.htaccess оптимальные настройки, хочу спросить у профессионалов, что лишнее и что нужно добавить?

Тема в разделе "Вопросы безопасности", создана пользователем pastushok, 22.10.2009.

  1. pastushok
    Offline

    pastushok Недавно здесь

    Регистрация:
    22.09.2009
    Сообщения:
    10
    Симпатии:
    2
    Пол:
    Мужской
    читаю много статей о безопасности, т.к. сайт ломали уже два раза, знаю кто ломает ну раз ему интересно, пусть продолжает, я же хочу все таки на сколько можно укрепить свою защиту сайта, вот прописал в .htaccess следующее:

    php_flag register_globals off
    php_value safe_mode 0
    php_value allow_url_fopen 0
    CharsetRecodeMultipartForms off
    redirect /scripts http://www.microsoft.com
    redirect /_vti_bin http://www.microsoft.com
    redirect /MSADC http://www.microsoft.com
    redirect /_mem_bin http://www.microsoft.com
    redirect /msadc http://www.microsoft.com
    RedirectMatch (.*)\cmd.exe$ http://www.microsoft.com$1
    RewriteCond %{HTTP_REFERER} http://www.xakers.ru
    RewriteRule ^/hack.html$ /von.html [L]
    ErrorDocument 403 /errors/error.php?403
    ErrorDocument 404 /errors/error.php?404
    ErrorDocument 500 /errors/error.php?500
    RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
    RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
    RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
    RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
    RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
    RewriteRule ^(.*)$ index.php [F,L]
    Options -Indexes

    но в каждой новой статье есть новые прописи в данном файле, не знаю насколько нагрузку теперь дает
    на сервер этот фаил, вот хочу узнать от опытных программистов, что то можно еще оптимальное добавить для защиты и какие строки убрать из за нагрузки большой?

    разумеется в папке administrator свой .htaccess, но там все намного проще :

    Order Deny,Allow
    Deny from all
    Allow from 000.000.000.000. - вместо нулей мой IP
    ErrorDocument 403 /errors/error.php?403
    ErrorDocument 404 /errors/error.php?404
    ErrorDocument 500 /errors/error.php?500
     
  2.  
  3. OlegM
    Offline

    OlegM Russian Joomla! Team Команда форума

    Регистрация:
    12.04.2007
    Сообщения:
    4 356
    Симпатии:
    370
    Пол:
    Мужской
    Джумла то какая? htaccess не панацея, если не знаешь как ломают.

    У тебя нет строк
    Код (CODE):
    1. php_value display_errors 0
    2. php_value file_uploads 1
    3. php_value magic_quotes_gpc 1
    4. php_value magic_quotes_runtime 0
    5.  
    6. RewriteEngine On


    А зачем в админке ErrorDocument? Лишнее.
    CharsetRecodeMultipartForms off - эта древность (русский апач) где-то еще используется что ли? Также у тебя много других древних строк

    А в Joomla 1.5 для защиты и SEF такие строки
    Код (CODE):
    1. # Block out any script trying to set a mosConfig value through the URL
    2. RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
    3. # Block out any script trying to base64_encode crap to send via URL
    4. RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
    5. # Block out any script that includes a <script> tag in URL
    6. RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
    7. # Block out any script trying to set a PHP GLOBALS variable via URL
    8. RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
    9. # Block out any script trying to modify a _REQUEST variable via URL
    10. RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
    11. # Send all blocked request to homepage with 403 Forbidden error!
    12. RewriteRule ^(.*)$ index.php [F,L]
    13.  
    14. RewriteCond %{REQUEST_FILENAME} !-f
    15. RewriteCond %{REQUEST_FILENAME} !-d
    16. RewriteCond %{REQUEST_URI} !^/index.php
    17. RewriteCond %{REQUEST_URI} (/|\.php|\.html|\.htm|\.feed|\.pdf|\.raw|/[^.]*)$  [NC]
    18. RewriteRule (.*) index.php
    19. RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},L]


    В первую очередь читай раздел security на docs.joomla.org, а потом уже всякие мутные статьи. Прежде чем писать в htaccess всякую хрень, надо понять, пригодится ли оно. Если конечно ты не пишешь универсальный файл.
     
  4. pastushok
    Offline

    pastushok Недавно здесь

    Регистрация:
    22.09.2009
    Сообщения:
    10
    Симпатии:
    2
    Пол:
    Мужской
    sourpuss, спасибо, да я перешел на 1.5.14 ... последую вашему совету, читаю все здесь и переписываю свой : .htaccess , да я вот и догадывался что читал и старые статьи и копировал коды, потом уже думал ведь выходили новые версии джумлы, в самом движке дыры закрывались , вот и создалось мнение что тут много лишнего, а стоящее надо дописать, а вот на счет как он ломает интересно узнать (( я поспешил все удалил с сервера и по новой залил, а хотя можно было посмотреть измения в файлах, какого числа и т.д. ну зато уже научился делать бекап )) что раньше мне казалось что то сверх естественное, а теперь будет ломать всегда могу перезалить готовенький сайтик вместе с базами.. плохо что он пользуется Mask Surf pro меняет свои ip постоянно и в логах не уследишь за всеми ip, конечно я еще не дошел до этого , ну буду читать дальше, хочу узнать как он ломает , через расширение , через сам движок, может все таки он нашел новую дыру, или хост у меня такой (( т.к. ломая первый сайт, ломает сразу все другии там пользователь базы данных другой, даже сайт который полностью был в .htaccess только для моего ip он его легко ломанул .. ну уже после когда сломал первый, там была версия еще 1.5.0 еще сборка не русскоязычная)) тот сайт у меня только был для галлереи и все ... вот он ее ломанул а потом уже все остальное.. ну ок я буду его снова ждать, он наверняка и на этом форуме тоже зарегестрирован, могу ему спасибо только сказать , он мне какойто стимул поднял к учебе, ведь глупее колеги по работе не хочется быть ( точнее бывшем колеги по работе) ну у него пока куча приимуществ у него больше опыта , он занимается этим давно, я новичок .. но когда есть сильный интерес быстро опыт набирается, я допустим знаю что за этот месяц больше о джумле узнал чем за 4 года, когда я поставил движок поменял шаблон и типо на этом готово.. а тут нужен другой подход... хочу изучать все html, css , php, mysql и тому подобное ..
    очень заинтересовало это дело... вот..
     

Поделиться этой страницей

Загрузка...