Компонент Редиректы как дыра на сайте

Не так все страшно пока логи не начнешь изучать.

О тож! Раньше как то не обращал внимания, пока не перешел на ВПС. С панелью Веста были проблемки, но не долго пользовался. А как перешел на Брейни… Тут логов и средств отслеживания хренова туча!
Так что спасибо lestgo, который меня вытащил на ВПС, теперь скучать некогда…
Постепенно изучаю средства защиты и их настройку! От Взломщиков SSH отбился, а вот спамеры достают.

просветите?)

"Просветить", конечно не возьмусь, я ж не спец. Предположить разве: к примеру, сообщение об отказе в ответстенности за совершение пользователем определённых действий.

зачем он кому то ВОЗМОЖНО нужен?
И зачем все усложнять? Я вот отключил и конкретно этого вопроса для меня теперь не существует вообщ

Я вас понимаю. Тоже не использую редиректы. Но это никак не помешало об них "споткнуться", хорошо что подсказали где что и как.
А сколько людей мучается и сколько еще не подозревают о том, что безобидный компонент может спровоцировать перегрузку сервера и прочие проблемы!
Надо:
1. В ближайшем обновлении предусмотреть включение функции Проверять HTTP referer и чтобы по умолчания она всегда была включена
2. Просить Fuze доработать компонент с внедрением предложения Олег Васильевич я
Надо защитить все сайты на Инстанте! И отнестись к этому как к серьезной уязвимости.

Надо защитить все сайты на Инстанте

А как интересно с этим борется сайт vk.com?
Тем более в компоненте можно проверять через них ссылки.

1. В ближайшем обновлении предусмотреть включение функции Проверять HTTP referer и чтобы по умолчания она всегда была включена

Это не то?



И по доменам тоже можно блочить:

docs.instantcms.ru/manual/components/redirect

Проверка рефа конечно хорошо, но разве она до запуска php выполняется?
Тут по любому надо уже у кого есть на сайте и был включен, то есть попали в базу с имеющимся редиректом на сайте, рубить его в 403.
А у тех у кого его нет или не включен и не присутствовало для обнаружения страниц редиректа и не включать его уже никогда.
Заменить редирект на rel="nofollow", возможно компонент который будет еще и базу белых ссылок давать сделать без nofollow.
Но старый редирект закрыть и забыть, пусть всем будет доступ запрщен, нагрузки ноль, кроме как неудобство в логах, но фильтрануть всегда можно и убрать эту хрень.

Так к чему пришли то? На новом сайте отключать компонент или достаточно HTTP referer?

Это не то?

То самое! Включайте Проверять HTTP referer

Так к чему пришли то? На новом сайте отключать компонент или достаточно HTTP referer?

Если вам нужна работа компонента Редиректы, тогда вклчайте Проверять HTTP referer, а если не используете, отключите компонент до лучших времен.

Вот и вышло дополнение 2.9.0, в котором оперативно прикрыли проблему.
Тема оказалась очень даже кстати и вовремя подняла проблему! Спасибо всем кто способствовал быстрому решению!
Тема еще чуток повисит и если ни у кого не будет никаких предложений или вопросов, я ее закрою.

Тему, как потерявшую актуальность, закрываю!