4-10-2011, 08:09 Посмотрели: 5590 Добавил: Alex V

Безопасность dle на всех версиях!


Недавно поисковая система яндекс опубликовала отчет о самых зараженных и часто взламываемых CMS в рунете. Как не странно среди них оказалась и DLE, на это есть много причин, например распространенность null версий с дырами, кривые модули и естественно человеческий фактор. Хотя по жизни так вышло что DLE сам по себе очень дырявый и содержит много багов и проблем, от которых страдает безопасность dle.

Не для кого не секрет что многие используют null версии DLE, от ламеров и хакеров. Т.е. в некоторых крякнутых версиях движка специально оставляют дыры и уязвимости, чтобы потом можно было взломать ваш сайт без проблем. Для этого лучше использовать официальные релизы или null версии проверенных авторов (например можете качать у нас на сайт w9y.ru, у нас чистые движки от проверенных авторов).

Если вы используете сторонние модули, старайтесь уделить время комментариям и отзывом о них, таким образом вы сможете узнать если ли уязвимость у данного модуля. А если у Вас есть друзья которые понимают в программировании, то скиньте им исходник на модуль или скрипт, пусть он посмотрим. Бывает что дыры в скриптах остаются случайно, так как их пишет человек и он может в чем-то ошибиться или чего-то не знать.

Но, что делать нам простым смертным если мы так любим CMS dle и хотим его использовать дальше и своих нуждах? Сейчас я Вам дам ещё парочку советов, которые помогут избежать взлома, но вы должны понимать что это не дает 100% гарантии, но все таки обеспечивает большую защиту.

Ну что же начнем?

1. В папках /uploads/ и /templates/ разместите файл .htaccess с таким кодом:

php_flag engine  off 


Таким простым способом мы запрещаем работу всех php файлов в этих файлах. Т.е. если взломщик зальет туда php код с вредным кодом, то он его не сможет запустить. Так как мы запретили это делать.

И таким простым образом его скрипты становятся бесполезными и безвредными.

Если данный код которые мы вставили в файл .htaccess , не будет у вас работать, так как многие хостинги запрещают выполнять такие операции в данном файле, то разместите туда другой код:

<FilesMatch "\.(php|php3|php4|php5|php6|phtml|phps)$|^$">
   Order allow,deny
   Deny from all
</FilesMatch>


Этот должен работать 99.9%.

2. Думаю логично предположить, что вредоносный код могут залить не только в папку с шаблоном или файлами. Но, его можно залить и через сам админцентр, если получить туда доступ.

А выход тут тоже очень простой.

Заходим в файл engine/inc/files.php и находим там такую строку:

$allowed_files = explode( ',', strtolower( $config['files_type'] ) )


Теперь заменяем её на этот код:

$allowed_files = explode( ',', str_replace(array("php","phtml", "htaccess", "cgi", "pl", "fcgi", "fpl", "phtml", "shtml", "php2", "php3", "php4", "php5", "asp"), md5(time() - rand(30,60)), strtolower(  $config['files_type'] ))); 


Вот и все!

Таким образом вы укрепили безопасность dle и тем самым откинули многих школьников от вашего сайта. Однако помните, что если вас захотят взломать нормальные люди, они все равно это сделают ;)

Будьте осторожны и внимательны!

Спасибо за внимание!

Источник: Я специально для http://www.w9y.ru/ =)
Рубрика записи: Баг-фиксы

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

Информация

Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.

Юзер панель
Я тебя не знаю!
Зарегистрируйся, либо

войди под своим логином!

Fuck, я забыл свой пароль!

Восстановить данные =0
Новое на сайте
Известная социальная сеть Instagram приступила к тестированию новой...
Недавно, в приложения для Android и iOS социальной сети Twitter была...
Недавно, в Google "Мой бизнес" разработчики добавили новейший способ, как...
Недавно стало известно о том, что соцсеть Facebook по упоминанию в русских...
Недавно, представитель корпорации Google, Джон Мюллер (John Mueller)...
Голосуем

Ваша любимая CMS?


DataLife Engine
WordPress
Joomla
Drupal
LiveStreet
UCOZ
Самопис
Php+Includ
Статика