Очень многие сайтостроители встречались со взломом DLE. Ни для кого не секрет, что DLE наиболее подвержен взлому, особенно если он не обновленный. В этой статье я расскажу вам о самых популярных способах взлома DLE и о том, как не дать злоумышленникам получить доступ к вашему сайту.
Первоочередной задачей вебмастера, чей сайт стоит на DLE — обновление движка. Если ваш сайт стоит на DLE версий ниже 10.0 — бойтесь. Потому как это дает возможность практически любому получить доступ к PhpMyAdmin и вписывать новых администраторов. Часто получается, что настоящий администратор сайта даже не подозревает о взломе своего ресурса. Получив доступ к PhpMyAdmin, злоумышленники могут делать практически все, что им заблагорассудится, вплоть до удаления баз данных.
Для того, чтобы обезопасить сайт от многочисленных способов взлома DLE, нужно уделить внимание файлу .htaccess , который будет находиться в директории /engine/classes/min/ (это при условии, что вы все-таки обновили свою версию DLE, или же установили заново версию 10.1 и выше)
Создаем в этой директории файл с названием .htaccess , в него добавляем код:
<Files "index.php"> Order Deny,Allow Allow from all </files>
После проделанного создадим в папке /engine/classes/ файл .htaccess, а внутрь добавляем код:
<FilesMatch "\.([Pp][Hh][Pp]|[Cc][Gg][Ii]|[Pp][Ll]|[Pp][Hh][Tt][Mm][Ll])\.?"> Order allow,deny Deny from all </FilesMatch>
Эти действия были нужны для случая, если на ваш сайт еще никто не посягал. Если же доступ к сайту уже имеют некие злоумышленники, необходимо:
1. Установить на все файлы .htaccess движка права CMHD 444 . Таким образом вы запретите работу со всеми файлами кроме файлов .htaccess
2. Установить на все файлы шаблона права CMHD 444 (кроме папок). Таким образом вы запретите редактировать файлы шаблона всем, даже вам.
3. Можно воспользоваться способом защиты с помощью файла .htaccess , который находится в корне сайта. Открываем .htaccess и дописываем после RewriteEngine On:
<FilesMatch ".php"> Order allow,deny Deny from all </FilesMatch> <FilesMatch "antivirus.php"> order deny,allow Allow from all </FilesMatch> <FilesMatch "updates.php"> order deny,allow Allow from all </FilesMatch> <FilesMatch "opensearch.php"> order deny,allow Allow from all </FilesMatch> <FilesMatch "keywords.php"> order deny,allow Allow from all </FilesMatch> <FilesMatch "registration.php"> order deny,allow Allow from all </FilesMatch> <FilesMatch "rating.php"> order deny,allow Allow from all </FilesMatch> <FilesMatch "refresh.php"> order deny,allow Allow from all </FilesMatch> <FilesMatch "editpost.php"> order deny,allow Allow from all </FilesMatch> <Files "referer.php"> order deny,allow Allow from all </files> <Files "print.php"> order deny,allow Allow from all </files> <Files "images.php"> order deny,allow Allow from all </files> <Files "vote.php"> order deny,allow Allow from all </files> <Files "addcomments.php"> order deny,allow Allow from all </files> <Files "addpost.php"> order deny,allow Allow from all </files> <Files "addcomments.php"> order deny,allow Allow from all </files> <FilesMatch "\.(avi|mp3|mp4|flv|swf|wmv|png|css|gif|jpeg|jpg|rar|zip|xml|rss)$|^$"> Order deny,allow Allow from all </FilesMatch> <Files "admin.php">-если у вас другое название файла админ-панели, изменяем на свое. order deny,allow Deny from all Allow from ххх.ххх.ххх.*- Тут вы указываете IP-адреса, с которых будет доступна админ-панель, если динамичный, указываем только ххх.ххх. </files> <Files "addcomments.php"> order deny,allow Allow from all </files> <Files "editcomments.php"> order deny,allow Allow from all </files> <Files "antibot.php"> order deny,allow Allow from all </files> <Files "index.php"> order deny,allow Allow from all </files> <Files "uploads.php"> order deny,allow Allow from all </files> <Files "go.php"> Allow from all </files> <Files "rss.php"> Allow from all </files> <Files "ajax.php"> Allow from all </files>
Если вам необходимо добавить пользователя DLE через mysql, прочтите статью, на которую ведет ссылка. Это может пригодиться для случаев, когда у вас уже нет доступа в админ-панель DLE.
Хотелось бы заметить, что подобного рода уязвимости присутствуют не только на Datalife Engine, но и на WordPress, Jumla и ряде других CMS. В случае, если вы видите, что над вашим сайтом уже ведет работу взломщик, вам потребуется написать в службу поддержки хостинга с просьбой прикрыть доступ всем, в том числе и вам.
