Jumi

Добро пожаловать в Jumi! >> Контрольный список безопасности

А вот некоторые общие и Jumi конкретные рекомендации, касающиеся сайта security.They не являются исчерпывающими них! Это практически невозможно сделать сайт пуленепробиваемым от атак из наиболее квалифицированных мужчин и женщин.

Но не стоит от него отказаться! Прочтите эту статью, а затем посетить Joomla! форум по вопросам безопасности по крайней мере.

Мое первое правило

Повышенная безопасность, тем лучше.

Защитите свои PHP файлы от доступа

Если кто-то знает, что путь к файлу PHP-он / она может запустить его извне. И, возможно, использовать его для его / ее собственной цели.

Вы можете избежать этого, целый ряд мер:

ограничить прямой доступ к файлам
скрыть путь к файлам
защитить каталог, в котором ваши файлы из листинга и доступа

В следующем вы узнаете, как сделать это.

Ограничение прямой доступ к PHP файлов.

В самом начале вашего PHP файлов написать строку, которая не позволяет никому запускать файлы вне Joomla! окружающей среды.

Для Joomla! 1.0.x

defined ("_VALID_MOS") или умереть ("Ограничение доступа");

Для Joomla! 1.5.x

defined ('_JEXEC) или умереть ("Ограничение доступа");

Или для Joomla! Платформы:

defined ("_VALID_MOS") или определенных («_JEXEC) или умереть (" Ограничение доступа ");

Скрыть путь к файлам с помощью Jumi абсолютный путь.

Если вы используете Jumi плагина есть возможность того, что пути к файлам будут выявлены.

Jumi плагин синтаксиса кода написана в Joomla! статьи видно в RSS-каналы и PDF-документов.

Таким образом, пользователи могут видеть

(Jumi [изображения / myscripts / myfile.php]}

Это не Jumi плагин / мамбот ошибку, но Joomla! особенность. Joomla! не имеет содержания плагины для RSS и PDF. Существует решение: взломать Joomla! ядро и сделать триггер себя. Читайте kksou Скрыть Jumi на RSS каналы , и Как есть плагины обрабатываются при создании PDF-документов из элементов контента

Вы также можете отключить статьи из того Тип системы, и вы также можете отключить PDF вариант статьи. Но кто может держать его в уме все время?

Определить Jumi умолчанию абсолютный путь в расширении Jumi параметры по мере возможности. Пользователи могут видеть только имя, а не позиции в структуре каталогов:

(Jumi [myfile.php]}

Желательно, чтобы переместить каталог из ваших скриптов за пределами WWW корня. Существует никаких шансов получить доступ к файлам по HTTP вызов времени. Не все услуги хостинга включить его.

Защитить каталог, где PHP файлов от прямого листинга и доступа.

Поместите пустой index.html в каталоге. Когда кто-то посещает каталог через HTTP он / она не отображается список файлов, но только пустые страницы.

Второй мерой является применение Apache возможности, я имею в виду mod_rewrite: Это позволяет перенаправить HTTP доступ к файлам в каталоге, в другой файл или место. Есть более подходы, как это сделать. Одна из многих возможных решений в вставив следующие строки типа int ваша. Htaccess файл

RewriteCond% {HTTP_REFERER}! ^ Http://www.mysite.com/. * $ [NC]
RewriteCond% {REQUEST_URI} myscripts [NC]
RewriteRule. * - [F]

Это resrict доступ ко ВСЕМ адресов www.mysite.com содержащие MyScript мира. Но, как я сказал, что вы можете создать свой собственный Htaccess правила. Подробнее о Htaccess тему в corz.org здесь , и здесь или Google "ограничить доступ Htaccess".

Заключение

Я рекомендую вам, чтобы объединить все меры, упомянутые выше

В то время как мои первые правила безопасности, что

Повышенная безопасность, тем лучше.

Самый последний говорится:

Там существует только одна лучшая мера предосторожности: прекратить сайте.