Безопасность сайта. Правильно ли?
Всем привет. Недавно наткнулся на статью о том как можно обезопасить DLE в том числе и от запуска php-скриптов, которые были залиты на сайт как картинки (недавно был массовый взлом после которого в целях безопасности в версиях DLE > 9.6 сделали так, что анимированные аватарки, загружаемые на сервер, становятся статичными) Ну и в общем суть методов:
1. В папку uploads и templates добавить файл .htaccess следующего содержания:
Таким образом мы запрещаем работу всех php файлов в этих папках.
В версии DLE 9.6 стандартно в этих папках такой код:
2. Заходим в файл engine/inc/files.php и находим там такую строку:
заменяем на:
Это изменение запрещает запуск вредоносных файлов, если они залиты через админку.
Мне интересно, кто-нибудь использовал эти методы? Насколько они работоспособны и актуальны? К сожалению на сайте, на котором расположена статья, посвящённая данным методам, отзывы отсутствуют.
Источник:dle-faq.pro, DLE
1. В папку uploads и templates добавить файл .htaccess следующего содержания:
<FilesMatch "\.(php|php3|php4|php5|php6|phtml|phps)$|^$">
Order allow,deny
Deny from all
</FilesMatch>
Таким образом мы запрещаем работу всех php файлов в этих папках.
В версии DLE 9.6 стандартно в этих папках такой код:
<FilesMatch "\.([Pp][Hh][Pp]|[Cc][Gg][Ii]|[Pp][Ll]|[Ph][Hh][Tt][Mm][Ll])\.?">
Order allow,deny
Deny from all
</FilesMatch>
2. Заходим в файл engine/inc/files.php и находим там такую строку:
$allowed_files = explode( ',', strtolower( $config['files_type'] ) )
заменяем на:
$allowed_files = explode( ',', str_replace(array("php","phtml", "htaccess", "cgi", "pl", "fcgi", "fpl", "phtml", "shtml", "php2", "php3", "php4", "php5", "asp"), md5(time() - rand(30,60)), strtolower( $config['files_type'] )));Это изменение запрещает запуск вредоносных файлов, если они залиты через админку.
Мне интересно, кто-нибудь использовал эти методы? Насколько они работоспособны и актуальны? К сожалению на сайте, на котором расположена статья, посвящённая данным методам, отзывы отсутствуют.
Источник:dle-faq.pro, DLE
Похожие новости
- Ajax-отправка форм в админпанели - модуль AdminAjaxForms
- Весенняя акция на лицензии DataLife Engine
- Arne Slot ayaa eedda dusha ka saaray hal qof ka dib guuldarradii Liverpool ka soo gaartay Galatasaray..
- Chelsea oo go’aansatay inay iibiso Liam Delap ka dib markii uu hal gool dhaliyay tan iyo markii uu xagaagii ku biiray.
- Sidee habeenkii naxdinta lahaa ee Kinsky u dhacay ka hor inta aan la badalin daqiiqadii 17aad..
- Luka Modric ayaa soo afjaray wararka xanta ah ee la xiriirinaya inuu ku laabanayo Real Madrid, isagoo ku adkeysanaya inuu….
- Alejandro Garnacho ayaa ka digay in mustaqbalka Chelsea uu noqon karo mid aad u fool xun iyadoo halyeeyga kooxda uu ku..
- Chelsea oo qalbi jabisay Wrexham ka dib markii VAR ay ku guuleysatay….
- Kooxda Real Madrid ayaa ku soo biirtay tartanka loogu jiro saxiixa Sandro Tonali oo ka tirsan NewcastleUnited.
- MIKEL ARTETA ayaa sheegay in Arsenal ay isku dayday shax cusub muddo TOBAN DAQIIQO ah ka hor guushii 2-1 ee FA Cup ee Mansfield.