Можно ли изменить адрес входа в Админку вместо site.ru/admin на свой адрес как в Wordpress??
По уровню безопасности (взломы, атаки на сайт и тп.) Maxsite уступает или превосходит Wordpress??
Как можно защитить Maxsite от взлома и атак??
18 4120
Еще записи по теме
- Плагин онлайн теста на сайт
- Подсветка кода в редакторе контента
- Как сделать вывод html/php в тексте статьи с помощью ушки?
- Почему не происходит прикрепление jpg-файла в контактной форме?
- Как сделать вывод рандомного заголовка?
- Вывод блоков записей в шаблоне - что сделано не так?
- Как добавить кнопки соц сетей от UptoLike?
Такое невозможно. Хотя... когда-то говорили, что и своё ЧПУ невозможно, а нет же, сделали. Думаю, что можно было бы сделать плагин admin-ЧПУ. Но вот вопрос - надо ли? Ведь можно просто запретить доступ по IP к админке и менять больше ничего не нужно.
Пока особых дыр в движке не нашли (может и нашли, но сообщений об этом пока не поступало). Если не ставить дырявые плагины, то можно считать сайт в безопасности. Конечно, во многом безопасность движка связана с тем, что им пользуются меньше людей, чем WP. Там просто выгоднее эксплуатировать дыры в плагинах.
Давеча вычищал с клиентского WP очередной "подарок" хакеров и не сказал бы, что WP прям пример для подражания в плане безопасности. Как по мне, большинство его "фич" безопасности появились в результате очередных взломов из-за корявой архитектуры приложения. Нужно ли всё это в максайте - большой вопрос.
Ограничьте доступ к админке по IP и большинство вопросов отпадут сами собой. Если назовёте конкретные виды атак, которые вас беспокоят, то можно будет подумать что с этим делать.
На "детских" уровнях DDOS-атаки движок вполне справляется сам (конечно многое зависит от качества и продуманности разработки шаблона), например, за счёт включения глобального кеширования.
Однако, при повышении объёма атаки даже полный переход на статичную версию сайта не поможет. Даже фильтрация атакующих пакетов на уровне сервера не помогает.
На моей практике была такая атака клиентского сайта, которую удалось пережить только за счёт переезда "в облако". Правда стоило это клиенту несколько месячных доходов. Как вы понимаете, в такой ситуации о движке уже речи не было.
Ещё в самом начале существования движка было несколько неприятных ситуаций, после которых Максим доработал движок должным образом и теперь про проблемы с xss-атаками давно не слышно. Хотя стоит заметить, что часть ответственности за безопасность лежит на шаблоне, а точнее на разработчике шаблона - при желании или кривых руках можно поломать даже самое надёжное изделие...
Меняете в файле /application/controllers/maxsite.php
75 строку
elseif ($method == 'admin') $this->_view_i('admin', 'admin');
на
elseif ($method == 'что вам больше нравится') $this->_view_i('admin', 'admin');
и правите ссылки на админ-страницу в шаблонах поиском с заменой
Геморно, но можно
Валерий, спасибо за подсказку - действительно так можно сделать. Вот только нужно предупреждать коллег, что такой метод сопряжён со сложностями во время обновления движка. Т.е. про автоматическое обновление можно забыть, ибо операцию правки нужно будет повторять после каждого обновления.
Макс ЦМС действительно крутой движок, в нём есть и защита от спамеров, и защита по IP, единственно слабым местом, с которым я столкнулся, это логин admin и пароль 12345678, я сестре сделал сайт (поэтому такой слабый пароль), а недавно обнаружилось, что кто-то влез внутрь и вычистил все статьи. слава богу, что их было немного и можно написать их заново. Про бекапы мы знаем, но делать их мы, конечно, не будем.
Ещё у меня ОЧЧень любопытный вопрос возникает, откуда спамеры узнают о сайте на макс цмс, узнают довольно оперативно и начинают атаковать в основном английской рекламой и постоянно выдумывают новую рекламу. Я в стоп-список постоянно что-то вношу новое, уже нельзя в комментах писать про доллары, сайты и другие обычные слова, коммент не опубликуется.
И у меня подозрение, что это или плагин какой-то сдаёт инфу спамерам, или есть какое-то слабое место, мб футер, мб стоит там ставить nofollow.
Спасибо за ответы.
Narcoman, в комментариях спам, как я понимаю?
PS nofollow рассчитан на честные ресурсы. Вы же надеетесь уговорить хулиганов )))
да, в комментариях, фильтры, конечно, успешно сдерживают натиск, но сам вопрос интересен, откуда они берутся на маленьком сайте.
Stahlwerk, у спамеров давно работаю роботы, которые ищут html-формы (тут движок не важен) и пытаются их проспамить. Я иногда такие чудеса заполнения форм наблюдаю, что только такая версия и приходит в голову.
Часто регистрируется комьюзер с ником 12 и в поле сайт чем-то вроде копиватчес.
Не пойму как отлавливать ник комьюзера средствами maxsite.
За регистрацию отвечает mso_comuser_auth, но там нет никакого хука, обрабатывающего массив данных нового комьюзера.
Если не обновлять движок до новой версии - уязвимости будут??
Андрей, если он с одного айпи или диапазона, просто бань по айпи и всё
Алишер, например, на 0,86 всё пока безопасно, обновления не были связаны с критическими уязвимостями, только улучшения и удобство)
Комюзер не оставляет комментариев - негде взять ip.
Можно еще по email определить - там в адресе сайт "сто шестьдесят три . ком"
Скажите, а что с защитой админки от брутфорса? Для WP когда-то встречал плагин, который при 3-х кратном неправильном вводе пароля выбрасывает под формой ввода дополнительно капчу. Можно что-то подобное реализовать для MaxSite?
Александр Абрамович, готового плагина нет, но при желании, конечно, можно сделать такое.
Какие плагины дырявые и содержат уязвимость??