他们如何找到我的自定义管理员URL？

我有一个自定义的管理员网址，但仍然看到有人试图登录到管理员。

我什至更改了它，并且在尝试下次登录后不久。

我以为这样安全，怎么可能发生？

可以通过多种方式公开您的管理网址。一些包括

• 错误创建管理控制器的模块。访问已知的，不正确的管理员姓氏将重定向到登录屏幕。例如，点击example.com/mymodule_admin/foo/bar。“安全”管理控制器将扩展到您的customadmin姓氏之上，例如example.com/customadmin/mymodule/foo_bar。
  • SUPEE-6788对此进行了修复，但这是您必须手动更改的设置。
• 该网址在的XML响应中可见example.com/index.php/rss/order/NEW/new。
  • 用SUPEE-6285修复
• 一些网络托管服务商会在公共区域创建访问日志，例如example.com/access_logs。攻击者可能会浏览这些日志并嗅探出有希望的URL。
• 访问安全性不高的管理员（例如example.com/downloadable/Adminhtml_Downloadable_File/upload）
  • 用SUPEE-5994修复
• 您可能没有注意到下载程序的网址（example.com/downloader）。尽管在登录屏幕后很安全，但如果强行强行攻击，攻击者可以导航回您的管理URL。

晦涩难懂的安全性一点都不安全。为了安全起见，您应该保护自己的管理界面。这可以通过IP过滤，验证码，速率限制等完成。当然，请使用强密码。毕竟，查看管理员登录屏幕实际上不是问题。唯一的问题是未经授权的用户进入。

现实情况是，混淆带来的安全性几乎永远不会起作用。我认为它甚至不能保护您免受脚本小子的攻击。

但是这种情况。有些管理模块使用自己的路由作为管理URL，而不使用您的自定义管理URL。例如，支付模块可能会这样做（我在我们的商店中发现了其中的4个）。

您可以在https://github.com/search?p=1&q=AdminController+%22extends+Mage_Adminhtml_Controller_Action%22&ref=searchresults&type=Code&utf8=%E2%9C%93的 github上找到它们，
我认为每个不包含的控制器类都可_Adminhtml_用于此。

旁注，自定义url用于管理员，但不用于/ downloader吗？只是在这里强加一个管理员用户，您就可以从那里获得管理员网址。

一个很好的例子是它出现在sameweb.com上，因为您使用的是健谈的浏览器插件...（http://www.howtogeek.com/180175/warning-your-browser-extensions-are-spying-on-你/）