Для вебмастера » DLE - DataLife Engine → Защита DLE сайта от взлома
Данная статья поможет Вам увеличить защищенность Вашего DLE сайта. Самые нежелательные недостатки в защите сайта это когда злоумышленник может получить доступ к админке или FTP-доступ, или же методом создания персонального файла на Вашем компьютере и манипулировать сайтом.
И так, если враг пробил Вашу админку и пытается слить Вашу базу то при скачки он получит болт
1. Делаем следующее в папке /backup создаем файл .htaccess с содержимым:
Deny from all
Теоретически слить базу можно теперь только с FTP-доступа. И по этому не забывает делать дамп базы несколько раз в неделю и переносим дамп базы с сервера к себе на комп.
2. Далее защищаем саму админку, то есть даем административные права тем диапазонам IP-адресов которым Вы дали права (журналисты, модераторы).
В файле admin.php после строки:
ниже пишем:
$ip_diapazones=array(
'99.99', // Администратор
'99.999', // Журналист 1
'92.123', // Журналист 2
'23.321', // Журналист 3
'123.999', // Модератор
);
$user_ip_net=explode(".",$_SERVER['REMOTE_ADDR']);
$user_diap=$user_ip[0].'.'.$user_ip[1];
if(!in_array($user_diap,$ip_diapazones)){
$die='<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL '.$_SERVER['REQUEST_URI'].' was not found on this server.</p>
<hr>
<address>'.$_SERVER['SERVER_SIGNATURE'].'</address>
</body></html>';
@header( "HTTP/1.0 404 Not Found" );
die( $die ); }
Вместо вымышленных диапазонов IP пишем нужные Вам.Это поможет Вам если даже враг поимел Вашу учетную запись. Закрепить эту защиту можно добавлением в файле .htaccess это корень Вашего сайта находим там строку:
ниже добавим:
ErrorDocument 403 "<h1>Forbidden</h1>"
<Files "admin.php">
Deny from all
Allow From 99.99. #Администратор
Allow From 99.999. #Журналист 1
Allow From 92.123. #Журналист 2
Allow From 23.321. #Журналист 3
Allow From 123.999. #Модератор
</files>
Диапазон нужных Вам IP-адресов придётся продублировать.
Далее делаем запрет на на выполнение скриптов не относящихся к нормальной работе сайта.
Опять открываем файл .htaccess находим строку:
RewriteEngine On
ErrorDocument 403 "<h1>Forbidden</h1>"
ниже пишем:
<FilesMatch ".(php|h|c)$">
Order allow,deny
Deny from all
</FilesMatch>
<FilesMatch "(index.php|go.php|ajax.php|download.php)$|^$">
Order deny,allow
Allow from all
</FilesMatch>
Это запретит вызов PHP-файлов кроме как index.php, go.php, ajax.php и download.php которых достаточно для работы Вашего сайта.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.