
А вот некоторые общие и Jumi конкретные рекомендации, касающиеся сайта security.They не являются исчерпывающими них! Это практически невозможно сделать сайт пуленепробиваемым от атак из наиболее квалифицированных мужчин и женщин.
Но не стоит от него отказаться! Прочтите эту статью, а затем посетить Joomla! форум по вопросам безопасности по крайней мере.
Мое первое правило
Повышенная безопасность, тем лучше.
Защитите свои PHP файлы от доступа
Если кто-то знает, что путь к файлу PHP-он / она может запустить его извне. И, возможно, использовать его для его / ее собственной цели.
Вы можете избежать этого, целый ряд мер:
- ограничить прямой доступ к файлам
- скрыть путь к файлам
- защитить каталог, в котором ваши файлы из листинга и доступа
Ограничение прямой доступ к PHP файлов.
В самом начале вашего PHP файлов написать строку, которая не позволяет никому запускать файлы вне Joomla! окружающей среды.
Для Joomla! 1.0.x
defined ("_VALID_MOS") или умереть ("Ограничение доступа");
Для Joomla! 1.5.x
defined ('_JEXEC) или умереть ("Ограничение доступа");
Или для Joomla! Платформы:
defined ("_VALID_MOS") или определенных («_JEXEC) или умереть (" Ограничение доступа ");
Скрыть путь к файлам с помощью Jumi абсолютный путь.
Если вы используете Jumi плагина есть возможность того, что пути к файлам будут выявлены.
Jumi плагин синтаксиса кода написана в Joomla! статьи видно в RSS-каналы и PDF-документов.
Таким образом, пользователи могут видеть
(Jumi [изображения / myscripts / myfile.php]}
Это не Jumi плагин / мамбот ошибку, но Joomla! особенность. Joomla! не имеет содержания плагины для RSS и PDF. Существует решение: взломать Joomla! ядро и сделать триггер себя. Читайте kksou Скрыть Jumi на RSS каналы и Как есть плагины обрабатываются при создании PDF-документов из элементов контента
Вы также можете отключить статьи из того Тип системы, и вы также можете отключить PDF вариант статьи. Но кто может держать его в уме все время?
Определить Jumi умолчанию абсолютный путь в расширении Jumi параметры по мере возможности. Пользователи могут видеть только имя, а не позиции в структуре каталогов:
(Jumi [myfile.php]}
Желательно, чтобы переместить каталог из ваших скриптов за пределами WWW корня. Существует никаких шансов получить доступ к файлам по HTTP вызов времени. Не все услуги хостинга включить его.
Защитить каталог, где PHP файлов от прямого листинга и доступа.
Поместите пустой index.html в каталоге. Когда кто-то посещает каталог через HTTP он / она не отображается список файлов, но только пустые страницы.
Второй мерой является применение Apache возможности, я имею в виду mod_rewrite: Это позволяет перенаправить HTTP доступ к файлам в каталоге, в другой файл или место. Есть более подходы, как это сделать. Одна из многих возможных решений в вставив следующие строки типа int ваша. Htaccess файл
RewriteCond% {HTTP_REFERER}! ^ Http://www.mysite.com/. * $ [NC]
RewriteCond% {REQUEST_URI} myscripts [NC]
RewriteRule. * - [F]
Это resrict доступ ко ВСЕМ адресов www.mysite.com содержащие MyScript мира. Но, как я сказал, что вы можете создать свой собственный Htaccess правила. Подробнее о Htaccess тему в corz.org здесь и здесь или Google "ограничить доступ Htaccess".
Заключение
Я рекомендую вам, чтобы объединить все меры, упомянутые выше
В то время как мои первые правила безопасности, что
Повышенная безопасность, тем лучше.
Самый последний говорится:
Там существует только одна лучшая мера предосторожности: прекратить сайте.