Безпека, безпека, безпека ….

Шановні друзі!

Хотілося б написати одну дуже корисну статтю, але не знаю з чого почати … Почнемо мабуть з того, що я хочу розповісти вам безпеки скрипта і ваших сайтів, точніше про те як її можна зробити максимально ефективною. Не всі в повній мірі володіють інформацією про всіх налаштуваннях скрипта і про те як їх застосовувати найбільш эффективо. Мова в цій статті піде про версії 5.3, так як саме в ній реалізований повний спектр інструментів, що виключають маніпуляцію з вашим сайтом.

Отже, крім того в скрипті існують пасивна система безпеки, яка контролює і фільтрує вхідні дані, що надходять на сервер, в скрипті також закладені елементи активної системи безпеки, рівень яких ви можете налаштувати з скрипті. Редагування налаштувань безпеки знаходиться в админпанеле Налаштування системи -> Налаштування безпеки скрипта

У першому пункті ви можете налаштувати Метод авторизації в адмінпанелі, існує два типи авторизації: Стандартний і Розширений. До роботи стандартного режиму ви вже всі звикли, вам достатньо авторизуватися де завгодно на сайті і згодом вхід в адмінпанель відбувається автоматично з вашого комп’ютера. Розширений метод повністю забороняє неавторизований доступ до сторінки admin.phpдо тих пір поки ви не ввели логін і пароль, які будуть дійсними протягом всієї сесії, після закриття браузера і повторного входу в адмінпанель, вам знадобиться ще раз вводити свій логін і пароль. Для авторизації админпанеле використовується HTTP аутентифікація, що дуже надійно і дозволяє вводить логін і пароль досить просто, або просто одним шелчком мишки, якщо пароль збережений у браузері. Цей розширений метод виключає вхід у вашу адмінпанель у разі якщо зловмисником були вкрадені cookies з вашого копьютера.

Наступним пунктом у налаштуваннях йде Контроль зміни IP адреси, ця настройка дозволяє контролювати змінився IP користувача з моменту його останньої авторизації на сайті, якщо він змінився, то автоматична авторизиция відключається і користувачеві необхідно повторно ввести свій логін і пароль. Почекайте, скажете ви, але ж є розширений метод авторизації, навіщо потрібна ця настрока? Пояснюю розширений метод авторизації контролює тільки адмінпанель, а контроль зміни IP адреси контролює весь ваш сайт, скидаючи авторизацію і безпосередньо на сайті. При встановленні середнього рівня контролю, скрипт буде відстежувати тільки відвідувачів, які мають розширені привілеї та мають доступ до адмінпанелі, високий рівень контролю буде відслідковувати всіх зареєстрованих відвідувачів, незалежно від їх привілеїв на сайті. Включення даної настройки, також робить безглуздим крадіжку ваших куків, вони не зможуть працювати на іншому комп’ютері.

Наступного налаштуванням є Скидання ключа авторизації при кожному вході, у разі якщо ввімкнути цей параметр, то при кожній успішної авторизації користувача на сайті, скрипт буде генерувати унікальний ключ, і при авторизації на іншому комп’ютері буде використовувати вже інший унікальний ключ, тим самим більш ранная авторизація на першому комьютере, ставати автоматично недійсною і працювати більше не буде. Наприклад ви зайшли на свій сайт на чужому комьютере і згодом просто забули зробити вихід на своєму сайті, вам достатньо зайти на свій сайт на іншому комьютере, як залишена вами авторизація у одного або в інтернет-кафе, автоматично стане недійсною.

Іноді трапляються зовсім критичні випадки, одним з таких випадків є, то що зловмисник елементарно знає ваш пароль, і здавалося б що проти такого лому немає прийому, але DataLife Engine здатний з легкістю захистити вас і здавалося б такої критичної ситуації. Ви можете встановити дозвіл на використання вашого логіна тільки з певного IP адреси або підмережі. Для цього вам достатньо зайти на ваш профіль на сайті і встановити Блокування по IP. Ви можете задати як ваш повний IP адресу, так і частковий. Наприклад, більшість людей має динамічний адресу IP, який змінюється при кожному вході в інтернет. Але, як правило, провайдер має тільки певним діапазоном IP адрес і перші цифри у нього завжди однакові, і у вашому IP адресі змінюються тільки дві останні цифри. Наприклад, якщо ви встановлюєте блокування по IP на адресу 203.158.*.* тим самим ви блокуєте вхід на сайт, якщо для виходу в інтернет використовується не ваш інтернет провайдер. Діапазон ваших динамічних адрес, ви можете дізнатися, здійснивши кілька разів вихід в інтернет і подивившись як змінився ваш адресу, або просто уточнивши цей момент у вашого інтернет провайдера. У випадку якщо у вас стоїть блокування по IP, вам потрібно отримати доступ до сайту зовсім з іншого місця, то вам необхідно просити відновлення пароля на E-mail, після підтвердження буде скинутий не тільки пароль, але і блокування по IP адресою.

Отже підводячи підсумки даної статті ми хочемо порекомендувати вам використання наступних пунктів і установок:

1. Метод авторизації в адмінпанелі: Розширений метод
2. Контроль зміни IP адреси: Середній
3. Установка блокування по IP
4. Не використання вкрадених копій скрипта, інакше всі статті і рекомендації щодо безпеки стають бесмысленными, 99% відсотків зламаних списів скрипта несуть в собі потаємні входи на ваш сайт з боку зловмисників, причому це не наш заклик до купівлі скрипта, а сумний аналіз піратських версій, адже це позначається на нашій репутації. Якщо немає можливості придбати та користуватися легальної копією, краще відмовитися від використання даної CMS, я не хочу вислуховувати звинувачення за небезпечності скрипта.

З повагою,

SoftNews Media Group
201