Прячем, защищаем админку

 
Sometime CMS Community
Посетитель
no avatar
Медаль
Сообщений: 185
О защите админ-панели много говорили. Хочу предложить несколько вариантов.
Возможно будут у кого-то ещё идеи.
1. Прячем админку
В основоном злоумышленники ищут админку в папке- admin/, administrator, и т.д., и соответстующте там файлы index.php, login.php, admin.php и т.д. Поэтому решили спрятать папку с админ-панелью.
Сразу хочу сказать что этот вариант не решает всех проблем, если злоумышленник знает движок и активирован на сайте по админом, он спокойно может войти в админ-панель.
Скачиваем, распаковываем архив
Файлы 403.html и 404.html заливаем в корневой каталог
файл index.php меняем в папке admin/index.php
Удаляем файл admin/login.php
В файле .htaccess добавляем строки:
Код PHP:
  1. ErrorDocument 404 http://www.Ваш_сайт/404.html
  2. ErrorDocument 403 http://www.Ваш_сайт/403.html
Злоумышленник при входе в директорию admin/ будет вылетать с ошибкой 404, как бы там нет файлов.
Если же вы авторизованы на сайте как администратор, то можете спокойно входит в каталог admin/


2. Дополнительный логин и пароль без .htaccess
В файле admin/index.php в перед:
Код PHP:
добавляем:
Код PHP:
  1. $adm_name = "admin";
  2. $adm_pass = "21232f297a57a5a743894a0e4a801fc3"; //Пароль в md5. Здесь пароль: admin
  3. function adm_auth(){
  4. Header ('WWW-Authenticate: Basic realm="Your_Zone"');
  5. Header ("HTTP/1.0 401 Unauthorized");
  6. echo '<html><head><title>access denied...</title></head>
  7. <body><center>Введите логин и пароль</h1></center></body></html>';
  8. }
  9. if (empty($_SERVER["PHP_AUTH_USER"])){
  10. adm_auth();
  11. }
  12.  
  13. if ($_SERVER['PHP_AUTH_USER'] != $adm_name OR md5($_SERVER['PHP_AUTH_PW']) != $adm_pass){
  14. adm_auth();
  15. }
Теперь при входе в админку будет спрашивать дополнительный логин и пароль

Про защиту .htaccess писать не буду, надеюсь что все знают.
Ну и конечно не советую ставить оба этих варианта.
Прикрепленные файлы:
admin_f0c56.rar | 1.82 Кб | Скачали: 1250
Редактировалось: 2 раз (Последний: 24 июня 2009 в 07:35)
Посетитель
small user social cms
Медаль
Сообщений: 121
спасибо огромное очень нужная вещь
защита это первое что должно быть !
Реклама
cms
Sometime CMS Community
Посетитель
no avatar
Сообщений: 40
А для какой версии это применимо?
Редактировалось: 1 раз (Последний: 24 июня 2009 в 11:05)
Посетитель
small user social cms
Медаль
Сообщений: 763
Что-то у меня не впускает по второму методу sad
Постоянно спрашивает пароль. Логин и пароль поменял на свои - не помогло sad
Похоже, что переменная $ _ SERVER [ " PHP_AUTH_USER " ] не присваивается.
Редактировалось: 1 раз (Последний: 24 июня 2009 в 11:32)
Посетитель
small user social cms
Медаль
Сообщений: 146
Спасиба! Неплох первый вариант... smoke
Посетитель
small user social cms
Медаль
Сообщений: 135
Солнечный ребёнок:
Про защиту .htaccess писать не буду, надеюсь что все знают.
Вот это зря, я например не знаю (думаю как и многие). Как защитить этот .htaccess ?
Посетитель
small user social cms
Медаль
Сообщений: 256
Alteste, можете почитать об этом. Добавлю, что большинство панелей управления хостингами позволяют устанавливать парольную защиту директорий очень просто, не вникая в описанные тонкости.
Не ищите простых решений!
Посетитель
small user social cms
МедальПочетный донор проектаАвторитет форумаКубок зрительских симпатий
Сообщений: 4296
у меня сегодня, пароль админа поменяли(думаю хакнули), я обратно поменял.
поэтому, выше указанные меры(Солнечный ребёнок) под 1,5,3 действуют, кто проверял ?
Посетитель
small user social cms
Медаль
Сообщений: 763
lezginka.ru, второй способ описанный в первом посте будет действовать в любой версии. Только во-первых, ставь логин и пароль отличные от логина и пароля на сайте и во-вторых, когда будешь копировать код из поста не забудь потом после вставки поменять обратные кавычки на прямые.
Посетитель
small user social cms
МедальКубок зрительских симпатийАвторитет форума
Сообщений: 1897
Если статичный ип, можно кинуть в папочку .htaccess , доступ будет только с вашего ip
Код PHP:
  1. order deny,allow
  2. deny from all
  3. allow from ***.***.***.***
вместо * ваш ip
Редактировалось: 1 раз (Последний: 7 февраля 2010 в 21:48)
Контент для ваших проектов. Копирайт всех видов от профессионалов. Создание и продвижение сайтов, реклама.
Посетитель
small user social cms
МедальПочетный донор проектаАвторитет форумаКубок зрительских симпатий
Сообщений: 4296
garry:

Если статичный ип, можно кинуть в папочку .htaccess , доступ будет только с вашего ip
Код PHP:
  1. order deny,allow
  2. deny from all
  3. allow from ***.***.***.***
вместо * ваш ip

это запрет к папке админ(панель) или куда ?
Редактировалось: 1 раз (Последний: 7 февраля 2010 в 21:55)
Посетитель
small user social cms
МедальКубок зрительских симпатийАвторитет форума
Сообщений: 1897
в папку /admin/ - и соответственно ко всем функциям.
Редактировалось: 1 раз (Последний: 7 февраля 2010 в 22:01)
Контент для ваших проектов. Копирайт всех видов от профессионалов. Создание и продвижение сайтов, реклама.
Посетитель
small user social cms
Медаль
Сообщений: 315
Друзья, киньте пожалуйста архив для защиты админки. Что-то не могу скачать его.
Sometime CMS Community
Посетитель
no avatar
Медаль
Сообщений: 504
lezginka.ru:
у меня сегодня, пароль админа поменяли(думаю хакнули), я обратно поменял.
поэтому, выше указанные меры(Солнечный ребёнок) под 1,5,3 действуют, кто проверял ?
Если хакнули то прятать админку в большинстве случаев поздно...
Посетитель
small user social cms
Медаль
Сообщений: 235
Иваныч:
Друзья, киньте пожалуйста архив для защиты админки. Что-то не могу скачать его.
Присоединяюсь!
Я все делаю правильно!:)
В начало страницы
Предыдущая темаСледующая тема Перейти на форум:
Быстрый ответ
Чтобы писать на форуме, зарегистрируйтесь или авторизуйтесь.