Надо ли переименовывать admin.php ?
 

задался таким вопросом... я имею в виду корневой файл админки. везде вроде говорится, что надо. но во-первых - по ссылке на административный логон его название видно, как его спрятать - не нашел, хочу !!! :-)
а во-вторых - прячут вроде конфиг, а сами пароли на вход в админку просто шифруют еще средствами сервера... так как правильно? - я-то его переименовал, только по ссылке сразу видно, кто есть этот зверь... :-)

Dino по какой ссылки? ни какой ссылки на админ фаил в нюке нет! эти ссылки видны только администратору
а если вы про главную страницу, там где: "Welcome to PHP-Nuke!.... Из соображений безопасности, создайте администратора сайте немедленно, нажав ЗДЕСЬ..."
то это сообщени конечно в последствии надо удалить!

как нет? а как же заходить в аминку вообще? конечно можно повесить админлогон в блоке и заходить по кнопке... но логичнее сделать по крайней мере скрытую ссылку... или открытую, например - администрирование. или как другие делают? я просто не хочу - да мне и не надо чтобы админлогон постоянно висел в блоке...
или ничего не делают - а просто в браузере набирают? мне администрацию надо будет передать... может я чего-то не так понимаю... как администрируют сайт, только без постоянного логона в блоке???

Dino в стандартной укомплектации phpNuke нет! блока с логином для администратора, есть только для пользователя!
а в админку (первый раз) вы можите попасть только набрав соответствующий адрес в строке браузера, например: http://test.ru/admin2.php - и там вы уже вводите логин и пас для входа в административную часть.

Soniks, спасибо - понял. Все заходят из строки браузера... а других вариантов нет, так у всех? я только не пойму - ну знает потенциальный взломщик имя админфайла и даже видит поля логина и ввода пассворда. Так забодаешься же перебирать, это ж инет... или есть какие-то подводные камни?

Dino есть и очень много, хакеры редко пользуются методикой подборкой пароля, они стараются обойти сам процес авторизации.

Soniks ок, понял, спасибо за информацию.
Неужели так легко обойти авторизацию... Файлы скриптов переименованы, базы неизвестны, префиксы другие, пароль хеширован и зашифрован. Хмм... а потенциально - как? где можно почитать?

Dino ну когда выше перечисленное выполнено, то уже сложно произвести нападение. Хакеры часто всего пользуются новыми найденными уязвимостями найденные в phpBB и PHP-NUKE (его модулях) и администратор сайта который не следит за безопасностью и во время не фиксит баги будет наказан со стороны хакера