На етапі інсталяції системи
1) Обов'язково міняйте префікси таблиць бази даних (advanced дистрибутив MODX), це створить проблем хакеру використовує SQLi.
За замовчуванням при установці MODX префікс вказано: modx_ - міняйте його на що-небудь персональне, наприклад:
Тому, що коли через слабозащіщённие модулі приймають інформацію, що вводиться користувачем вам будуть пхати SQL ін'єкції, в першу чергу будуть довбати в modx_users
2) переобумовленої шлях до папок:
Опція перевизначення шляхів є в дистрибутиві MODX типу advanced, в traditional такої опції немає. Це саме ті місця, де хакери будуть шукати вразливі скрипти і будуть намагатися звертатися до них безпосередньо. Велику небезпеку становить навіть не папка / manager /, а / connectors /.
На вже діючій системі
Вміст файлу .htaccess тривіально (Гугл надійно).
Відповідно буде захищено все, що лежить в одній папці з цим файлом і глибше. Такий файлик можна спокійно класти в / manager /, / connectors / і / core /. Хіба що персонально для / core / можна заборонити пряме звернення до php файлів, додавши:
цей захід абсолютно не завадить як "перестрахуватися".
Але якщо Ви часто звертаєтеся до адмінки свого сайту з різних місць, їздите з ноутбуком по клієнтам, конференцій, то завдання можна ускладнити. Давати доступ або по IP або по базовій аутентифікації через .htpasswd
У цього підходу дві сторони медалі.
Плюси. Ви отримуєте необхідну мобільність. Додатковий пароль не треба вводити в місцях, ip яких ви внесли в дозволені.
Мінуси. У зловмисника віддаленого від вас - все таки залишається можливість підібрати пароль і отримати доступ до ваших "інтимних місць"
генерація htpasswd
Якщо у Вас є ssh-доступ на сервер (доступ до командного рядка сервера), то Ви можете скористатися утилітою htpasswd. Синтаксис команди такий:
Після введення команди буде запропоновано ввести відповідний пароль і прохання його повторити. В результаті буде створений новий файл .htpasswd або ж доповнений старий, що містить логін і зашифрований пароль. Якщо Ви хочете додати нових користувачів, то слід запустити команду з ключем:
В результаті в існуючий файл з паролями буде додано новий рядок з ім'ям користувача і паролем.
Якщо у Вас немає доступу по ssh. а ймовірно тільки по ftp, то для генерації файлу htpasswdможно скористатися будь-яким онлайн генератором, наприклад htaccesstools
загальні поради
Вивчіть систему управління правами доступу MODX. Давайте контент-менеджерам прав рівно стільки, скільки їм потрібно, не більше, з часом якщо знадобиться - додасте.