Защита сайта DLE

Взлома сайта DataLife Engine

Добрый день!!!

Сегодня мы с вами поговорим на тему — Защита сайта DLE. Понятно, что тема популярная, так как движок DataLife Engine получил большую популярность.

А решил я написать эту статью из за того, что некоторые «редиски» начали атаковать мой сайт, ломать и всячески ставить палки в колеса. Мне конечно это не страшно, так как даже если сайт взломают восстановить я смогу его за минуты 3. Но вот о защите своего сайта я считаю стоит поговорить. Поэтому в этой статье я опишу основные моменты о том как защитить свой сайт.

На блоге есть продолжение этой статьи по защите сайта — здесь.

Итак приступим, чтобы защитить сайт DLE от взлома злоумышленником:

1. Вы установили движок на хостинг, поставили шаблон все настроили. Сразу удаляйте на хостинге файл install.php и папку/upgrade

2.  В папках в которые разрешена запись в основном это /uploads и /templates и /backup, если у вас есть другие то и в них тоже, создайте файл .htaccess с таким содержимым:

<FilesMatch «\.(php|php3|php4|php5|php6|phtml|phps)$|^$»>
Order allow,deny
Deny from all
</FilesMatch>

Данная строчка отключает использование PHP интерпретатора при попытке обращения к PHP файлам находящимся в этих папках, а также находящимся во всех вложенных папках. Поэтому даже в случае заливки в эти папки файлов со зловредным PHP кодом, они становятся для злоумышленника совершенно бесполезными. Вы можете так же поставить тут креативную защиту, какую да любую которые захотите.

3. Затем надо поменять название файла админки — admin.php на любое  другое, для этого заходим в админку сайта в раздел «Безопасность» и меняем на то что вы хотите например neadmin.php, также меняем это название на хостинге.

4. В админке ставим «Жесткие требования авторизации», чтобы в админку под разными IP не могли войти если, админ уже там, как на этом рисунке.

Защита админки DLE

5. Права входа в админ центр не дает всем подряд даже журналистам.

6. Можно сделать вход в админку только с определенных IP, это можно сделать так:

В файле admin.php после строки:

define ( ‘ENGINE_DIR’, ROOT_DIR . ‘/engine’ );

ниже пишем:
$ip_diapazones=array(
’99.99′, // Администратор
’99.999′, // Журналист 1
’92.123′, // Журналист 2
’23.321′, // Журналист 3
’123.999′, // Модератор
);

$user_ip_net=explode(«.»,$_SERVER['REMOTE_ADDR']);
$user_diap=$user_ip[0].’.’.$user_ip[1];

if(!in_array($user_diap,$ip_diapazones)){
$die=’<!DOCTYPE HTML PUBLIC «-//IETF//DTD HTML 2.0//EN»>
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL ‘.$_SERVER['REQUEST_URI'].’ was not found on this server.</p>
<hr>
<address>’.$_SERVER['SERVER_SIGNATURE'].’</address>
</body></html>’;
@header( «HTTP/1.0 404 Not Found» );
die( $die ); }

Пишем нужные вам диапазоны IP адресов. Теперь взломав даже учетную вашу запись, злоумышленник не сможет ничего сделать.  Закрепить эту защиту можно добавлением в файле .htaccess это корень Вашего сайта находим там строку:

RewriteEngine On

ниже добавим:

ErrorDocument 403 «<h1>Forbidden</h1>»<Files «admin.php»>
Deny from all
Allow From 99.99. #Администратор
Allow From 99.999. #Журналист 1
Allow From 92.123. #Журналист 2
Allow From 23.321. #Журналист 3
Allow From 123.999. #Модератор
</files>

Диапазон нужных Вам IP-адресов придётся продублировать.

7. Далее делаем запрет на на выполнение скриптов не относящихся к нормальной работе сайта.
Опять открываем файл .htaccess в корне сайта, находим строку:

RewriteEngine On
ErrorDocument 403 «<h1>Forbidden</h1>»

ниже пишем:

<FilesMatch «.(php|h|c)$»>
Order allow,deny
Deny from all
</FilesMatch><FilesMatch «(index.php|go.php|ajax.php|download.php)$|^$»>
Order deny,allow
Allow from all
</FilesMatch>

Это запретит вызов PHP-файлов кроме как index.php, go.php, ajax.php и download.php которых достаточно для работы Вашего сайта.

8. Устанавливать все обновления скрипта, чем свежее версия тем меньше способов взлома.

9. Проверить свой скрипт на скрытые ссылки, шелы и блекдоры. но это достигается скачивание качественного DataLife Endine Nulled или лицинзионной версией. Скоро сделаю свою качественную сборку DLE Null и выложу у себя на сайте и в этом блоге.

Ну в принципе все, так же не забываем изучить статью по взлому и защите DLE 8.x-8.5

А теперь видео, чисто красиво и страшно:

  • Поделится в Контакте
  • Поделится FaceBook
  • Опубликовать Яндекс
  • Опубликовать Google Plus
  • Опубликовать в Одноклассниках
  • Опубликовать Twitter
  • Опубликовать Livejournal
  • RSS

Комментариев к записи: 11

  1. Darkden:

    не за что, пользуйся

  2. Спасибо, реальная статья, смог сделать сайт более защищенным.

  3. Спасибо! Закинул в выше перечисленне папки .htacces, надеюсь поможет, а то задолбали взломщики :)

  4. Спасибо, помогло. Подпишусь на ваш блог

  5. Сергей:

    Я не знаю какие диапазоны ip писать, если я эти оставлю — ничего страшного не произойдёт?

  6. MaggotO_o:

    Статью честно говоря лень читать остановился на 5 ) а видюха красивая, с детства люблю смотреть на вулканы и извержение лавы)

  7. Хотелось бы видеть надпись — to be continied…

  8. Защита сайта DLE: Добрый день!!! Сегодня мы с вами поговорим на тему – Защита сайта DLE. Понятно, что тема попул… [ссылка]

Оставить комментарий


тиц и pr Darkden блог