カスタム管理URLをどのように見つけましたか？

カスタムの管理URLを持っていますが、だれかが管理者にログインしようとしています。

私もそれを変更し、次のログインが試行された直後に。

どうしてこれが起こるのでしょうか、安全だと思いましたか？

管理URLを公開する方法はいくつかあります。いくつかが含まれます

• 管理コントローラーを誤って作成するモジュール。訪問知られている、不適切な、管理者frontnameは、ログイン画面にリダイレクトされます。たとえば、を押しexample.com/mymodule_admin/foo/barます。「安全な」管理コントローラーはcustomadmin、のようにフロントネームの上に拡張されますexample.com/customadmin/mymodule/foo_bar。
  • SUPEE-6788にはこれに対する修正がありますが、これは手動で変更する必要がある設定です。
• URLはのXML応答に表示されますexample.com/index.php/rss/order/NEW/new。
  • SUPEE-6285で修正
• 一部のWebホストは、などのパブリックエリアにアクセスログを作成しますexample.com/access_logs。攻撃者はこれらのログを調べて、有望なURLを盗聴する可能性があります。
• 不適切に保護された管理コントローラーにアクセスする（例example.com/downloadable/Adminhtml_Downloadable_File/upload）
  • SUPEE-5994で修正
• おそらくダウンローダーのURL（example.com/downloader）に気付いていないでしょう。ログイン画面の背後では安全ですが、総当たり攻撃により攻撃者が管理者のURLに戻ることができます。

あいまいさによるセキュリティはまったく安全ではありません。安全のために、管理インターフェイスを保護する必要があります。これは、IPフィルタリング、キャプチャ、レート制限などを使用して実行できます。もちろん、強力なパスワードを使用します。結局のところ、管理者のログイン画面を見ることは実際には問題ではありません。権限のないユーザーが侵入するのは問題だけです。

現実には、難読化によるセキュリティはほとんど機能しません。スクリプトのキディからあなたを守ることすらできないと思います。

しかし、この場合に。カスタムURLを使用せず、管理URLに独自のルートを使用する管理モジュールがあります。支払いモジュールは、たとえばこれを行う可能性が高いです（私たちの店で4つ見つけました）。

あなたはとgithubの上のいくつかをfindeできhttps://github.com/search?p=1&q=AdminController+%22extends+Mage_Adminhtml_Controller_Action%22&ref=searchresults&type=Code&utf8=%E2%9C%93
私は含んでいないすべてのコントローラクラスを想定し_Adminhtml_、このために使用可能です。

サイドノート、管理者用のカスタムURL、/ downloader用ではありませんか？そこに管理者ユーザーをブルートフォースするだけで、そこから管理者URLを取得できます。

非常に素晴らしいのは、おしゃべりなブラウザプラグインを使用しているため、similarweb.comに表示されるときです...（http://www.howtogeek.com/180175/warning-your-browser-extensions-are-spying-on-あなた/）