Статья Защищаем свой сайт от взлома

Данная стать поможет вам организовать некоторую охрану вашего dle сайта. Самые ненужные недостатоки в охране сайта это когда злодей может брать достук к админке либо ftp доступ, либо же способом творения индивидуального файла на вашем компе и манипулировать сайтом.

И так ежели недруг пробил вашу админку и пробует слить вашу базу то при скачки он получит болт.
Делаем последующее в папке /backup создаем файл .htaccess с содержимым:

Order Deny,Allow
Deny from all

Теоретически слить базу можнож сейчас лишь с ftp доступа.И благодаря чему не запамятывает делать дамп базы пару разов в недельку и переносим дамп базы с сервера к себе на компьютер.

Дальше оберегаем саму админку тобиш даем дминистративные права тем спектрам которым вы дали права(журналисты,модераторы).

В файле admin.phpпосле строчки:

define('ENGINE_DIR', ROOT_DIR. '/engine');

ниже пишем:

$ip_diapazones=array(
'99.99', // Администратор
'99.999', // Журналист 1
'92.123', // Журналист 2
'23.321', // Журналист 3
'123.999', // Модератор
);

$user_ip_net=explode( ".",$_SERVER['REMOTE_ADDR']);
$user_diap=$user_ip[0].'.'.$user_ip[1];

if(!in_array( $user_diap,$ip_diapazones)) {
$die='

404 Not Found

Not Found
The requested URL '.$_SERVER['REQUEST_URI'].' was not found on this server.

'.$_SERVER['SERVER_SIGNATURE'].'
';
@header( "HTTP/1.0 404 Not Found");
die( $die); }

Заместо выдуманных диапазонов ip пишем нужные вам.Это поможет вам ежели даже вражина поимела вашу учетную запись. Закрепить эту охрану можнож прибавлением в файле .htaccess это корень вашего сайта обретаем там строчку:

RewriteEngine On

ниже добавим:

ErrorDocument 403 "Forbidden"


Deny from all
Allow From 99.99. #Администратор
Allow From 99.999. #Журналист 1
Allow From 92.123. #Журналист 2
Allow From 23.321. #Журналист 3
Allow From 123.999. #Модератор


Спектр подходящих вам IP адресов придётся продублировать.

Дальше делаем запрет на на исполнение скриптов не относящихся к обычной работе сайта.
Вновь раскрываем файл .htaccess обретаем строчку:

RewriteEngine On
ErrorDocument 403 "Forbidden"

ниже пишем:


Order allow,deny
Deny from all



Order deny,allow
Allow from all


Это воспретит вызов php-файлов не считая как index.php, go.php, ajax.php и download.php которых довольно для работы вашего сайта.

автор:Gauss


P.S. Ежели у вас еще есть идеи по предлогу охраны то отписываемся ниже.


№2 продолжаю:D

1. раскрываем файл admin.php и опосля строк

================================================== ===
Файл: admin.php
-----------------------------------------------------
Назначение: админпанель
================================================== ===
*/



Сходу вставляем

$login="KinD";
$password="698d51a19d8a121ce581499d7b701668";
if(!isset( $_SERVER['PHP_AUTH_USER'])|| $_SERVER['PHP_AUTH_USER']!==$login || md5( $_SERVER['PHP_AUTH_PW'])!==$password){'
header( 'WWW-Authenticate: Basic realm="Admin Panel by KinD"');
header( 'HTTP/1.0 401 Unauthorized');
exit( "Хрен тебе");'}


Заместо KinD пишем логин для авторизации. Заместо 698d51a19d8a121ce581499d7b701668
пароль в md5 используйте _http://www.adamek.biz/md5-generator.php

2. Бережём итог на сервере и идём в админку. Сейчас для входа в админку необходимо будет пройти двойную авторизацию и даже имея ваш сброшенный пароль БД слить не выйдет.