Comment empêcher les liens cachés de Joomla d'être visités?
Certaines pages de Joomla peuvent être visitées même s’il n’ya pas de lien vers celle-ci sur le site. Un des exemples les plus connus est celui où un pirate informatique visite le lien d’enregistrement de l’utilisateur même s’il n’ya pas de formulaire de connexion sur le site. Pour cela, nous pouvons désactiver l'enregistrement de l'utilisateur, mais qu'en est-il des autres pages?
Certains composants peuvent avoir des pages que n'importe qui peut visiter s'ils sont familiarisés avec le composant et connaissent l'URL.
Cela ressemble à une porte dérobée potentielle pour les utilisateurs malveillants. Existe-t-il un moyen commun d'éviter ce problème ou faut-il régler ce problème au cas par cas?
defined('_JEXEC') or die; peut être trouvé dans de nombreux scripts php du framework Joomla pour limiter le nombre et l'emplacement des points d'entrée via votre site/application.
C'est une forme de sécurité très délibérée pour ce que vous décrivez. Si vous ne l'incluez pas dans vos nouveaux scripts, vous devriez le faire.
Vous pouvez vérifier dans vos journaux les pages que vous ne voulez pas visiter, puis développer des règles .htaccess pour bloquer l'accès à ces pages (ou rediriger l'accès aux pages vers la page d'accueil). La beauté du fichier .htaccess est que vous aurez toute cette logique de "blocage" en un seul endroit.