Решение проблемы с загрузкой вирусов через форму добавления фото в AdsManager - Безопасность сайтов на Joomla

На всех версиях AdsManager присутствует следующая проблема, злоумышленник, через форму загрузки фотографий загружает исполняемый php файл и далее с его помощью осуществляет любые манипуляции с сайтом.

Самое просто решение, это в папке images/com_adsmanager/ads и tmp/ создать файл .htaccess в котором прописать:

php_flag engine 0

Этот файл отключит php, и если даже хакер загрузит php файл, то он не сможет его выполнить и взлом Joomla сайта через AdsManager станет невозможным.

На всех версиях AdsManager присутствует следующая проблема, злоумышленник, через форму загрузки фотографий загружает исполняемый php файл и далее с его помощью осуществляет любые манипуляции с сайтом.

Самое просто решение, это в папке images/com_adsmanager/ads и tmp/ создать файл .htaccess в котором прописать:
Этот файл отключит php, и если даже хакер загрузит php файл, то он не сможет его выполнить и взлом Joomla сайта через AdsManager станет невозможным.

Эта проблема, давно уже известная в паблике, и это не самое оригинальное решение!, считаю оптимальным решением для папки images, в ее корне положить htaccess с разрешенными расширениями, только картинок и доп. файлов, которые предусмотрены для заливки в нее...

а в tmp положить htaccess который вообще блокирует доступ из веба

Эта проблема, давно уже известная в паблике, и это не самое оригинальное решение!, считаю оптимальным решением для папки images, в ее корне положить htaccess с разрешенными расширениями, только картинок и доп. файлов, которые предусмотрены для заливки в нее...

Этот вариант не подойдет. Поскольку в images хранятся файлы плагинов к AdsManager. А в папке tmp некоторые расширения хранили свои фиды.

И в images/com_adsmanager/ads   необязательно htaccess вешать. Написал поскольку точно не помню грузит ли в каких то версиях plupload свои файлы туда. Просто в новых версиях грузит в tmp, затем обрабатывает как изображение, и дальше только перемещает, соответственно исполняемый файл не сможет переместиться.

а в tmp положить htaccess который вообще блокирует доступ из веба

Папку tmp можно и выше корня положить, хоть об заливайся туда, доступа с веба к ней не будет.

Этот вариант не подойдет. Поскольку в images хранятся файлы плагинов к AdsManager. А в папке tmp некоторые расширения хранили свои фиды.

Файлы плагинов инклудятся на уровне кода а не с обращения из веба.

И в images/com_adsmanager/ads   необязательно htaccess вешать. Написал поскольку точно не помню грузит ли в каких то версиях plupload свои файлы туда. Просто в новых версиях грузит в tmp, затем обрабатывает как изображение, и дальше только перемещает, соответственно исполняемый файл не сможет переместиться.

в этом то вся и фишка! сначало грузит, а потом выполняется обработка!, т.е фиг сним что никуда не переместится, если папка открыта из веба то обращусь на прямую /tmp/plupload/shell.php

# запрет листинга всех папок и под-папок
Options -Indexes

# запрет на запуск файлов
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml

# запрет доступа к файлам
<Files ~ ".(php)$">
Deny from all
</Files>

такое решеине пойдет в этих папках для htaccess?

и чем оно отлтичается от php_flag engine 0