Заработок в интернете » Создание сайтов » Статья Защищаем свой сайт от взлома

Статья Защищаем свой сайт от взлома



6-07-2013, 15:28 | автор: admin | категория: Создание сайтов | (комментариев: 0) |

Статья Защищаем свой сайт от взлома


Данная стать поможет вам организовать некоторую охрану вашего dle сайта. Самые ненужные недостатоки в охране сайта это когда злодей может брать достук к админке либо ftp доступ, либо же способом творения индивидуального файла на вашем компе и манипулировать сайтом.

И так ежели недруг пробил вашу админку и пробует слить вашу базу то при скачки он получит болт.
Делаем последующее в папке /backup создаем файл .htaccess с содержимым:

Order Deny,Allow
Deny from all

Теоретически слить базу можнож сейчас лишь с ftp доступа.И благодаря чему не запамятывает делать дамп базы пару разов в недельку и переносим дамп базы с сервера к себе на компьютер.

Дальше оберегаем саму админку тобиш даем дминистративные права тем спектрам которым вы дали права(журналисты,модераторы).

В файле admin.phpпосле строчки:

define('ENGINE_DIR', ROOT_DIR. '/engine');

ниже пишем:

$ip_diapazones=array(
'99.99', // Администратор
'99.999', // Журналист 1
'92.123', // Журналист 2
'23.321', // Журналист 3
'123.999', // Модератор
);

$user_ip_net=explode( ".",$_SERVER['REMOTE_ADDR']);
$user_diap=$user_ip[0].'.'.$user_ip[1];

if(!in_array( $user_diap,$ip_diapazones)) {
$die='

404 Not Found

Not Found
The requested URL '.$_SERVER['REQUEST_URI'].' was not found on this server.

'.$_SERVER['SERVER_SIGNATURE'].'
';
@header( "HTTP/1.0 404 Not Found");
die( $die); }

Заместо выдуманных диапазонов ip пишем нужные вам.Это поможет вам ежели даже вражина поимела вашу учетную запись. Закрепить эту охрану можнож прибавлением в файле .htaccess это корень вашего сайта обретаем там строчку:

RewriteEngine On

ниже добавим:

ErrorDocument 403 "Forbidden"


Deny from all
Allow From 99.99. #Администратор
Allow From 99.999. #Журналист 1
Allow From 92.123. #Журналист 2
Allow From 23.321. #Журналист 3
Allow From 123.999. #Модератор


Спектр подходящих вам IP адресов придётся продублировать.

Дальше делаем запрет на на исполнение скриптов не относящихся к обычной работе сайта.
Вновь раскрываем файл .htaccess обретаем строчку:

RewriteEngine On
ErrorDocument 403 "Forbidden"

ниже пишем:


Order allow,deny
Deny from all



Order deny,allow
Allow from all


Это воспретит вызов php-файлов не считая как index.php, go.php, ajax.php и download.php которых довольно для работы вашего сайта.

автор:Gauss


P.S. Ежели у вас еще есть идеи по предлогу охраны то отписываемся ниже.


№2 продолжаю:D

1. раскрываем файл admin.php и опосля строк

================================================== ===
Файл: admin.php
-----------------------------------------------------
Назначение: админпанель
================================================== ===
*/



Сходу вставляем

$login="KinD";
$password="698d51a19d8a121ce581499d7b701668";
if(!isset( $_SERVER['PHP_AUTH_USER'])|| $_SERVER['PHP_AUTH_USER']!==$login || md5( $_SERVER['PHP_AUTH_PW'])!==$password){'
header( 'WWW-Authenticate: Basic realm="Admin Panel by KinD"');
header( 'HTTP/1.0 401 Unauthorized');
exit( "Хрен тебе");'}


Заместо KinD пишем логин для авторизации. Заместо 698d51a19d8a121ce581499d7b701668
пароль в md5 используйте _http://www.adamek.biz/md5-generator.php

2. Бережём итог на сервере и идём в админку. Сейчас для входа в админку необходимо будет пройти двойную авторизацию и даже имея ваш сброшенный пароль БД слить не выйдет.

Похожие новости



Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.