безопасность сайта в DLE

apelisin · 07.10.2010, 13:52 **Вверх**

столкнулся с проблеммой.
инфы толковой так и не нашёл.суть вопроса вот в чём:
посоветуйте способы организации безопасности сайта.то есть как его защитить от взлома и прочих неприятностей?

буду благодарен за помощь

Serberg · 07.10.2010, 16:44 **Вверх**

apelisin, по своей сути сам движок очень хорошо защищен и высоко оптимизирован. Бывают конечно косяки, но их вроде закрывают.

Если следовать нескольким правилам, то проблем быть не должно.
1. Никогда не скачивать нули скрипта от неизвестного нулера. Лично я доверяю только одному нелерщику, известному под ником FintMax. Тут ждать подвоха не стоит. Качать нуль только с проверенных источников. Все свои нули FintMax выкладывает в своем топике на саппорте ВОТ ТУТ. Оттуда же они и появляются на Бормотухе.
2. Никогда не качать сборки DLE, т.к. в сборках обычно народ старается пропихнуть какую нить гадость. Это качается школяров, которые возомнили себя мега хакерами. Лучше брать либо чистый нуль, либо просто чистый двиг и активировать его через кейген.
3. Не надевать на двиг не проверенные шаблоны, т.к. в бесплатных шабах скачанных на левых сайтах (и не только) могут находиться вредоносные скрипты в виде JS и php, подключаемые к двигу самыми хитрыми способами.
4. Никогда не ставить на папку с шаблонами права 777 как рекомендуется при установке. Лучше всего редактировать шаблоны из под FTP , нежели через адмику. Так если "враг" всетаки попадет в админку, он не повесит ничего в шаблоны.
5. Переименовываем файл админки во что нить, чтобы он был не admin.php.

Есть еще разные рекомендации, но для начала думаю хватит. Позже можно будет все это упорядочить и скомпоновать.

apelisin · 07.10.2010, 17:08 **Вверх**

а можно немного подробнее о правах на папки,в частности на шаблоны?
какие именно права рекомендуется использовать?

читал посты насчёт чистки шаблона от скриптов.и видео так же смотрел.
можно в 3-х словах ещё сказать как проверить на вредоносные внедрения в шаблон?как их найти и убрать

FreeD · 07.10.2010, 20:19 **Вверх**

Прав 755 вполне хватит, если не редактировать шаблон из админки. А вообще почитай более подробно о правах chmod и станет более менее понятно что к чему и с чем едят.

ЗЫ я предпочитаю брать чистый DLE и активировать ключиком, чем юзать нуллы.

Serberg · 07.10.2010, 21:14 **Вверх**

Сообщение от apelisin

можно в 3-х словах ещё сказать как проверить на вредоносные внедрения в шаблон?

В шаблонах могут быть сточки типа include что нить. Т.е. подключается внешний модуль. А инклудиться может даже картинка в которой будет php код. Ну и как следствие - это дыра в шаблоне.

Пример подключения:

apelisin · 08.10.2010, 12:50 **Вверх**

Сообщение от Serberg

В шаблонах могут быть сточки типа include что нить. Т.е. подключается внешний модуль. А инклудиться может даже картинка в которой будет php код. Ну и как следствие - это дыра в шаблоне.

Пример подключения:

то есть,если там присутствует "include" например на ту же картинку,но самой картинки нет,то и дыры нет?
и придётся проверить весь шаблон на присутствие "include" ?

ЭТО оно и есть ??
} else { $login_p= include ($tpl->dir.'/images/login.jpg');
но саму картинку я сбрил изначально

Serberg · 08.10.2010, 18:49 **Вверх**

Сообщение от apelisin

ЭТО оно и есть ??
} else { $login_p= include ($tpl->dir.'/images/login.jpg');

Да, это оно и есть. А картинка - это не картинка, это либо JS, либо php файл с расширением jpg. Ты ее в бокнотике открой и посмотри что там.

Сообщение от apelisin

то есть,если там присутствует "include" например на ту же картинку,но самой картинки нет,то и дыры нет?

include - не всегда используется в вредоносных целях. Например некоторые шаблоны выполнены в не стандартном типе и там могут подключаться остальные части шаблона через include. Так же через include подключаются модули прямо в шаблон.

tanka1380 · 08.10.2010, 19:08 **Вверх**

apelisin,

ЭТО оно и есть ??
} else { $login_p= include ($tpl->dir.'/images/login.jpg');

Идёшь на FTP и смотришь, что представляет собой эта картинка. ..Открываешь через редактор, блокнот, ...и смотришь исходник. Если есть скрипт, сносишь его. Если нет, то и сносить не нужно, иначе почикаешь шаблон, и у тебя возникнет много лишних вопросов.

apelisin · 09.10.2010, 01:59 **Вверх**

Сообщение от tanka1380

apelisin,
Идёшь на FTP и смотришь, что представляет собой эта картинка. ..Открываешь через редактор, блокнот, ...и смотришь исходник. Если есть скрипт, сносишь его. Если нет, то и сносить не нужно, иначе почикаешь шаблон, и у тебя возникнет много лишних вопросов.

да,я этот файлик сбрил изначально,открыл блокнотом и там был этот код...сбрил файлик и пока нет никаких проблем с самим сайтом из-за него

apelisin · 09.10.2010, 02:00 **Вверх**

Serberg, есть возможность проверить мой шаблон индивидуально?посмотрел Ваш прайс,как то не нашёл там такого))))))
помочь сможете с этим?естественно не просто так)
Я пока ток начинающий сайто строитель,хотя работаю с компьютерной техникой и сетями давно))

Serberg · 09.10.2010, 22:52 **Вверх**

apelisin, отвечу честно. Нет ни времени, ни желания.

Serberg · 31.01.2011, 14:24 **Вверх**

Сообщение от apelisin

посоветуйте способы организации безопасности сайта.то есть как его защитить от взлома и прочих неприятностей?

Вот, теперь толковый мануал есть: http://www.bormotuhi.net/showthread.php?t=11279

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Безопасность Xenforo	hanck	XenForo	9	07.02.2011 20:20
Безопасность в SLAED CMS [FAQ]	Serberg	Разные скрипты	0	01.06.2008 08:29
Безопасность в Windows XP	Serberg	Windows	2	06.01.2008 22:19
Безопасность в интернете	RAMZA	Интернет	0	11.12.2007 13:29