Modelarea revoluției MODX (traducere)
Revizuirea sau De ce am citit-o
Închiderea oricărei aplicații web (cu excepția MODX Revolution) implică un audit atent al tuturor componentelor site-ului, inclusiv serverul, toate serviciile sale, aplicația în sine. Nu face o greșeală - sunteți în război, tovarăș! Dacă nu vă temeți încă, atunci vă închideți conștient ochii. Faptul că site-ul dvs. este disponibil online, garantat pentru a vă face obiectul unui atac hacker. Motivele pot fi diferite, dar legătura slabă va fi neapărat căutată, găsită și utilizată.
Protecția este un subiect voluminos, astfel încât scopul acestei pagini este de a vă ajuta să identificați vectorii cel mai probabil ai unui atac pe site-ul dvs. și să îi blocați.
Totul, cu excepția MODX-ului în sine
Problema protecției site-ului include multe aspecte care nu sunt direct legate de MODX. În mod corect, le menționăm, însă scopul principal al articolului este pomparea MODX. Asigurați-vă că ați acordat atenție securității întregului mediu. Alte elemente:
compus
Dacă este posibil, nu utilizați site-ul Wi-fi pentru administrare - doar o conexiune prin cablu. Și, cu siguranță, niciodată nu aveți încredere în punctele publice de acces Wi-Fi utilizând ceva mai puțin decât criptarea WPA2. Este prea ușor să interceptați pachetele transmise printr-un router, astfel încât, chiar și cu cele mai modeste abilități de hacking, nu este dificil să vă citiți datele de conectare și parolele, transmisia cărora se aprinde în jurul coffeeshop-ului.
Logins și parole
Alegeți parolele lungi aleatorii și schimbați-le în mod regulat (de la un interpret: un generator de parole bune aici). Parolele lungi sunt de obicei matematic mai complexe decât cele scurte - chiar și cele care folosesc caractere speciale. Saltarea parolei cu o frază ușor de reținut pentru a-și mări lungimea este o bună apărare împotriva brut-force (de la un interpret: atac de forță brute de căutare, care nu știe). Deci, să repetăm: TREBUIE să stocați parola sigură, de preferință într-o formă criptată. Este mult mai bine să scrieți o parolă într-un notebook și să o ascundeți în birou decât să o salvați într-un fișier text din computer.
În cele din urmă, un memento extrem de important: nu folosiți niciodată o parolă de două ori! Adesea, atacurile hackerilor sunt de succes numai pentru că un anumit serviciu este compromis, iar parola este decriptată, iar dezvoltatorul leneș sau nihilist utilizează aceeași parolă pe alte site-uri și servicii. Nu credeti.
Păstrați curățenia și ordinea
Eliminați tot ce nu utilizați de pe site. Toate imaginile inutile, fișierele js etc. Sunt deosebit de dăunătoare unele script-uri de depanare php sau, God God, arhive zip cu backup, uitate în rădăcina site-ului. Luați în considerare proiectul dvs. un balon - dacă ceva nu este necesar, aruncați-l peste bord înainte de mingea picături sau se aprinde. Dacă nu utilizați plug-inuri, fragmente sau șabloane - ștergeți fișierele. Ceea ce nu este conectat nu este neapărat să fie folosit împotriva ta.
backup-uri
Unul dintre cele mai importante lucruri pe care le puteți face pentru site-ul dvs. este de a crea o rezervă obișnuită în afara directorului public. Nu există niciodată o garanție că nu veți fi hacked - deci permiteți-vă o copie de rezervă proaspătă, dacă și când se întâmplă.
Multe spargeri sunt legate de veche ca o lume vicleană - cineva îți cheamă sau te scrie și, sub pretexturi îndepărtate, te roagă să îi transmiți informații. Nu fi simplu. Acesta este exact clientul dvs. vă cere să-i trimiteți o parolă pierdută? Sau a intrat cineva în poșta lui? Citiți despre Kevin Mitnick - tipii au primit codul sursă al multor proiecte BIG, numind în mod prost convingător oamenii potriviți.
Acum ascunde Modx
Rețineți că aceasta este doar o mică parte a ceea ce trebuie să fie temperat. Modx este doar un aspect al mediului de dezvoltare, deci nu fi eroic, neglijând secțiunea anterioară a articolului.
Redirecționarea folderelor de sistem
Spre deosebire de Evo, Revolution vă permite să schimbați numele dosarelor de sistem fără dificultăți și chiar să eliminați dosarul de bază în afara directorului web rădăcină. Rețineți că numai folderul / core poate și ar trebui să fie redat ca root, deoarece celelalte foldere ar trebui să fie accesibile de pe Internet. Redenumirea directoarelor este extrem de importantă dacă doriți să evitați definirea unui sistem de management al site-urilor de către hackeri folosind așa-numitele "liste de apelare rapidă".
Advanced Modx de distribuție vă permite să specificați numele și locația folderelor în timpul instalării, dar pe unele gazde acest ansamblu nu este instalat.
Înainte de a schimba ceva, asigurați-vă că faceți backup site-ul și baza de date!
- core / config / config.inc.php (variabila $ modx_core_path)
- /config.core.php (la radacina site-ului)
- /connectors/config.core.php
- /manager/config.core.php
- Tabelul mod__workspaces din baza de date site. Cel mai corect - reporniți instalarea site-ului, ca și în cazul actualizării sau transferului, pentru a vă asigura că totul funcționează corect.
conectori
La fel ca și cu administratorul, redenumiți folderul în ceva neinteligibil și editați core / config / config.inc.php:
Din nou, ca și panoul de administrare, acest dosar poate fi localizat pe un alt domeniu.
Și ce să fac acum cu asta?
Editați pagina de conectare
În mod ideal, ar fi frumos să transformăm pagina de intrare astfel încât să nu fie evident că era MODX. Cel puțin eliminați țipătul despre acest logo și drepturile de autor. Cum să lucrați cu temele din zona de administrare, citiți aici.
Modificarea prefixelor tabelei bazei de date
Cel mai bine este să faceți acest lucru cu instalarea inițială, dar nu este niciodată prea târziu. A refuza modx_ implicit în favoarea prefixului personalizat este utilă, deoarece acest lucru va face mai dificil pentru un hacker care a avut cumva posibilitatea de a face injecții SQL în baza de date.
Nu utilizați numele administratorului
Strângeți lățimea de bandă
Configurarea paginii 404
Insistați pe SFTP
Precepția principală a acestei secțiuni este: "NU UTILIZAȚI NICIODATĂ FTP. "Dacă serverul dvs. nu acceptă SFTP, găsiți altă hosting. Chiar și serverele partajate au în majoritate certificate comune pentru acces securizat.
Instalați certificatul SSL pentru admin
Transmiterea autentificărilor și parolelor într-o formă necriptată nu este înțeleaptă - orice hacker novice le poate intercepta. Dacă securitatea este o prioritate, trebuie să accesați întotdeauna consola de administrare MODX utilizând protocolul https sigur.
Utilizarea unui certificat generic
Utilizând un certificat auto-semnat
Instalarea unui certificat de încredere
Dacă avertismentele browserului sunt inacceptabile pentru dvs. sau pentru clientul dvs., atunci va trebui să plătiți. Prețurile pentru certificate variază doar până la punctul de absurditate. dar diferența practică este greu de observat, deci nu cumpărați primul - căutați o ofertă bună. Iată câteva linkuri pentru pornire:- thawte
- EV
- Verisign
- SSL pozitiv
- GeoTrust
- Comodo
Dvs. generați un fișier .crt sau îl cumpărați - într-un fel sau altul, un vis devine realitate - conexiunea dvs. este criptată. Acum, site-ul dvs. poate fi deschis utilizând un protocol securizat. Rămâne să faceți acest lucru obligatoriu pentru admin.
O conexiune SSL forțată pentru zona de administrare
Monitorizarea serverului și a serverului
După pomparea sistemului de securitate al site-ului și al serverului dvs., nu uitați de monitorizarea lor regulată. Există câteva servicii gratuite pe această temă. De exemplu, pot urmări modificările anumitor fișiere și le pot raporta. La urma urmei, dacă, să zicem, dintr-o dată pe site-ul dvs. fișierul index.php a fost editat, cel mai probabil înseamnă că altcineva a făcut-o și a fost unkind.
Excelent! Multe mulțumiri pentru traducere, luna trecută, am făcut toate operațiile cu privire la instrucțiunile în limba engleză, apoi au existat torturi.
Acum a apărut o nouă întrebare. Cum se actualizează instalarea "hardened" a modx. Așa că am schimbat toate căile, numite Asset și Manager cu nume diferite, am redat nucleul pentru rădăcina site-ului în public_html și am văzut apoi că versiunea de modx 2.4.3 a fost lansată. Cum se actualizează în mod corespunzător cu toate aceste noi modalități?
Alegeți actualizarea sistemului fără modificări, totul a mers bine. Au fost mici probleme pe site, au fost curățate dosarul cache din interiorul miezului și totul a devenit excelent. Evident, trebuie să faceți acest lucru înainte de a actualiza sistemul))
Apoi a trebuit să șterg manual toate folderele inutile de pe găzduire. Acum eu sunt proprietarul norocos al modx 2.4.3 pl
Sper că, dacă se va întâmpla ceva rău, experții vor corecta
De asemenea, apropo, m-am gândit cum să actualizăm mai târziu folderele redenumite)
Ce nu sunt de acord cu asta este fraza:
apoi ați transferat conținutul tuturor dosarelor redenumite la textul corespunzător. După cum se pare, ați transferat conținutul din folderele redenumite la cele noi originale. Și, după descriere, dimpotrivă, de la cele noi descărcate la cele redenumite.
active -> new_assets, conectori -> new_connectors, etc. Cum să faci ceea ce trebuie în cele din urmă?
Conținutul folderelor din noua distribuție în folderele redenumite.
active -> new_assets, conectori -> new_connectors, etc. Adică, conținut nou în dosarele vechi (redenumite).
Și încă o dată clarifica, eu nu sunt deosebit în dezvoltarea și toate aceste server de afaceri, site-ul până la mai mult de încercare de lucru, astfel încât nimic mai mult, nu este deosebit de riscant. Nu uitați să creați copii de siguranță înainte de actualizare,
Dar pe panoul principal MODX Revo 2.43 există un astfel de mesaj:
În setările de sistem există erori:
Directorul kernel-ului este disponibil public
MODX a descoperit că directorul principal (parțial) este disponibil public. Acest lucru nu este recomandat din motive de securitate. Dacă instalarea dvs. MODX rulează pe serverul web Apache, ar trebui să configurați cel puțin fișierul .htaccess în directorul fișierelor kernel: /home/r/youruser/mysite.ru/public_html/core/. Acest lucru se poate face ușor prin redenumirea fișierului ht.access deja existent în .htaccess.
Fișierul a fost redenumit, dar mesajul a rămas.
Cum se configurează .htaccess și nu se transferă kernelul în afara directorului web rădăcină pentru a ascunde nucleul de accesul deschis?
Iată conținutul fișierului /home/r/youruser/mysite.ru/public_html/core/.htaccess:
În primul rând, puteți elimina cu siguranță al doilea și al cincilea rând. Și în al doilea rând, în cazul în care găzduiesc fișiere statice prin Nginx ar putea sunt date, atunci eroarea nu merge nicăieri, t. Pentru a. Nginx ar putea lucra cu htaccess. Verificați fișierul changelog.txt, dacă este trimis la 403 sau 404, apoi toate regulile, punctajul pe mesaj.
Vă mulțumim pentru răspuns!
A doua și a cincea linie sunt șterse, dar fișierul changelog.txt continuă să se deschidă ...
Oameni buni ajuta te rog - ce se intelege prin - "edita configii" ??
Cum se face? După cum înțeleg, este necesar să schimbăm modul, dar cum să procedăm corect?
Sunt interesat în mod special de "tabelul modx_workspaces în baza de date a site-ului".
Pentru că am schimbat căile, dar se pare că este greșit deoarece acum secțiunea / / manager / nu funcționează
Problemă - pagina HTTP ERROR 500 nu funcționează
"Când folderul este mutat, trebuie să editați config-urile:
core / config / config.inc.php (variabila $ modx_core_path)
/config.core.php (la radacina site-ului)
/connectors/config.core.php
/manager/config.core.php
Tabelul mod__workspaces din baza de date a site-ului. "
Acest lucru se aplică transferului dosarului principal. Cel mai bine nu-l atingeți, dacă există probleme cu editarea fișierelor.
Trimiteți-le prietenilor: