Защита папок скрипта от запуска сторонних скриптов. Полезная статья на DLE9.com!
Безопасность, защита сайта полезная статья!
Здравствуйте друзья,
Предлагаю небольшую статью, как можно повысить безопасность вашего сайта. На данный момент наибольшую угрозу для сайта представляют собой залитые злоумышленником на сервер PHP шеллы, каким либо образом.
Что такое PHP шеллы? PHP шеллы это — скрипты которые могут выполняться на вашем сервере и производить какие-либо изменения в файлах доступных для записи. Например: читать содержимое конфигурационных данных и соответственно получать прямой доступ к базе данных.
Каким образом могут попадать PHP шеллы на ваш сервер? Чаще всего при использовании не лицензионной версии движка, а также при обнаружении какой либо уязвимости в скрипте, или сторонних
В
Для того чтобы защитить эти папки, от попытки попадания в них зловредного PHP файла, запретив доступ к этим папкам, достаточно разместить в папках /uploads/ и /templates/ файл .htaccess со следующим содержимым:
php_flag engine off
Данная строчка отключает использование PHP интерпретатора при попытке обращения к PHP файлам находящимся в этих папках, а также находящимся во всех вложенных папках. Если даже в случае записи в эти папки файлов со зловредный PHP код, они становятся совершенно бесполезными, потому что не будут запускаться и выполнятся сервером.
Так как не все хостинг провайдеры позволяют управлять через .htaccess данным параметром, есть второй вариант решение для таких сайтов. Достаточно разместите в этих же папках .htaccess с содержимым:
<FilesMatch ".(php|php3|php4|php5|php6|phtml|phps)$|^$"> Order allow,deny Deny from all</FilesMatch>
В результате код запрещает прямое обращение к PHP файлам, находящимся в этих папках.
Эти несложные манипуляции позволят серьезно повысить безопасность вашего сайта, даже в случае если найдется серьезная уязвимость в сторонних модулях и скриптах.
Это решение актуально для версий DLE 8.x и
Замечу что в версии
Если вы хотите проверить работает ли защита достаточно разместить PHP файл и попробуйте его запустить.
Источник: dle9.com