Существует ряд стандартных мер применяемых для повышения защищенности систем управления содержимым сайта (CMS), рекомендованных для выполнения сразу после инсталляции.
- Уникальные ключи и соли для аутентификации. - Смените значение каждой константы на уникальную фразу. - Можно сгенирировать их с помощью {@link https://api.wordpress.org/secret-key/1.1/salt/ сервиса ключей на WordPress.org} - Можно изменить их, чтобы сделать существующие файлы cookies недействительными - Пользователям потребуется снова авторизоваться. @since 2.6.0 define('AUTH_KEY', 'поместите сюда уникальный ключ'); define('SECURE_AUTH_KEY', 'поместите сюда уникальный ключ'); define('LOGGED_IN_KEY', 'поместите сюда уникальный ключ'); define('NONCE_KEY', 'поместите сюда уникальный ключ');
if (!defined('MODX_MANAGER_PATH')) { $modx_manager_path= '/home/youruser/public_html/modxadmin/'; $modx_manager_url= '/modxadmin/';
После чего обязательно произведите очистку кеша, удалив все файлы из файлы из /core/cache.
$modx_connectors_path = '/home/youruser/public_html/0therp4th/'; $modx_connectors_url = '/0therp4th/';
Для остальных, наиболее распространенных CMS, таких как Joomla или Drupal так же применимы изложенные ниже методы:
Allow from YOUR.IP.ADD.RESS
Так же следует помнить, что файл htaccess, всегда должен иметь вид .htaccess в корневой директории сайта. Перемещение файла настройки за пределы основной директории, способствует увеличению его безопасности.
К примеру в файле wp-config в WordPress в строчке $table_prefix = 'wp_'; вместо 'wp_' можно задать любой другой вариант префикса, а затем, соответственно, изменить префиксы в базе данных. Удобнее всего это делать, получив дамп базы в формате sql, а затем отредактировать в обычном текстовом редакторе, пользуясь функцией поиска и замены.
order allow,deny deny from all
А строка вида:
Options -Indexes
запретит просмотр папок через браузер.
<FilesMatch wp-login.php> Order deny,allow Allow from YOUR.IP.ADD.RESS Deny from all </FilesMatch>
<Files *.php> Deny from All </Files>
php_flag engine off.
Или же использовать оператор RemoveHandler в директориях с правами на запись, поместив в .htaccess файл строку вида:
RemoveHandler .htm .html .php .phtml .php3
find . -type f -exec chmod 640 {} \; find . -type d -exec chmod 710 {} \;