Как защитить DLE от взлома?

Защита DLE от взлома

Очень многие сайтостроители встречались со взломом DLE. Ни для кого не секрет, что DLE наиболее подвержен взлому, особенно если он не обновленный. В этой статье я расскажу вам о самых популярных способах взлома DLE и о том, как не дать злоумышленникам получить доступ к вашему сайту.

Первоочередной задачей вебмастера, чей сайт стоит на DLE — обновление движка. Если ваш сайт стоит на DLE версий ниже 10.0 — бойтесь. Потому как это дает возможность практически любому получить доступ к PhpMyAdmin и вписывать новых администраторов. Часто получается, что настоящий администратор сайта даже не подозревает о взломе своего ресурса. Получив доступ к PhpMyAdmin, злоумышленники могут делать практически все, что им заблагорассудится, вплоть до удаления баз данных.

Для того, чтобы обезопасить сайт от многочисленных способов взлома DLE, нужно уделить внимание файлу .htaccess , который будет находиться в директории /engine/classes/min/ (это при условии, что вы все-таки обновили свою версию DLE, или же установили заново версию 10.1 и выше)

Создаем в этой директории файл с названием .htaccess , в него добавляем код:

<Files "index.php">
 Order Deny,Allow
 Allow from all
</files>

После проделанного создадим в папке /engine/classes/ файл .htaccess, а внутрь добавляем код:


<FilesMatch "\.([Pp][Hh][Pp]|[Cc][Gg][Ii]|[Pp][Ll]|[Pp][Hh][Tt][Mm][Ll])\.?">
 Order allow,deny
 Deny from all
</FilesMatch>

Эти действия были нужны для случая, если на ваш сайт еще никто не посягал.  Если же доступ к сайту уже имеют некие злоумышленники, необходимо:

 

1. Установить на все файлы .htaccess движка права CMHD 444 . Таким образом вы запретите работу со всеми файлами кроме файлов .htaccess
2. Установить на все файлы шаблона права CMHD 444 (кроме папок). Таким образом вы запретите редактировать файлы шаблона всем, даже вам.
3. Можно воспользоваться способом защиты с помощью файла .htaccess , который находится в корне сайта. Открываем .htaccess и дописываем после RewriteEngine On:


<FilesMatch ".php">
Order allow,deny
Deny from all
</FilesMatch>

<FilesMatch "antivirus.php">
order deny,allow
Allow from all
</FilesMatch>

<FilesMatch "updates.php">
order deny,allow
Allow from all
</FilesMatch>

<FilesMatch "opensearch.php">
order deny,allow
Allow from all
</FilesMatch>

<FilesMatch "keywords.php">
order deny,allow
Allow from all
</FilesMatch>

<FilesMatch "registration.php">
order deny,allow
Allow from all
</FilesMatch>

<FilesMatch "rating.php">
order deny,allow
Allow from all
</FilesMatch>

<FilesMatch "refresh.php">
order deny,allow
Allow from all
</FilesMatch>

<FilesMatch "editpost.php">
order deny,allow
Allow from all
</FilesMatch>

<Files "referer.php">
order deny,allow
Allow from all
</files>

<Files "print.php">
order deny,allow
Allow from all
</files>

<Files "images.php">
order deny,allow
Allow from all
</files>

<Files "vote.php">
order deny,allow
Allow from all
</files>

<Files "addcomments.php">
order deny,allow
Allow from all
</files>

<Files "addpost.php">
order deny,allow
Allow from all
</files>

<Files "addcomments.php">
order deny,allow
Allow from all
</files>

<FilesMatch "\.(avi|mp3|mp4|flv|swf|wmv|png|css|gif|jpeg|jpg|rar|zip|xml|rss)$|^$">
Order deny,allow
Allow from all
</FilesMatch>

<Files "admin.php">-если у вас другое название файла админ-панели, изменяем на свое.
order deny,allow
Deny from all
Allow from ххх.ххх.ххх.*- Тут вы указываете IP-адреса, с которых будет доступна админ-панель, если динамичный, указываем только ххх.ххх.
</files>

<Files "addcomments.php">
order deny,allow
Allow from all
</files>

<Files "editcomments.php">
order deny,allow
Allow from all
</files>

<Files "antibot.php">
order deny,allow
Allow from all
</files>

<Files "index.php">
order deny,allow
Allow from all
</files>

<Files "uploads.php">
order deny,allow
Allow from all
</files>

<Files "go.php">
Allow from all
</files>

<Files "rss.php">
Allow from all
</files>

<Files "ajax.php">
Allow from all
</files>

Если вам необходимо добавить пользователя DLE через mysql, прочтите статью, на которую ведет ссылка. Это может пригодиться для случаев, когда у вас уже нет доступа в админ-панель DLE.

Хотелось бы заметить, что подобного рода уязвимости присутствуют не только на Datalife Engine, но и на WordPress, Jumla и ряде других CMS. В случае, если вы видите, что над вашим сайтом уже ведет работу взломщик, вам потребуется написать в службу поддержки хостинга с просьбой прикрыть доступ всем, в том числе и вам.

10
Поделиться
Mentor

Уже более четырех лет интернет - моё хобби. Больше всего мне удалось освоить веб-дизайн. В настоящее время активно занят продвижением сайтов.

Оставить комментарий

Войти с помощью: 
Яндекс.Метрика