Главная > Статьи > Защита папок DLE
Защита папок DLE5-08-2012, 16:25. Разместил: Delgado |
Статья информирует о способах повышения безопасности сайта. Одна из угроз - это использование злоумышленником PHP шеллов. PHP шеллы - это скрипты, которые могут производить изменения в файлах доступных для них. РНР-шеллы могут легко попасть на сервер из-за уязвимостей в скрипте, сторонних модулях, сервера и т.п. И тогда вместо того чтобы смотреть фильмы на вашем сайте, пользователи увидят взломанный ресурс и уйдут. Особенностью угрозы является внедрения только в папки, доступные для записи. В DLE - это паки /uploads и /templates/ и все вложенные в них. Данные папки по причине их назначения имеют атрибут записи. В эти папки и происходит внедрение шеллов при обнаружении лазейки. Защитное решение состоит в размещении в папках /uploads/ и /templates/ файла .htaccess имеющего: php_flag engine off Команда отключает применение PHP интерпретатора при попытках обращения к PHP содержимому в этих папках. Даже если залить вредоносный код, он не будет выполнен. Не каждый хостинг провайдер разрешает так управлять параметром. Решение – размещение того же файла с содержимым: Orderallow,deny Denyfromall Код не дает прямо обратиться к PHP файлам в этих папках. Вернуться назад |