0 Пользователей и 1 Гость просматривают эту тему.
  • 15 Ответов
  • 8123 Просмотров
*

Yamamura

  • Захожу иногда
  • 97
  • 3 / 0
Здравствуйте.
Вот выложил сайт в инет и задумался о защите от взлома.
Что я сделал:
1. ну во-первых версия Джумлы 1.0.10 - это уже хорошо ;D ;
2. не ставил кучу компонентов, так как ни к чему...только новый компонент опроса;
3. права доступа на файл configuration.php поставил только на "чтение";
4. в папку administrator поместил файл .htaccess следующего содержания:
order deny,allow
deny from all
allow from мой IP

Что ещё для успокоения души можете посоветовать? ;)
*

era

  • Администратор
  • 1587
  • 390 / 5
  • В туалете лучше быть пользователем, чем админом.
*

Yamamura

  • Захожу иногда
  • 97
  • 3 / 0
Не знаю, можно ли мне самому отключить.
*

aressto

  • Осваиваюсь на форуме
  • 28
  • 1 / 0
это в конфигураторе php, сам не можешь, если хостинг знакомый можно попросить

ps. добавить в htaccess запрос пароля с шифрованием, что бы формочка выскакивала

почитать joomlaforum и убрать или обновить все компоненты которые уже известно что с дырами
*

aressto

  • Осваиваюсь на форуме
  • 28
  • 1 / 0
дополнительно, только что обнаружил на сайте фила тейлора, бывшего разработчика мамбы а сейчас он клепает свои компоненты для джумла, платные :( но качественные

итак Фил, если не можешь добраться до хостера как я написал выше, советует проделать следующее:

--
Another way (May work depending on the configuration of the server)
create, or edit any existing .htaccess file in the root of your webspace (in the same folder as Joomla’s configuration.php)
Add the following line to the .htaccess and save, the change is instant:

php_flag register_globals off

- Securing Joomla Further
Edit the file /globals.php and change

define( ‘RG_EMULATION’, 1 );

to

define( ‘RG_EMULATION’, 0 );

These steps will secure you a bit more and are HIGHLY recommended!
--
*

Yamamura

  • Захожу иногда
  • 97
  • 3 / 0
Так вроде бы register_globals никак не влияет на безопастность в Джумле 1.0.10. Или нет?
*

userxp

  • Живу я здесь
  • 2019
  • 403 / 6
  • Злой и ужасный бармалей
статьи по безопастности на портале почитай....
Как правильно задавать вопрос службе технической поддержки  yes!
SGA CM 7.2.0 RC0 KANG Build GWK74 + s95allinonescript + CWM 5.0.2.6 + Modem XWKT3
*

MOHCTPUK

  • Захожу иногда
  • 50
  • 5 / 6
  • d[-_-]b
Влияет мне говоили ты напиши хостерам письмо они тееб вфкл её
Так вроде бы register_globals никак не влияет на безопастность в Джумле 1.0.10. Или нет?
*

smart

  • Администратор
  • 6485
  • 1318 / 15
  • Хочешь сделать хорошо — сделай!
Так вроде бы register_globals никак не влияет на безопастность в Джумле 1.0.10. Или нет?
для самой Joomla это не критично, а вот как показало время, для многих ее расширений это больной мозоль
*

aressto

  • Осваиваюсь на форуме
  • 28
  • 1 / 0
наткнулся на ещё одну статью которая рассказывает как обезопасить джумлу с помощью .htaccess

-----------------------------------------------------------------
# Use Options
Options +FollowSymLinks
 
#  mod_rewrite in use
RewriteEngine On
 
#  Base location
RewriteBase /
 
#  Begin Rules for rewrite
RewriteCond %{REQUEST_URI} ^(/component/option,com) [NC,OR]   ##optional - see notes##
RewriteCond %{REQUEST_FILENAME} !\.(jpg|jpeg|gif|png|css|js|pl|txt)$
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^(.*) index.php
# End Rules for rewrite
 
# Add .htc files
AddType text/x-component .htc
 
########## Begin - Rewrite rules to block out some common exploits
#                             
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
# Block out any script that includes a <script> tag in URL
RewriteCond %{QUERY_STRING} (\< |%3C).*script.*(\>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## End - Rewrite rules to block out some common exploits
 
# Begin - Deny zon-h and cyber-warrior
deny from  .zone-h.org
deny from  .zone-h.com
deny from  213.219.122
deny from  .cyber-warrior.org
deny from  .cyber-security.org
deny from   80.237.211.8
# End - Deny zon-h and cyber-warrior
</script>
-----------------------------------------------------------------
*

Александр Фёдоров

  • Захожу иногда
  • 143
  • 26 / 4
  • Жизнь - удивительная штука
Re: Комплексная защита сайта от взлома
« Ответ #10 : 28.08.2006, 16:04:36 »
тег </script> в конце - не ошибка ли?
Жизненно важный ингредиент успеха — это не знать, что задуманное вами невозможно выполнить. М.Жванецкий
*

Valiks

  • Захожу иногда
  • 108
  • 6 / 3
Re: Комплексная защита сайта от взлома
« Ответ #11 : 29.08.2006, 14:56:13 »
Что означает - AddType text/x-component .htc?
Что это за .htc files?
*

userxp

  • Живу я здесь
  • 2019
  • 403 / 6
  • Злой и ужасный бармалей
Re: Комплексная защита сайта от взлома
« Ответ #12 : 29.08.2006, 15:12:26 »
HTC is a three letter abbreviation for the following: *HTML Component — a technology supported by Microsoft's Internet Explorer that allows the creation and use of components as DHTML behaviors. Internet Explorer supports HTC from version 5.0 onwards.
http://msdn.microsoft.com/workshop/components/htc/reference/htcref.asp

кароче, полная лажа с дыркой.


Что означает - AddType text/x-component .htc?
воспринимать .htc файлы сугубо как текстовые и никогда не выполнять.
« Последнее редактирование: 29.08.2006, 15:17:05 от userxp »
Как правильно задавать вопрос службе технической поддержки  yes!
SGA CM 7.2.0 RC0 KANG Build GWK74 + s95allinonescript + CWM 5.0.2.6 + Modem XWKT3
*

Valiks

  • Захожу иногда
  • 108
  • 6 / 3
Re: Комплексная защита сайта от взлома
« Ответ #13 : 29.08.2006, 20:11:25 »
теперь понятнее ...
*

Vergily

  • Захожу иногда
  • 60
  • 5 / 0
Re: Комплексная защита сайта от взлома
« Ответ #14 : 31.08.2006, 15:27:12 »
А мне хостер сказаал, что можно выключить register globals? если положить php.inin в корень сайта.
Не знаю даже. Положил, написал внутри register_globals = Off
Не помогает. Может есть иной путь?
*

smart

  • Администратор
  • 6485
  • 1318 / 15
  • Хочешь сделать хорошо — сделай!
Re: Комплексная защита сайта от взлома
« Ответ #15 : 31.08.2006, 15:34:43 »
Положил, написал внутри register_globals = Off
Не помогает.
конечно не поможет, бо неправильный синтаксис... почитай этот топик сначала, в нем был пример, как правильно отключить register_globals
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Компоненты и скрипты для защиты сайта. Логи атак на сайты

Автор wishlight

Ответов: 644
Просмотров: 221993
Последний ответ 19.10.2020, 15:41:36
от wishlight
Мониторинг файлов CMS и сайта - предлагаю решение

Автор GRIG

Ответов: 18
Просмотров: 3487
Последний ответ 28.08.2020, 22:00:30
от cntrl
IPSecure - защита сайта от ботов

Автор SeBun

Ответов: 7
Просмотров: 3974
Последний ответ 05.12.2019, 23:42:43
от SeBun
Письма от имени сайта

Автор homecraft

Ответов: 17
Просмотров: 558
Последний ответ 14.06.2019, 19:22:23
от xpank
Файл конфигурации попытка взлома

Автор Evgenii_web

Ответов: 8
Просмотров: 883
Последний ответ 09.03.2019, 11:06:54
от wishlight