IPB

Здравствуйте, гость ( Вход | Регистрация )

> Правильно формулируйте вопросы - Вам быстрей ответят

Перед подачей запроса воспользуйтесь сервисом Поиск. Возможно Ваш вопрос уже был задан и доступно быстрое решение.

Для максимально быстрого решения проблемы обязательно укажите:
- адрес Вашего сайта + наименование хостинга (локальный/внешний)
- номер установленного релиза PHPSHOP CMS FREE (Указывается в админпанели. Пример PHPShop CMS Free (сборка 34501).
- подготовьте принтскрин Вашей проблемы (снимок рабочего стола в момент ошибки) и прикрепите принтскрин в теме.
- укажите наименование и/или номер ошибки.
- подробно опишите алгоритм Ваших действий при выполнении поставленной задачи

Доступная документация: http://wiki.phpshopcms.ru

Самые свежие релизы в центре загрузки: http://phpshop.ru/page/downloads.html

Голосуйте и добавляйте свои идеи для PHPSHOP CMS FREE: http://idea.phpshop.ru/

 
Ответить в данную темуНачать новую тему
> Защита от взлома, Пытаются попасть в админку
ЕвгенийT
сообщение 6.3.2014, 13:18
Сообщение #1


Новичок
*

Группа: Пользователи
Сообщений: 4
Регистрация: 20.2.2014
Пользователь №: 4344
Версия CMS Free: 34405
Создано сайтов: 1



Здравствуйте,
смотрю по статистике, некоторые посетители заходят сразу в админку(вернее на страницу доступа в админку).
И вряд ли они хотят помочь улучшить дизайн сайта.
Можно ли в PHPSHOP CMS FREE узнать кто был в админской части сайта и как то ограничить туда доступ, например по IP? Или может есть еще какие нибудь способы защиты от взлома?
Перейти в начало страницы
 
+Цитировать сообщение
leksti
сообщение 7.3.2014, 0:20
Сообщение #2


Активный участник
***

Группа: Модератор
Сообщений: 525
Регистрация: 27.12.2010
Из: Санкт-Петербург
Пользователь №: 736



Цитата(ЕвгенийT @ 6.3.2014, 14:18) *
Здравствуйте,
смотрю по статистике, некоторые посетители заходят сразу в админку(вернее на страницу доступа в админку).
И вряд ли они хотят помочь улучшить дизайн сайта.
Можно ли в PHPSHOP CMS FREE узнать кто был в админской части сайта и как то ограничить туда доступ, например по IP? Или может есть еще какие нибудь способы защиты от взлома?


Добрый день, ЕвгенийT! Полностью защитить невозможно никакую CMS. Но, как правило, взлом сайтов происходит именно из-за действий его владельца. Например, установка сторонних модулей и т.п.

Вот несколько советов, как можно уберечь себя от взлома:

1) Компьютер
- купите надёжный антивирус, не пожалейте денег;
- выберите для работы с сайтами один браузер. Кроме сайта и хостинга не открывайте в этом браузере никаких ссылок;
- не храните в браузере логины и пароли;
- храните логины и пароли в текстовом документе, спрятанном в архиве под паролем, который можно запомнить
- всегда совершайте "Выход из системы" при работе с хостингом, FTP и т.д.

2) Сайт
- выбрать надёжный хостинг (например, в хостинге Beget есть система изоляции сайтов на случай взлома);
- если обладаете выделенным IP, ограничьте по нему доступ в панель управления хостингом (если такая услуга есть);
- придумайте максимально сложный пароль для хостинга, желательно, от 20 и более символов, включая разный регистр, знаки препинания и спецсимволы;
- то же самое сделайте для админки;
- отключите быстрый доступ к административной панель сайта через F12 (это можно сдедать в файле java2.js);
- создайте в папке /admpanel/ файлы .htaccess и .htpasswd (можно сделать логин и пароль в 32 символа и более, что, теоретически, сделает сайт защищённым на 99,99%);
- когда не работаете с административной панелью, прописывайте в .htaccess задачу deny from all - сайт с ней будет выдавать ошибку "Forbidden" при попытке зайти в панель.

Надеюсь, это поможет уберечь сайт. smile.gif
Перейти в начало страницы
 
+Цитировать сообщение
Dennion
сообщение 7.3.2014, 10:09
Сообщение #3


Администратор
***

Группа: Главные администраторы
Сообщений: 5905
Регистрация: 20.8.2009
Из: Москва
Пользователь №: 1
Версия CMS Free: 3.3



Это скорее всего боты, анализаторы типа CMS. Одной из отпечатков является страницы авторизации /phpshop/admpanel/ с указанием версии ПО.
Рекомендую. поставить на эту страницу дополнительный пароль через .htaccess и можно спать спокойно.
Перейти в начало страницы
 
+Цитировать сообщение
kris
сообщение 9.3.2014, 11:02
Сообщение #4


Активный участник
***

Группа: Модератор
Сообщений: 109
Регистрация: 2.12.2009
Из: Москва
Пользователь №: 135



Цитата(ЕвгенийT @ 6.3.2014, 14:18) *
Здравствуйте,
смотрю по статистике, некоторые посетители заходят сразу в админку(вернее на страницу доступа в админку).
Или может есть еще какие нибудь способы защиты от взлома?


Кстати, помимо попыток обращений к пути админпанели (по разным адресам) не наблюдаете ли Вы в разделе статистики обращения:
1. по поисковым словам типа Єрсыю юсьхэр тры?
2. по подробной статистике: заход с неликвидных ресурсов типа porn.xxx или одностраничных сайтов?

Мои варианты решения:
1. от брутфорса админпалели в .htaccess ставлю защиту по ip
<Limit GET>
Order allow,deny
Deny from 5.39.222.137
Deny from 46.118.114.176
Deny from 77.120.150.26
Deny from 77.107.161.183
Deny from 80.28.103.121
Deny from 85.192.128.230
Deny from 87.242.64.87
Deny from 89.108.102.171
Deny from 91.193.165.189
Deny from 91.201.52.87
Deny from 93.159.243.35
Deny from 93.159.243.43
Deny from 94.244.53.6
Deny from 94.45.131.14
Deny from 95.211.26.27
Deny from 97.65.33.199
Deny from 144.76.156.247
Deny from 178.210.65.38
Deny from 178.136.109.32
Deny from 178.125.199.52
Deny from 178.210.65.38
Deny from 212.109.1.45
Deny from 212.109.6.240
Deny from 213.111.143.57
Deny from 188.191.144.126
Deny from 188.190.100.44
Deny from 190.205.16.65
Deny from 196.46.245.157
Allow from all
список IP пополняю ежедневно - путем ручного осмотра посещений по IP
стэк IP рекомендую не уменьшать, ибо можно отрубить и всех клиентов провайдера.

2. Однажды обнаружила в моем же .htaccess инъекциии редиректа - просматривайте свой - удаляйте редиректы на чужие ресурсы - если найдете

3. Взлом блока RSS и/или баннера

Включите модуль антивируса в админпанели вашего сайта + Нужно завести аккаунт для своего ресурса на webmaster.yandex.ru:
- осмотреть включенные в поиск страницы на webmaster.yandex.ru - в случае взлома - цель взломщика - это зоны RSS-рассылки и блоки баннеров (из того что я видела на phpshopcms платформах) для увеличения накрутки рекламных посещений по ip взломщика
- после осмотра выявить левые страницы - например мой_сайт.ру/Кредиты-в-новосибирске.aspx / мой_сайт.ру/Кредиты-в-новосибирске.htm - в большинстве случаев такие sql-инъекции делают в корень сайта.
Произведите настройки в robots.txt с Disallow: /*.aspx /*- проверьте в панели вебмастера верность настроек.
- осмотреть в ftp зоны в usersfiles - во всех разделах - на наличие новых файлов - файлы удалить
- в папке rss во всех файлах проверьте наличие нового кода - недавно нашла дубли заводской rss.php: rs.php и rs.tpl

Иногда придется внешний код "выкусывать" руками - но это при наличии навыков.
Перейти в начало страницы
 
+Цитировать сообщение
leksti
сообщение 13.3.2014, 19:19
Сообщение #5


Активный участник
***

Группа: Модератор
Сообщений: 525
Регистрация: 27.12.2010
Из: Санкт-Петербург
Пользователь №: 736



Цитата(kris @ 9.3.2014, 12:02) *
Кстати, помимо попыток обращений к пути админпанели (по разным адресам)

Может, добавим всё вышеперечисленное в FAQ - информация важная, нужная? smile.gif
Перейти в начало страницы
 
+Цитировать сообщение
kris
сообщение 14.3.2014, 9:41
Сообщение #6


Активный участник
***

Группа: Модератор
Сообщений: 109
Регистрация: 2.12.2009
Из: Москва
Пользователь №: 135



Цитата(leksti @ 13.3.2014, 20:19) *
Может, добавим всё вышеперечисленное в FAQ - информация важная, нужная? smile.gif


я так дико извиняюсь smile.gif у нас, по моему, весь форум FAQ у нас его и нет вроде - отдельно-то ...


Перейти в начало страницы
 
+Цитировать сообщение
leksti
сообщение 14.3.2014, 13:31
Сообщение #7


Активный участник
***

Группа: Модератор
Сообщений: 525
Регистрация: 27.12.2010
Из: Санкт-Петербург
Пользователь №: 736



Цитата(kris @ 14.3.2014, 10:41) *
я так дико извиняюсь smile.gif у нас, по моему, весь форум FAQ у нас его и нет вроде - отдельно-то ...

Да давно хотели подобные решения вынести в отдельный топик. Что-то типа "Основных вопросов" или "Базовых знаний" - как установить, где править шаблон, работа с @переменными@, теперь, вот, безопасность. Сам хотел заняться, да руки не дошли. А вы вон как шикарно весь форум перетрясли. smile.gif Или, может, тогда подтему про безопасность сделать? Думаю, этот вопрос многих интересует.
Перейти в начало страницы
 
+Цитировать сообщение
kris
сообщение 14.3.2014, 15:11
Сообщение #8


Активный участник
***

Группа: Модератор
Сообщений: 109
Регистрация: 2.12.2009
Из: Москва
Пользователь №: 135



Цитата(leksti @ 14.3.2014, 14:31) *
Да давно хотели подобные решения вынести в отдельный топик. Что-то типа "Основных вопросов" или "Базовых знаний" - как установить, где править шаблон, работа с @переменными@, теперь, вот, безопасность. Сам хотел заняться, да руки не дошли. А вы вон как шикарно весь форум перетрясли. smile.gif Или, может, тогда подтему про безопасность сделать? Думаю, этот вопрос многих интересует.


по установке - есть вроде у дИни инструкция, я, вот никогда не пользовалась системой установки на локалку - предпочитаю работать в нете сразу - и только ручной установкой встроенного инсталлятора
по редакции переменных - разнесено по блокам - для интуитивного поиска пользователей-не программеров
безопасность - можно вынести в отдельный форум.. пожалуй

пипец... каждую тему трясти вручную будем .. тотальная чистка
по каким вопросам FAQ организовывать?
Перейти в начало страницы
 
+Цитировать сообщение
leksti
сообщение 15.3.2014, 1:04
Сообщение #9


Активный участник
***

Группа: Модератор
Сообщений: 525
Регистрация: 27.12.2010
Из: Санкт-Петербург
Пользователь №: 736



Цитата(kris @ 14.3.2014, 16:11) *
по установке - есть вроде у дИни инструкция, я, вот никогда не пользовалась системой установки на локалку - предпочитаю работать в нете сразу - и только ручной установкой встроенного инсталлятора
по редакции переменных - разнесено по блокам - для интуитивного поиска пользователей-не программеров
безопасность - можно вынести в отдельный форум.. пожалуй

пипец... каждую тему трясти вручную будем .. тотальная чистка
по каким вопросам FAQ организовывать?

Отдельный форум по безопасности - вряд ли необходимо. Всё разжевано в нескольких строчках. Может, что-то вроде "Основы" и переносить туда темы по мере появления? Вот, и нашу тему пора частично переносить в "Книгу желаний". Может, сделать в ней отдельную ветку, где мы сможем обсуждать такие вещи?
Сейчас по форуму уже всё раскидано достаточно хорошо. Повторюсь, теперь уже ситуационно - всплыл вопрос, на который нет ответа - в определённую тему, есть ответ - поднять и положить куда надо. Но раздел "Основы" не помешал бы. Вот туда и безопасность можно скинуть. smile.gif
Перейти в начало страницы
 
+Цитировать сообщение

Ответить в данную темуНачать новую тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 



RSS Текстовая версия Сейчас: 23.8.2019, 1:27