Уважаемые друзья!
Хотелось бы написать одну очень полезную статью, но не знаю с чего начать ... Начнем пожалуй с того, что я хочу рассказать вам безопасности скрипта и ваших сайтов, точнее о том как ее можно сделать максимально эффективной. Не все в полной мере владеют информацией о всех настройках скрипта и о том как их применять наиболее эффективо. Речь в этой статье пойдет о версии 5.3, так как именно в ней реализован полный спектр инструментов, исключающих манипуляцию с вашим сайтом.
Итак, помимо того в скрипте существуют пассивная система безопасности, котороя контролирует и фильтрует входящие данные, поступающие на сервер, в скрипте также заложены и элементы активной системы безопастности, уровень которых вы можете настроить с скрипте. Редактирование настроек безопасности находится в админпанеле Настройка системы -> Настройки безопасности скрипта
В первом пункте вы можете настроить Метод авторизации в админпанели, существует два типа авторизации: Стандартный и Расширенный. К работе стандартного режима вы уже все привыкли, вам достаточно авторизоваться где угодно на сайте и впоследствии вход в админпанель происходит автоматически с вашего компьютера. Расширенный метод полностью запрещает неавторизованный доступ к странице admin.php, до тех пор пока вы не введете логин и пароль, которые будут действительны на протяжении всей сессии, после закрытия браузера и повторного входа в админпанель, вам понадобится еще раз вводить свой логин и пароль. Для авторизации в админпанеле используется HTTP аутентификация, что очень надежно и позволяет вводит логин и пароль достаточно просто, либо просто одним шелчком мышки, если пароль сохранен в браузере. Данный расширенный метод исключает вход в вашу админпанель в случае если злоумышленником были украдены cookies с вашего копьютера.
Следующим пунктом в настройках идет Контроль изменения IP адреса, данная настройка позволяет контролировать изменился ли IP пользователя с момента его последней авторизации на сайте, если он изменился, то автоматическая авторизиция отключается и пользователю повторно необходимо ввести свой логин и пароль. Подождите, скажете вы, но есть же расширенный метод авторизации, зачем нужна эта настрока? Поясняю расширенный метод авторизации контролирует только админпанель, а контроль изменения IP адреса контролирует весь ваш сайт, сбрасывая авторизацию и непосредственно на сайте. При установке среднего уровня контроля, скрипт будет отслеживать только посетителей, которые имеют расширенные привилегии и имеют доступ к админпанели, высокий уровень контроля будет отслеживать всех зарегистрированных посетителей, независимо от их привилегий на сайте. Включение данной настройки, также делает бессмысленным кражу ваших куков, они не смогут работать на другом компьютере.
Следующей настройкой является Сброс ключа авторизации при каждом входе, в случае если вы включаете данную настройку, то при каждой успешной авторизации пользователя на сайте, скрипт будет генерировать уникальный ключ, и при авторизации на другом компьютере будет использовать уже другой уникальный ключ, тем самым более ранная авторизация на первом комьютере, становиться автоматически недействительной и работать больше не будет. Например вы зашли на свой сайт на чужом комьютере и впоследствии просто забыли сделать выход на своем сайте, вам достаточно зайти на свой сайт на другом комьютере, как оставленная вами авторизация у друга или в интернет кафе, станет автоматически недействительной.
Иногда случаются совсем критические случаи, одним из таких случаев является, то что злоумышленник элементарно знает ваш пароль, и казалось бы что против такого лома нет приема, но DataLife Engine способен с легкостью защитить вас и казалось бы такой критической ситуации. Вы можете установить разрешение на использование вашего логина только с определенного IP адреса или подсети. Для это вам достаточно зайти в ваш профиль на сайте и установить Блокировку по IP. Вы можете задать как ваш полный IP адрес, так и частичный. Например большинство людей имеет динамический IP адрес, который меняется при каждом входе в интернет. Но как правило провайдер обладает только определенным диапазоном IP адресов и первые цифры у него одинаковы всегда, и в вашем IP адресе меняются только последние две цифры. Например если вы устанавливаете блокировку по IP на адрес 203.158.*.* тем самым вы блокируете вход на ваш сайт если для выхода в интернет используется не ваш интернет провайдер. Диапазон ваших динамических адресов, вы можете узнать, осуществив несколько раз выход в интернет и посмотрев как изменился ваш адрес, либо просто уточнив этот момент у вашего интернет провайдера. В случае если у вас стоит блокировка по IP, вам нужно получить доступ к сайту совсем с другого места, то вам необходимо запросить восстановление пароля на E-mail, после подтверждения будет сброшен не только пароль, но и блокировка по IP адресу.
Итак подводя итоги данной статьи мы хотим порекомендовать вам использование следующих пунктов и настроек:
1. Метод авторизации в админпанели: Расширенный метод
2. Контроль изменения IP адреса: Средний
3. Установка блокировки по IP
4. Не использование украденных копий скрипта, иначе все статьи и рекомендации по безопасности становятся бесмысленными, 99% процентов взломанных копий скрипта несут в себе потайные входы на ваш сайт со стороны злоумышленников, причем это не наш призыв к покупке скрипта, а печальный анализ пиратских версий, это ведь сказывается на нашей репутации. Если нет возможности купить и пользоваться легальной копией, лучше отказаться от использования данной CMS, я не хочу выслушивать обвинения по небезопасности скрипта.
С уважением,
SoftNews Media Group
январь
19
2007
Комментарии