscador la va a ver, no? Yo imagino q no. En el caso de q fuese q sí, la solución vendría por poner en el robots.txt q los buscadores no indexen esa sección, pero entonces sería más sencillo localizarla para un hacker, pq no tendría más q probar a meterse en http://www.miweb.com/robots.txt a ver si existe el fichero y ya tendría localizada la sección de admin, lo cual es un buen primer paso.

Qué pensáis vosotros?

Salu2!!

SeiYa #2 Abr '08

¿Y lo de meter una identificación PHP (o como sea) en ese panel admin?

Aunque te lo indexasen los buscadores, aunque alguien probase a entrar tanteando URLS ... ¿Qué más daría si hay que identificarse?

Comprad0r #3 Abr '08

Lo que dice #2 es cierto xD, de todas formas siempre es posible ponerle otro nombre en vez de admin, pcontrol,etc que son mas normales y busques algo que sólo lo sepas tú (algo mejoraras pero si tienes una contraseña fuerte no te deberia de pasar nada).

Saludos.

elkaoD #4 Abr '08

No, los buscadores no indexan si no tiene ningún enlace a ello.

AbdelioR #5 Abr '08

Ni se te ocurra poner un panel de admin sin contraseña xDD, aunque sea oculto, yo creo que poniendo user y pass no tienes por qué tener problemas.

cracking #6 Abr '08

"Creo que esta solución no es buena, pq ¿para qué quieren todos los usuarios ver ese enlace ahí, si solamente es útil para una única persona (el admin)?"

o mas facil, y si ese enlace solo aparece si eres admin :S ?

elkaoD #7 Abr '08

#6, si tienes que loguearte para ser admin y el enlace a la página de login sólo lo ve un admin, el universo se colapsa.

Josepanaero #8 Abr '08

Gracias a todos por las respuestas, pero creo q me he explicado mal.

Evidentemente, aunq solamente el administrador supiese la página de administración, lo primero que te pediría al entrar en ésta sería un nombre de usuario y contraseña xD. Se me olvidó mencionar esto pq era tan evidente q pensaba q venía implícito xD

El motivo del thread es pq soy bastante paranoico y, aún con estas medidas de seguridad (q solamente el admin sepa la dirección de la sección de administración y que, además, ésta esté protegida por nombre de usuario y contraseña), me preguntaba si serían suficientes para que la web sea bastante segura, o si se os ocurren más cosas para aumentar dicha seguridad.

La idea que ha comentado #3 de no ponerle a esta dirección un nombre usual me gusta bastante y, combinado con el hecho de que si ninguna página apunta a la sección de administración, los buscadores no la indexan, creo que le da mucha solidez a la seguridad.

#6, se supone que el problema que estoy planteando es válido para una página en la q ningún usuario tiene q logearse. Si fuese para una página en la q los usuarios pueden registrarse, como en m-v, pues sí q sería una opción q se mostrase el enlace solamente a los administradores. Pero no es el caso q he planteado.

Salu2!!

scumah #9 Abr '08

#7 Yo de hecho, acabo de pensar en ello, y se me ha salido un ojo disparado. Ahora mismo estoy corriendo detrás.

Veo como mejor solución la segunda, evidentemente con user y pass... Por mucho que el malintencionado usuario encuentre la página admin.php, si no tiene la pass, chungo. WordPress es así exáctamente, todo dios sabe que existe la página para que el admin loguee, y ahí lo tenemos.

ED: Acabo de leerte de nuevo.
Pues si, poniendo un nombre extraño a la página le dificultas la tarea, y si encriptas la pass pues debe ser suficiente...

javithelong #10 Abr '08

Volvemos al sha1 y al md5 ^^

W

willy__chaos #11 Abr '08

Yo por ejemplo tengo el mismo caso que tu, una web que no hace falta registrarse, pero que el admin tiene una seccion de administracion.

www.driverlandia.es

www.driverlandia.es/wtf/login.php - de momento me da igual porque aunque tengo el panel para iniciar sesion, no tengo nada despues de eso xD

Tengo que terminarlo.

cracking #12 Abr '08

ok sorry, como dijo "todos los demas usuarios" di por hecho q un usuario debe logearse ¬¬, si no hay usuarios ni donde logearse, pues lo q habeis dicho.

Soltrac #13 Abr '08 MV Wizard

Tio no te ocmas la cabeza, el enlace de admin con user y pass y no le pongas ningún enlace, por lo q ningún buscador te la indexará.

No tiene mas secretos

Usuarios habituales