Безопасность сайта. Правильно ли?
Всем привет. Недавно наткнулся на статью о том как можно обезопасить DLE в том числе и от запуска php-скриптов, которые были залиты на сайт как картинки (недавно был массовый взлом после которого в целях безопасности в версиях DLE > 9.6 сделали так, что анимированные аватарки, загружаемые на сервер, становятся статичными) Ну и в общем суть методов:
1. В папку uploads и templates добавить файл .htaccess следующего содержания:
Таким образом мы запрещаем работу всех php файлов в этих папках.
В версии DLE 9.6 стандартно в этих папках такой код:
2. Заходим в файл engine/inc/files.php и находим там такую строку:
заменяем на:
Это изменение запрещает запуск вредоносных файлов, если они залиты через админку.
Мне интересно, кто-нибудь использовал эти методы? Насколько они работоспособны и актуальны? К сожалению на сайте, на котором расположена статья, посвящённая данным методам, отзывы отсутствуют.
Источник:dle-faq.pro, DLE
1. В папку uploads и templates добавить файл .htaccess следующего содержания:
<FilesMatch "\.(php|php3|php4|php5|php6|phtml|phps)$|^$">
Order allow,deny
Deny from all
</FilesMatch>
Таким образом мы запрещаем работу всех php файлов в этих папках.
В версии DLE 9.6 стандартно в этих папках такой код:
<FilesMatch "\.([Pp][Hh][Pp]|[Cc][Gg][Ii]|[Pp][Ll]|[Ph][Hh][Tt][Mm][Ll])\.?">
Order allow,deny
Deny from all
</FilesMatch>
2. Заходим в файл engine/inc/files.php и находим там такую строку:
$allowed_files = explode( ',', strtolower( $config['files_type'] ) )
заменяем на:
$allowed_files = explode( ',', str_replace(array("php","phtml", "htaccess", "cgi", "pl", "fcgi", "fpl", "phtml", "shtml", "php2", "php3", "php4", "php5", "asp"), md5(time() - rand(30,60)), strtolower( $config['files_type'] )));
Это изменение запрещает запуск вредоносных файлов, если они залиты через админку.
Мне интересно, кто-нибудь использовал эти методы? Насколько они работоспособны и актуальны? К сожалению на сайте, на котором расположена статья, посвящённая данным методам, отзывы отсутствуют.
Источник:dle-faq.pro, DLE
Похожие новости
- Blitz - шаблон для DLE
- Весь май две лицензии по цене одной
- Rubik - универсальный шаблон
- Telegram Instant View для DLE
- Быстрый поиск новостей только по заголовкам - модуль ModLiveSearch
- DLE: Telegram Instant View
- Весна скидок с DataLife Engine!
- DataLife Engine v.18.0 Final Release
- DataLife Engine v.18.0 Press Release
- Free-Plums на dle 17.3