Šeit nāk dažas vispārējas un dažas Jumi īpašus ieteikumus attiecībā uz vietu security.They nav izsmeļoši tiem! Tas ir praktiski neiespējami veikt vietni bruņu pret uzbrukumiem no visvairāk kvalificētu vīriešiem un sievietēm.

Bet nedod it up! Lasīt šo rakstu un pēc tam apmeklēt Joomla! drošības forums vismaz.

Mans pirmais noteikums ir

Labāka drošība ir labāka.

Aizsargājiet savu php failu no piekļūst

Ja kāds zina pathname jūsu php failā viņš / viņa to var palaist no ārpuses. Un, iespējams izmantot to, lai viņa / viņas mērķim.

Jūs varat izvairīties no tā, ko vairāki pasākumi:

• ierobežo tiešu piekļuvi jūsu failus
• paslēpt ceļu uz jūsu failiem
• aizsargātu direktoriju, kur faili tiek no saraksta un piekļuves

Turpmākajās jūs uzzināsiet, kā to izdarīt.

Ierobežot tiešu piekļuvi jūsu php failus.

Pašās top jūsu php failus rakstīt līniju, kas neļauj nevienam palaist failiem ārpus Joomla! vidē.

Par Joomla! 1.0.x

definēti ("_VALID_MOS") OR die ("Ierobežota pieejamība");

Par Joomla! 1.5.x

definēti ("_JEXEC ') OR die (" Ierobežota pieejamība ");

Vai gan Joomla! platformas:

definēti ("_VALID_MOS") vai noteiktu ("_JEXEC ') OR die (" Ierobežota pieejamība ");

Hide ceļš uz jūsu failus, izmantojot Jumi absolūto ceļu.

Ja jūs izmantojat Jumi spraudnis pastāv iespēja, ka ceļš uz jūsu faili tiks atklāts.

Jumi spraudnis kods sintakses iestrādātas Joomla! izstrādājumos ir redzami RSS barotnes un PDF dokumentus.

Tāpēc lietotāji var redzēt

(Jumi [images / myscripts / myfile.php]}

Tas nav Jumi spraudnis / mambot bug, bet Joomla! iezīme. Joomla! nav satura plugins RSS un pdf. Ir risinājums: kapāt Joomla! core un padarīt sprūda sevi. Lasīt kksou Hide Jumi RSS plūsmas un Kā lai pārstrādātu plugins, ģenerējot PDF dokumentus satura vienības

Jūs varat arī atslēgt rakstus tiek feeded un jūs varat arī atslēgt pdf variants raksti. Bet kas var turēt to vienā prātā visu laiku?

Definēt Jumi Default absolūto ceļu, kas Jumi pagarinājums parametriem kad vien iespējams. Lietotāji var redzēt nosaukumu tikai, nevis nostāju direktoriju struktūru:

(Jumi [myfile.php]}

Ir ieteicams pārvietot direktoriju jūsu skriptu ārpus jūsu www root. Nav iespēja piekļūt ar HTTP failu zvanot tad. Ne visi hostinga pakalpojumi atļaujiet to.

Aizsargājiet direktoriju, kur jūsu php faili ir no tiešas sarakstā un piekļuvei.

Ievietojiet tukšu index.html direktorijā. Kad kāds apmeklē katalogs caur http viņš / viņa neredz sarakstu ar failiem, bet tukšu lapu tikai.

Otrais pasākums ir jāpiemēro apache spēju, es domāju mod_rewrite: Tā ļauj novirzīt http piekļuvi failus direktorijā citā failā vai vietā. Ir vairāk pieejas, kā to izdarīt. Viens no daudziem iespējamiem risinājums ir iekļaujot šādas rindas int jūsu. Htaccess failu

RewriteCond% {HTTP_REFERER} ^ http://www.mysite.com/! .* $ [NC]
RewriteCond% {REQUEST_URI} myscripts [NC]
RewriteRule .* - [F]

Tas resrict pieeju visiem www.mysite.com URL, kas satur myscript pasaulē. Bet kā jau teicu, jūs varat izveidot savu htaccess noteikumiem. Vairāk par htaccess tēmu corz.org šeit un šeit vai Google "ierobežot piekļuvi htaccess".

Secinājums

Es padomu jums jāapvieno visi iepriekš minētie pasākumi

Kamēr mans pats pirmais drošības noteikums bija, ka

Labāka drošība ir labāka.

Ļoti pēdējais ir noteikts:

Pastāv tikai viens labākais drošības līdzeklis: pārtraukt mājas lapā.