Люди думають, що безпека - це іменник, щось, що можна купити. Насправді ж безпека - це абстрактне поняття, як щастя.
James Gosling
Розробники MODX Revolution постійно ведуть роботу над поліпшенням безпеки створюваної ними системи. Проте, з боку творця сайту теж повинні бути прикладені певні зусилля, щоб безпеку сайту залишалася на належному рівні.
Незважаючи на те, що ніхто не може гарантувати абсолютного захисту, в наших силах ускладнити зловмисникам завдання по ускладнення вашому житті. І в цій статті я розповім про простих, але ефективних способах захистити свій сайт.
1 Переміщення ядра
Починаючи з версії 2.4 MODX виводить на головній сторінці панелі попередження, якщо каталог ядра знаходиться у відкритому доступі. Незважаючи на це, дана порада є актуальним для будь-якого веб-проекту - ядро програми повинно розташовуватися в максимально недоступному для зловмисників місці.
Чим загрожує розташування каталогу ядра в доступному місці?
У цьому каталозі можна побачити файли index.php. htaccess, config.core.php і каталоги assets, connectors, core.
Як бачимо, ядро MODX лежить тут:
Проблема в тому, що каталог core знаходиться на одному рівні з файлами, доступними звичайним відвідувачам сайту. Найпростіший варіант вирішення проблеми - перенесення каталогу з ядром MODX вище по дереву файлової системи. Зробити це найпростіше по SSH або за допомогою файлового менеджера, що надається хостингом або панеллю керування начебто ISP Manager. Отже, після переміщення каталогу ядра його новим розташуванням буде наступний шлях:
Важливо після даних маніпуляцій оновити файли конфігурації MODX, вказавши в них новий шлях до ядра MODX. Список файлів наступний:
- config.core.php
- connectors / config.inc.php
- core / config / config.inc.php
- manager / config.inc.php
Якраз нещодавно я випадково натрапив з даною проблемою на одному сайті, який працював на якийсь CMS (якщо це творіння взагалі можна назвати CMS), написаної на колінах під час концерту Стаса Михайлова.
3 Обновляйте доповнення
Навіть якщо функціонал поточних версій доповнень повністю влаштовує, це ще не означає, що немає причин для оновлень. Як відомо, нові версії ПЗ несуть з собою не тільки нові можливості, але і різні виправлення помилок (хоча нові помилки теж зазвичай йдуть в комплекті).
4 Обновляйте MODX
Як я вже писав вище, розробники MODX постійно працюють над забезпеченням безпеки MODX, тому рекомендується періодично оновлювати MODX до останнього стабільного випуску.
5 Розділяй і володарюй
Якщо над сайтом працює кілька людей, то вкрай рекомендується налаштувати для кожного користувача мінімально необхідні права доступу. Адже немає ніякого сенсу в тому, щоб контент-менеджер мав доступ до налаштувань системи або сніпетів з чанка.
Навіть якщо у контент-менеджера не зачешутся ручки, щоб длубатися в роботі системи, може з'явитися зловмисник, який, скориставшись некомпетентністю користувача, зможе перехопити доступ в адмінку. Це особливо актуально, якщо робота з сайтом ведеться через незахищене з'єднання, внаслідок чого логін і пароль передається по мережі у відкритому вигляді. Для зменшення ризику перехоплення пароля рекомендується придбати і встановити SSL-сертифікат, тоді все запити будуть передаватися в зашифрованому вигляді.
Безпечний сайт - це добре.