Безопасность сайта |
Написал microsin | |
18.09.2008 | |
В сети, без сомнения, очень много материала по теме, поэтому здесь записал только то, что пригодилось самому. Сначала о том, как предотвратить возможный взлом сайта на Joomla. Перечислю основные причины уязвимости.
Причина №1: файл конфигурации доступен по записи
Причина №2: открытые по записи директории На что стоит обратить внимание при хостинге Не буду распространяться о тривиальных вещах типа "нужно спользовать хорошие пароли, защищенный шелл, правильно настраивать права на каталоги и файлы" и т. д. Расскажу про несколько неожиданные вещи, те грабли, на которые сам наступил.
1. Обычно (стандарт де-факто) платный хостинг использует веб-сервер Apache. При его использовании меня всегда удивляло обилие файлов .htaccess, которые лежали в большинстве уже имеющихся по умолчанию каталогов сайта. Кроме того, в установке Joomla почти во всех каталогах лежат практически пустые файлы-заглушки index.htm. Поначалу я не обращал на эти файлы внимания, пока не начал создавать систему каталогов для размещения файлового архива. В мои планы входило только следующее: Я, как обычно, подключался клиентом ftp (вездесущий Total Commander), беспечно создавал каталоги и клал туда файлы. Но один раз, введя в браузере ссылку не на файл, а просто на каталог, я с удивлением обнаружил, что Apache услужливо предоставляет средство просмотра всех папок и файлов моего архива!.. Это совсем не входило в мои планы - в папках я мог положить также и приватную информацию, которую нежелательно видеть посторонним. И только теперь мне стало ясно назначение файлов-заглушек .htaccess и index.htm - они блокируют просмотр содержимого папки http-сервера. Блокировка у этих файлов несколько отличается друг от друга. В файл .htaccess нужно прописывать параметры доступа, и он позволяет гибко настроить доступ к содержимому папки. Но чаще достаточно просто положить в папку файл index.htm, который будет показываться, когда пользователь наберет ссылку в браузере, указывающую на папку. Если файл index.htm в папке есть, то содержимое папки показано не будет, отобразится только код файла index.htm. Можно оставить этот файл пустым (тогда браузер просто покажет белое поле), а можно выполнить что-то более полезное - например, показать сообщение типа "Извините, доступ сюда запрещен" или сделать простую переадресацию на главную страничку сайта. |
|
Последнее обновление ( 18.09.2008 ) |