Отключите директиву register_globals. Для этого в файле конфигурации php.ini исправьте:
register_globals = 0
Директива register_globals – это не уязвимость РНР, просто не все разработчики умеют правильно писать код с включенной директивой register_globals.
Директива disable_functions содержит список запрещенных РНР-функций. На хорошо защищенном хостинге этот список выглядит так:
disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open
Внесите необходимые исправления в файл php.ini.
Отключите директивы safe_mode и allow_url_fopen:
safe_mode = 0
allow_url_fopen = 0
Права доступа к файлам и папкам сайта.
Установите к файлу конфигурации configuration.php права доступа всем только на чтение (код доступа 444 для Linux-подобных операционных систем). При этом придется каждый раз на время правки сайта возвращать право на изменение, затем снова убирать.
На остальные файлы и папки установите право на изменение только администратору, всем остальным – только чтение (значение 644 для файлов, 755 – для каталогов).
Права на изменение (значение 777) для всех установите только на следующие каталоги:
|
|
· administrator/backups/
· cache/
· images/
· images/banners/
· images/stories/
Всё это нужно сделать уже после того, как настроили сайт и установили все необходимые расширения. Желательно также защитить каталог admin istrator паролем средствами управления хостингом.
Доступ к панели управления с определенных IP-адресов.
Скорее всего, вы управляете сайтом с одного-двух компьютеров, например, с рабочего и с домашнего. IP-адреса этих компьютеров и следует считать разрешенными, доступ со всех остальных адресов к панели управления нелегален.
В каталоге сайта administrator создайте файл. htaccess и добавьте кодследующего содержания:
<Limit GET>
Order Deny, Allow
Deny from all
Allow from 91.91.91.91, 91.91.91.92
</Limit>
Здесь устанавливается доступ к каталогу administrator только с IP-адресов 91.91.91.91 и 91.91.91.92 (впишите свои реальные IP-адреса).
Если на определенное время (например, отпуск) необходимо полностью исключить доступ к панели управления сайтом, откройте файл .htaccess и измените его так:
<Limit GET>
Order Deny, Allow
Deny from all
</Limit>
Когда «отпуск» закончится, следует вернуть исходную версию файла .htaccess.
В адресную строку браузера введите: http://www/components/
Вы должны увидеть сообщение, что доступ запрещен. Если сервер выдал список файлов и каталогов, значит, он настроен неправильно. Нужно отключить опцию Indexes, о чем следует уведомить администратора хостинга.