вопрос
Всем привет. Недавно наткнулся на статью о том как можно обезопасить DLE в том числе и от запуска php-скриптов, которые были залиты на сайт как картинки (недавно был массовый взлом после которого в целях безопасности в версиях DLE > 9.6 сделали так, что анимированные аватарки, загружаемые на сервер, становятся статичными) Ну и в общем суть методов:
1. В папку uploads и templates добавить файл .htaccess следующего содержания:
Таким образом мы запрещаем работу всех php файлов в этих папках.
В версии DLE 9.6 стандартно в этих папках такой код:
2. Заходим в файл engine/inc/files.php и находим там такую строку:
заменяем на:
Это изменение запрещает запуск вредоносных файлов, если они залиты через админку.
Мне интересно, кто-нибудь использовал эти методы? Насколько они работоспособны и актуальны? К сожалению на сайте, на котором расположена статья, посвящённая данным методам, отзывы отсутствуют.
1. В папку uploads и templates добавить файл .htaccess следующего содержания:
<FilesMatch "\.(php|php3|php4|php5|php6|phtml|phps)$|^$">
Order allow,deny
Deny from all
</FilesMatch>
Таким образом мы запрещаем работу всех php файлов в этих папках.
В версии DLE 9.6 стандартно в этих папках такой код:
<FilesMatch "\.([Pp][Hh][Pp]|[Cc][Gg][Ii]|[Pp][Ll]|[Ph][Hh][Tt][Mm][Ll])\.?">
Order allow,deny
Deny from all
</FilesMatch>
2. Заходим в файл engine/inc/files.php и находим там такую строку:
$allowed_files = explode( ',', strtolower( $config['files_type'] ) )
заменяем на:
$allowed_files = explode( ',', str_replace(array("php","phtml", "htaccess", "cgi", "pl", "fcgi", "fpl", "phtml", "shtml", "php2", "php3", "php4", "php5", "asp"), md5(time() - rand(30,60)), strtolower( $config['files_type'] )));
Это изменение запрещает запуск вредоносных файлов, если они залиты через админку.
Мне интересно, кто-нибудь использовал эти методы? Насколько они работоспособны и актуальны? К сожалению на сайте, на котором расположена статья, посвящённая данным методам, отзывы отсутствуют.