Защита InstantCMS

Для защиты сайтов на Джумле, например, есть вот такие рекомендации. Помогут ли они в защите InstantCMS?


1. Защита с помощью файла .htaccess

Эти строки указывают серверу, что необходимо запретить выполнение каких-либо скриптов в корне, кроме файла index.php. И если хакеру удастся загрузить в корень сайта какой-нибудь бэкдор, он все равно не сможет его выполнить на сервере.

Однако, хакер может попытаться загрузить бэкдор с именем index.php в какой-нибудь подкаталог в корне сервера, где он будет успешно выполняться. Поэтому во все подкаталоги первого уровня от корня необходимо поместить файл .htaccess следующего содержания:

Данная мера позволит запретить запуск php-скриптов напрямую.

В каталоге "administrator" необходимо поместить файл .htaccess следующего содержания:

Где IP-адреса вида 11.22.33.44 — это IP-адреса, с которых вы администрируете Joomla. Эта мера поможет, когда хакер каким-то образом смог получить пароль администратора. В этом случае он все равно не сможет залогиниться в административной панели.

В папке "administrator" во все каталоги первого уровня поместите файл .htaccess следующего содержания:

Настройка безопасности с помощью файла .htaccess завершена.

Ну и так далее...
Там всего пять пунктов. Это был только первый.

оужас)
сами то пробовали?)

оужас)
сами то пробовали?)

Пока нет. Для этого и создал тему, чтобы узнать мнение тех, кто разбирается.

Man, мне кажется на много проще админку можно защитить, прописав дополнительную авторизацию в htpasswd

В папке "administrator" во все каталоги первого уровня поместите файл .htaccess следующего содержания:

Код PHP:

Код:
Deny from all

это все прописано
ничего особенного нет кроме того что в админский каталог с определенного ip можно зайти
если у вас сервер свой то в iptables правила можно еще добавить которые ограничивают доступ к определенным демонам

Man, мне кажется на много проще админку можно защитить, прописав дополнительную авторизацию в htpasswd

Меня больше интересует блокировка возможности запуска php скриптов.

которые ограничивают доступ к определенным демонам

вы наверное имели ввиду слово доменам

лучше для защиты админки — чтобы сессия привязывалась к IP

вы наверное имели ввиду слово доменам

нет демонам
например к ftp, вы же наверняка никого больше не пускаете на сервер по фтп кроме себя

yury, а что мешает в HT Access сделать и привязку к ip?

AuthName "Htaccess"
AuthUserFile /var/www/test/.htpasswd
AuthType Basic
Satisfy Any
<Limit GET POST>
Order Deny,Allow
Deny from all
Allow from 111.111.111.111
Require valid-user
</Limit>

а если у меня динамический ИП?

помимо создания .htaccess и прописывания в них запретов — стоит не забыть о снятии разрешения на запись этого самого .htaccess, т.к. если смог загрузить шелл — значит нашёл папку, доступную на запись, при попытке открыть извне при возникновении ошибки — сразу смотрится в .htaccess, и, если он доступен для записи — эта самая защита легко выключается
yury, добавить не один IP, а подсеть, например:
Allow from 111.111.111.

yury, тогда не как, с динамическим ip не привязать. Или прописывать в настройках кучу масок.

ну в коммерческих же как то сделано. в hostcms например

А что там? там тоже Ip вводишь.