Védelem MODx forradalom, webfejlesztő Ilya Ershov

A rendszer telepítése során

1) Ügyeljen arra, hogy módosítsa az előtag az adatbázis táblák (fejlett forgalmazási MODx), akkor problémákat okozhat hacker használ SQLI.

Alapértelmezésben, amikor telepíti MODx előtag szett: modx_ - változás, hogy valami személyes, mint például:

Mert amikor a slabozaschischonnye modul információt kap a felhasználó által beírt akkor dugjon SQL injection, az első helyen fog Peck meg modx_users

2) újradefiniálja a mappa elérési útvonala:

Van egy választható felülírás utak forgalmazásával MODx típusú speciális, a hagyományos nincs ilyen lehetőség. Ezek azok a helyek, ahol a hackerek keresnek sebezhető szkriptek és megpróbálja felvenni velük a kapcsolatot közvetlenül. A nagy veszély nincs még egy mappa / manager / és / csatlakozók /.

A már meglévő rendszer

A tartalom a .htaccess fájlt triviális (Google biztonságosan).

Illetve, azt fogja védeni minden, ami ugyanabban a könyvtárban, mint a fájlt, és mélyebb. Ilyen fájl lehet biztonságosan tenni / manager /, / csatlakozók / és / core /. Hacsak személyesen / core /, akkor megakadályozhatja közvetlen fellebbezést a php fájl, hozzátéve:

Ez az intézkedés nem zavarja, mint a „akarnak menni”.

De ha gyakran hozzáférést az admin felületre a webhely különböző helyekről, a vezetés egy laptop az ügyfelek, a konferenciák, a feladat bonyolult lehet. Hozzáférést biztosító IP vagy alapszintű hitelesítés révén .htpasswd

Ebben a megközelítésben a két fél az érme.

Előnye. Ön kap a szükséges mobilitást. Egy további jelszó megadása nem szükséges a területen, ip, amit tettek, hogy a megengedett.

Cons. Egy távoli támadó tőled - minden továbbra is lehetőséget kitalálni a jelszót, és hozzáférhetsz a „saját részét”

generációs htpasswd

Ha ssh-hozzáférést a szerverhez (hozzáférés a szerverhez parancssor), akkor a közüzemi htpasswd. A parancs szintaxisa a következő:

Miután a csapat fogja kérni a jelszót, és felkéri, hogy ismételje meg. Ennek eredményeképpen egy új .htpasswd fájl jön létre, vagy módosítani a régi, amely egy felhasználónév és jelszó titkosított. Ha azt szeretnénk, hogy új felhasználó, akkor futtassa a parancsot a gomb:

Ennek eredményeként a meglévő jelszót fájlt hozzá kell adni egy új sort a felhasználónévvel és jelszóval.

Ha nem férnek hozzá az ssh. de valószínűleg csak ftp, majd generálni htpasswdmozhno használni bármilyen fájl online generátor, például htaccesstools

Általános tippek

Tudjon MODx hozzáférési jogok kezelése. Hagyja tartalom vezetők jogait, mint amennyire szüksége van, nincs több időt, ha szükséges - hozzá.

Kapcsolódó cikkek

• MODx forradalom tanulságait 18. lecke

• MODx - Advanced Portfolio szűrővel kategória szerint

• Feltört webhely MODx evo