Как защитить админ панель в DLE
Полезное в интернете

Наши партнёры

Опросы
Вам нравится сайт?
Ваша реклама
Навигация по сайту
Joomla раздел
Реклама вов

Чат
File engine/modules/iChat/show.php not found.
Кто на сайте
File engine/modules/whoonline.php not found.
Календарь
«    Сентябрь 2017    »
ПнВтСрЧтПтСбВс
 123
45678910
11121314151617
18192021222324
252627282930 
Интересное в рунете
Добавлено: 3-02-2012, 10:37
Категория: Защита dle
Как защитить админ панель в DLE

Здравствуйте уважаемые посетители сайта dle-shablons.ru. Многие мне пишут на почту с просьбами объяснить те или иные моменты в DLE движке. С сегодняшнего дня, я открываю новый раздел на сайте, где вы сможете почитать полезные статьи, каcаемые DataLife Engine CMS.

В данной статье пойдет речь о безопасности DLE. Очень часто одна даже небольшая ошибка в кодах скрипта может создать огромную проблему для всего ресурса. На самом деле не существует идеальной системы для управления содержимым. Предугадать когда, что и где собьется в работе можно не всегда, ведь разработчик это не машина по набору кода. Именно по этой причине вам лучше самостоятельно установить дополнительную защиту, используя какой угодно скрипт. Только так можно избежать серьезных последствий после подбора пароля или взлома.

Панель администратора – это не только центр управления, это также и сердце ресурса. Поэтому чтобы обеспечить максимальную защиту от постороннего вторжения для сердца, внимательно ознакомьтесь с данной статьей и последуйте ее советам.

Появление так называемых «дыр» в кодах можно объяснить некачественной проверкой запроса к данным. Например, можно встретить существенную проблему из-за недостаточного фильтрования всех входящих данных. Иными словами любой посетитель имеет возможность загрузить программу-трояна на сервер, которая в течение небольшого времени передаст ему данные, а именно логин и пароль, от вашей админпанели.

Чтобы защитить административную панель, а именно исключить возможность подбора пароля, воспользуйтесь двумя рекомендациями. Первая – создайте дополнительный запрос на логин и пароль. А вторая – подмените файл "admin.php" на псевдо панель.

Для осуществления первого варианта нужно в документ "admin.php" вставить дополнительный код. Открыв файл, найдите строки:

================================================== ===
Файл: admin.php
-----------------------------------------------------
Назначение: админпанель
================================================== ===
*/


И после них вставьте такой код:

$login="yaca";
$password="698d51a19d8a121ce581499d7b701668";
if (!isset($_SERVER['PHP_AUTH_USER']) || $_SERVER['PHP_AUTH_USER']!==$login || md5($_SERVER['PHP_AUTH_PW'])!==$password) {'
header('WWW-Authenticate: Basic realm="Admin Panel by KinD"');
header('HTTP/1.0 401 Unauthorized');
exit("Пошел вон отсюда Хакер-школоло");'}


обозначения:
"$login="yaca" – ваш логин, который может быть любым;
"$password="698d51a19d8a121ce581499d7b701668" – второй пароль, зашифрованный функцией md5. Шифровка осуществляется односторонне и обратно расшифровать нельзя. Это и есть главный козырь.

Зашифровать пароль можно на сайте www.adamek.biz/md5-generator.php. для этого введите на странице набор символов, затем нажмите "Calculate MD5", а скрипт сгенерирует новый зашифрованный пароль. Именно его и вставьте вместо "698d51a19d8a121ce581499d7b701668". А вот при входе нужно вводить не этот зашифрованный пароль, а те символы, которые вы зашифровали.

Такой код обеспечивает максимальную защиту от подбора. В случае подбора пароля к первому логину, подобрать второй очень сложно.

Второй вариант – подмена файла.

1. замените имя документа "admin.php" на любое другое, например "admin-123-456-789.php".

2. Создайте новый файл с названием "admin.php" и вставьте туда такой код:



Файл разместите в корне, там где находится документ "admin-123-456-789.php". затем найдите файл "engine/data/config.php", и поменяйте содержимое одной строки. Сейчас она выглядит так:

'admin_path' => "admin.php",

А нужно заменить часть "admin.php" на новый вариант "admin-123-456-789.php", сохраните файл. Все. Когда злоумышленник попробует подобрать пароль, он увидит пустышку, потому что страница не станет посылать запрос к базе данных, ведь это обычный документ, но очень похожий на админпанель.скачать dle 11.3

Вернуться
  • Комментарий: 1
  • Просмотров: 13 966
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

...