Où devrais-je mettre mon panneau de contrôle Admin?

Question

Je construis un site communautaire en utilisant PHP/MySQL, je pensais juste laisser les administrateurs se connecter là où les utilisateurs se connectent normalement, et ensuite les présenter avec un lien "Admin Control Panel". Alors que la plate-forme du panneau de contrôle est hébergé sur le même site. Est-ce sécurisé? Devrait-il y avoir une "passerelle" différente pour les administrateurs, à savoir http://admin.example.com? Ou devrais-je héberger le Panneau de configuration sur un domaine entièrement différent?

Merci pour votre temps.

Answer 1

Je préférerais utiliser un répertoire avec un accès limité en utilisant .htaccess.

Si le compte utilisateur d'un administrateur est piraté, son accès à l'ACP est toujours sécurisé.

Answer 2

Le fait que les administrateurs et les utilisateurs normaux se connectent en utilisant le même formulaire n'est pas forcément moins sécurisé, en fonction de vos autres mesures de sécurité. Certains systèmes CMS, tels que Drupal, utilisent ce modèle.

Il est préférable de concentrer l'énergie sur d'autres problèmes de sécurité plutôt que sur security through obscurity. Limitez-vous les connexions admin à certaines adresses IP? Bloquez-vous les utilisateurs après un certain nombre de tentatives de connexion infructueuses? Encouragez-vous/forcez-vous à utiliser des mots de passe forts? Etc.

Answer 3

Je me connecte tout le monde avec un nom d'utilisateur/mot de passe correct. Mais j'ai aussi une colonne supplémentaire dans ma table d'utilisateurs pour les admins avec des valeurs (difficiles à deviner) pour "oui" et "non". Si un utilisateur se connecte, je vérifie également cette colonne, et si la valeur est "oui", je vérifie une autre table pour les privilèges d'administrateur.

Mais le panneau d'administration lui-même se trouve dans un dossier normal, tel que:/admin. Comme vous vous y attendriez.