Безопасность сайта. Правильно ли?

Все блоги / DLE движок для сайтов | 19 марта 2013

Всем привет. Недавно наткнулся на статью о том как можно обезопасить DLE в том числе и от запуска php-скриптов, которые были залиты на сайт как картинки (недавно был массовый взлом после которого в целях безопасности в версиях DLE > 9.6 сделали так, что анимированные аватарки, загружаемые на сервер, становятся статичными) Ну и в общем суть методов:

1. В папку uploads и templates добавить файл .htaccess следующего содержания:

<FilesMatch "\.(php|php3|php4|php5|php6|phtml|phps)$|^$">
   Order allow,deny
   Deny from all
</FilesMatch>

Таким образом мы запрещаем работу всех php файлов в этих папках.

В версии DLE 9.6 стандартно в этих папках такой код:
<FilesMatch "\.([Pp][Hh][Pp]|[Cc][Gg][Ii]|[Pp][Ll]|[Ph][Hh][Tt][Mm][Ll])\.?">
   Order allow,deny
   Deny from all
</FilesMatch>


2. Заходим в файл engine/inc/files.php и находим там такую строку:
$allowed_files = explode( ',', strtolower( $config['files_type'] ) )

заменяем на:
$allowed_files = explode( ',', str_replace(array("php","phtml", "htaccess", "cgi", "pl", "fcgi", "fpl", "phtml", "shtml", "php2", "php3", "php4", "php5", "asp"), md5(time() - rand(30,60)), strtolower(  $config['files_type'] )));


Это изменение запрещает запуск вредоносных файлов, если они залиты через админку.

Мне интересно, кто-нибудь использовал эти методы? Насколько они работоспособны и актуальны? К сожалению на сайте, на котором расположена статья, посвящённая данным методам, отзывы отсутствуют.

 Источник:dle-faq.pro, DLE
Перейти на сайт

Похожие новости