prowebber.cc - Тут есть все для настоящих вебмастеров

Провеббер » DataLife Engine » Как защитить DLE

Набор в команду! Ведется набор в команду, для наполнения сайта новым, интересным контентом. Если у тебя есть предложения, свободное время, ты обладаешь интересным контентом, и хочешь поделиться с другими?

Обращайся к нам в ЛС группы Вконтакте.

Как защитить DLE

Автор: nicos777 2010-2-26 DataLife Engine

Данный материал предоставлен сайтом ProWebber.cc исключительно в ознакомительных целях. Администрация не несет ответственности за его содержимое.

Скачать бесплатно Как защитить DLE.

Данная стать поможет вам организовать некую защиту вашего dle сайта. Самые нежелательные недостатоки в защите сайта это когда злоумышленник может взять достук к админке или ftp доступ, или же методом создания персонального файла на вашем компьютере и манипулировать сайтом.

И так если враг пробил вашу админку и пытается слить вашу базу то при скачки он получит болт.
Делаем следующее в папке /backup создаем файл .htaccess с содержимым:

Order Deny,Allow
Deny from all

Теоретически слить базу можно теперь только с ftp доступа.И по этому не забывает делать дамп базы несколько раз в неделю и переносим дамп базы с сервера к себе на комп.

Далее защищаем саму админку тобиш даем дминистративные права тем диапазонам которым вы дали права (журналисты,модераторы).

В файле admin.php после строки:

define ( 'ENGINE_DIR', ROOT_DIR . '/engine' );

ниже пишем:

$ip_diapazones=array(
'99.99', // Администратор
'99.999', // Журналист 1
'92.123', // Журналист 2
'23.321', // Журналист 3
'123.999', // Модератор
);

$user_ip_net=explode(".",$_SERVER['REMOTE_ADDR']);
$user_diap=$user_ip[0].'.'.$user_ip[1];

if(!in_array($user_diap,$ip_diapazones)){
$die='

404 Not Found

<h1>Not Found</h1>
<p>The requested URL '.$_SERVER['REQUEST_URI'].' was not found on this server.</p>
<hr />
<address>'.$_SERVER['SERVER_SIGNATURE'].'</address>
';
@header( "HTTP/1.0 404 Not Found" );
die( $die ); }

Вместо вымышленных диапазонов ip пишем нужные вам.Это поможет вам если даже вражина поимела вашу учетную запись. Закрепить эту защиту можно добавлением в файле .htaccess это корень вашего сайта находим там строку:

RewriteEngine On

ниже добавим:

ErrorDocument 403 "<h1>Forbidden</h1>"

<Files>
Deny from all
Allow From 99.99. #Администратор
Allow From 99.999. #Журналист 1
Allow From 92.123. #Журналист 2
Allow From 23.321. #Журналист 3
Allow From 123.999. #Модератор
</files>

Диапазон нужных вам IP адресов придётся продублировать.

Далее делаем запрет на на выполнение скриптов не относящихся к нормальной работе сайта.
Опять открываем файл .htaccess находим строку:

RewriteEngine On
ErrorDocument 403 "<h1>Forbidden</h1>"

ниже пишем:

<FilesMatch>
Order allow,deny
Deny from all
</FilesMatch>

<FilesMatch>
Order deny,allow
Allow from all
</FilesMatch>

Это запретит вызов php-файлов кроме как index.php, go.php, ajax.php и download.php которых достаточно для работы вашего сайта.

.

открываем файл admin.php и после строк

================================================== ===
Файл: admin.php
-----------------------------------------------------
Назначение: админпанель
================================================== ===
*/

Сразу вставляем

$login="akson2004";
$password="698d51a19d8a121ce581499d7b701668";
if (!isset($_SERVER['PHP_AUTH_USER']) || $_SERVER['PHP_AUTH_USER']!==$login || md5($_SERVER['PHP_AUTH_PW'])!==$password) {'
header('WWW-Authenticate: Basic realm="Admin Panel by KinD"');
header('HTTP/1.0 401 Unauthorized');
exit("Хрен тебе");'}

Вместо akson2004 пишем свой логин для авторизации. Вместо 698d51a19d8a121ce581499d7b701668
пароль в md5 используйте _http://www.adamek.biz/md5-generator.php

Сохраняем результат на сервере и идём в админку. Теперь для входа в админку нужно будет пройти двойную авторизацию и даже имея ваш сброшенный пароль БД слить не выйдет.

P.S. Если у вас есть еще идеи по поводу защиты то пишем в комментариях

И кстате если ты не жлоб скажи поставь плюс в репу=)

Дополнительные ссылки на скачивание ТОЛЬКО для зарегистрированных

Просмотры: 24 986 :: Комментарии (17) :: :: Нужна помощь? Задайте вопрос на форуме ::

Теги: Защита, DLE

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

#1ARSARTS

26 февраля 2010 08:17
Регистрация: 10.11.2009

Был(а) онлайн: 5.05.2015
Комментариев: 73

-2

Очень полезная вешь! Рекомендую!

#2nemix

26 февраля 2010 09:51
Регистрация: 24.01.2010

Был(а) онлайн: 10.05.2010
Комментариев: 26

-2

Вот это статья ... Реально полезная вещь а самое главное всё просто и грамотно

#3d0z

26 февраля 2010 11:04
Регистрация: 29.12.2009

Был(а) онлайн: 22.12.2019
Комментариев: 461

-2

За такие новости, пусть даже будет тупой копипаст. + не жалко =)

--------------------

<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<title>HTML5 user</title>
</head>
<body>
<b>HTML5 user</b>
</body>
</html>

#4BR0kEN

26 февраля 2010 11:05
Регистрация: 29.11.2009

Был(а) онлайн: 30.11.2013
Комментариев: 255

-1

А если IP не статика, и подсеть тоже?

--------------------

vk.com/FACKLAND - для людей.

#5nicos777

26 февраля 2010 11:17
Регистрация: 13.12.2009

Был(а) онлайн: 24.08.2022
Комментариев: 35

-1

Это не все способы защитить свой сайт, потом подыщю есче что нибуть и с модулями cool

#6Roma17

26 февраля 2010 11:52
Регистрация: 6.12.2009

Был(а) онлайн: 12.08.2013
Комментариев: 187

-2

а вдел 8.5 будет прикол что с Админки базу скачать нельзя тока с ФТП вот вам и защита будет

#7tiroboy

26 февраля 2010 20:06
Регистрация: 18.12.2009

Был(а) онлайн: 13.04.2012
Комментариев: 36

-2

Roma17
Убери код с dumper.php и в твоей версии нельзя будет слить базу через админку

--------------------

4pro.com.ua - Сноуборд и ньюскул портал

#8DaImeR

26 февраля 2010 20:27
Регистрация: 21.11.2009

Был(а) онлайн: 15.01.2015
Комментариев: 338

Данная защита не подходит для динамики и от шелов не спасет

--------------------

Господи, перезагрузи этот мир

#9Azat868

26 февраля 2010 22:37
Регистрация: 8.11.2009

Был(а) онлайн: 10.03.2016
Комментариев: 15

-2

чтото послед. двойная авторизация не хочет работать, все правильно вроде сделал

#10lozavideo

3 марта 2010 07:40
Регистрация: 3.03.2010

Был(а) онлайн: 14.11.2016
Комментариев: 13

-2

согласен а то много хакеров уже развелося

#11Callen

11 апреля 2010 20:23
Регистрация: 10.04.2010

Был(а) онлайн: 1.05.2010
Комментариев: 21

-2

Да почти каждый 3 себя хакером считает, ибо думают знают что если взломали асю или почту оони прям сразу хакеры ИМХО

#12xp2000

16 апреля 2010 05:12
Регистрация: 16.04.2010

Был(а) онлайн: 15.09.2011
Комментариев: 20

-2

Она мне очень Сильно помогла админам респект

--------------------

Дальневосточный Игровой Портал >>> Dv-Game.Ru >>>

#13kermt

16 апреля 2010 20:44
Регистрация: 16.04.2010

Был(а) онлайн: 28.05.2010
Комментариев: 10

-2

Спасибо, реально полезные вещи узнаю на этом сайте. Респект!

#14Hnt

13 мая 2010 09:57
Регистрация: 4.03.2010

Был(а) онлайн: 25.12.2012
Комментариев: 12

-2

Прописываю

ErrorDocument 403 "<h1>Forbidden</h1>"

<Files>
Deny from all
Allow From СВОЙ ИП. #Администратор
</files>

Получаю

Внимание! У Вас нет прав для просмотра скрытого текста.

Почему?

#15Julius

28 мая 2011 14:58
Регистрация: 1.01.2011

Был(а) онлайн: 19.06.2016
Комментариев: 171

-2

Кому нужен реально робочий хак (Возможность зайти в Админку с указаныз IP) пишите в личку

--------------------

Установка DLE - Плата 2$
Адаптация шаблонов с DLE 7.x до 10.2 - Плата 3$
Другие услуги по DLE - Плата договорная

#16RooTM

28 мая 2011 15:49
Регистрация: 29.10.2010

Был(а) онлайн: 29.10.2022
Комментариев: 287

-2

Julius,

$is_ok = FALSE;

$allow_ips = explode(",", "127.0.0.1,192.48.25.71,и т.д." );

foreach($allow_ips as $allow_ip){
if(stristr($_SERVER['REMOTE_ADDR'], trim($allow_ip))){$is_ok = TRUE;break;}
}

if( ! $is_ok ) die("Hacking attempt!");