JXTC GENRE : DECEMBER 08 TEMPLATE

В данной статье мы хотели бы поведать вам о том, как можно поднять безопасность ваших сайтов. Наибольшую опасность для сайтов представляют PHP шеллы, удаленно залитые злоумышленниками на ваш сервер.

Что же это? Это некие PHP скрипты, которые могут запускаться на вашем сервере. Это позволит злоумышленникам произвести какие-либо изменения в файлах доступных для записи, или к примеру могут извлечь содержание конфигов, что даст им прямой доступ к БД вашего сайта. Как же такие файлы могут попасть на ваш сервер? Злоумышленники пытаются обнаружить уязвимости скрипта, или в сторонних модулях и других уязвимых сторонних скрипта или серверного программного обеспечения.

Специфика таких шеллов заключается в том, что их можно заливать только в папки, доступные для записи, в случае с DLE это папки /templates/ и /uploads/ и все остальные вложенные в них папки. В этих папках должны быть установлены права на запись, т.к. в них вы и заливаете через скрипт легальный контент, картинки, файлы, производите редактирование шаблонов и т.п. В основном именно в эти папки и заливаются шеллы, когда обнаруживается дыра в скриптах на самом сервере, который никак не связан с DataLife Engine. Как же защитить данные папки от подобных шеллов, если нельзя запретить к ним доступ? Все довольно таки просто.

Итак, первым делов вам потребуеться закинуть в папки /templates/ и /uploads/ файл .htaccess имеющий следующее содержание:

php_flag engine  off

Эта строка отключит использование PHP интерпретатора, если будут запрашиваться файлы PHP, находящиеся в данных, и во всех остальных, вложенных в них папках. В таком случае, даже если в эти папки будут залиты вредоносные PHP файлы, они будут совершенно неработоспособными, т.к. они не будут запускаться и выполняться вашим сервером.

Единственный момент, который необходимо учесть при этом – это настройки вашего хостинга. Далеко не все из них дают возможность управлять посредством файла .htaccess этим параметром. Но и для таких случаев у нас есть решение. В случае если на вашем сервере не работает вышеприведенный способ, вам будет нужно разместить файл .htaccess со следующим содержимым:

<FilesMatch "\.(php|php3|php4|php5|php6|phtml|phps)$|^$">
Order allow,deny
Deny from all
</FilesMatch>

Этот код запретит прямое обращение к файлам PHP, которые находятся в папках с файлом .htaccess.

Собстенно это и все что вам нужно будет сделать, чтобы повысить уровень безопасности вашего сайта, даже если на нем присутствуют серьезные уязвимости в сторонних скриптах и модулях.