Обезопасить созданный на MODX сайт
Добрый вечер, уважаемые пользователи MODX!
Пару месяцев назад открыл для себя MODX Revo, чему несказанно рад. До этого работал с разными CMS в т.ч. Joomla и Wordpress, но после знакомства с MODX сразу же про них забыл по объективным причинам, как и большинство в этом сообществе.
Сейчас делаю простой интернет-магазин. Недавно начал переносить верстку и на свежей установке MODX мое внимание привлекло следующее:
Скрин
Полез за решением проблемы и тут же наткнулся на статью в офф. документации:
Hardening Modx Revo
В связи с этим у меня возник ряд вопросов:
1) Всегда ли вы меняете расположение папки core, путь к админке (manager) и папке connectors в своих проектах или не делаете этого? Или есть более быстрое решение (допустим, в виде extras)?
2) Как часто, исходя из опыта, в Рунете «хакали» ваши сайты на MODX?
3) Влияет ли перенос и правка путей на установленные extras?
Я конечно понимаю, что безопасность всегда не помешает, но насколько это актуально для MODX? Тем более, изменение структуры этих папок потом также может добавить новых проблем при переносе сайта и т.п.
Исходя из своего опыта, сайты на Joomla часто заражались вирусами. Как обстоят дела с MODX я еще не знаю, поэтому хотелось бы узнать ваше мнение на сей счёт и рекомендации.
Пару месяцев назад открыл для себя MODX Revo, чему несказанно рад. До этого работал с разными CMS в т.ч. Joomla и Wordpress, но после знакомства с MODX сразу же про них забыл по объективным причинам, как и большинство в этом сообществе.
Сейчас делаю простой интернет-магазин. Недавно начал переносить верстку и на свежей установке MODX мое внимание привлекло следующее:
Скрин
Полез за решением проблемы и тут же наткнулся на статью в офф. документации:
Hardening Modx Revo
В связи с этим у меня возник ряд вопросов:
1) Всегда ли вы меняете расположение папки core, путь к админке (manager) и папке connectors в своих проектах или не делаете этого? Или есть более быстрое решение (допустим, в виде extras)?
2) Как часто, исходя из опыта, в Рунете «хакали» ваши сайты на MODX?
3) Влияет ли перенос и правка путей на установленные extras?
Я конечно понимаю, что безопасность всегда не помешает, но насколько это актуально для MODX? Тем более, изменение структуры этих папок потом также может добавить новых проблем при переносе сайта и т.п.
Исходя из своего опыта, сайты на Joomla часто заражались вирусами. Как обстоят дела с MODX я еще не знаю, поэтому хотелось бы узнать ваше мнение на сей счёт и рекомендации.
19 августа 2015, 17:48
Комментарии: 13
1) Да, всегда. Использую автоматическую установку;
2) Один раз на сайте, который создавал, но не поддерживал (т. е. версия устарела на пару лет), но, судя по всему, изначально был получен доступ по FTP, а уж потом — инъекция.
3) Нет, если они написаны правильно и используют системные переменные для указания пути, а не относительные ссылки.
2) Один раз на сайте, который создавал, но не поддерживал (т. е. версия устарела на пару лет), но, судя по всему, изначально был получен доступ по FTP, а уж потом — инъекция.
3) Нет, если они написаны правильно и используют системные переменные для указания пути, а не относительные ссылки.
Скрипт автоматической установки качает исходники с официального Git-репозитория из master-ветки. Т. е. это последняя стабильная версия. Чтобы «поиграться» с последней альфой, нужно в 166 строчке заменить master на develop
Спасибо за ответ, учту!
Касательно этого скрипта — подскажите, есть ли к нему где-то мануал по установке? Хотелось бы узнать поподробней как он работает.
И еще интересует — перенос core, переименование connectors и manager достаточно? Или что-то еще дополнительно делаете для рядовых проектов?
Касательно этого скрипта — подскажите, есть ли к нему где-то мануал по установке? Хотелось бы узнать поподробней как он работает.
И еще интересует — перенос core, переименование connectors и manager достаточно? Или что-то еще дополнительно делаете для рядовых проектов?
Он делает Advanced Installation, по крайней мере я руководствовался этой и следующими тремя статьями и версией стандартной установки от Василия Наумкина. Работает просто — кладёте его на сервере (я тестировал только на Ubuntu), запускаете из консоли:
Скрипт спросит у вас root-пароль от БД, имя пользователя и адрес, по которому будет доступен сайт (например, mysupersite.dev — этот адрес с IP нужно будет добавить в hosts вашего компьютера, если домен вымышленный).
$ sh secure_install.shСкрипт спросит у вас root-пароль от БД, имя пользователя и адрес, по которому будет доступен сайт (например, mysupersite.dev — этот адрес с IP нужно будет добавить в hosts вашего компьютера, если домен вымышленный).
Установленный сайт будет доступен в
Подразумевается, что вы используете Nginx, а не Apache. Остальные параметры вроде бы идентичны по статье «Правильный хостинг для MODX Revolution 2»
/var/www/<указанное имя пользователя>/wwwПодразумевается, что вы используете Nginx, а не Apache. Остальные параметры вроде бы идентичны по статье «Правильный хостинг для MODX Revolution 2»
Не думаю, что даже половина разработчиков меняет расположение этих папок. Но для безопасности лучше это сделать.
Перемещают обычно только core — выносят на уровень выше. А manager и connectors обычно просто переименовывают.
И еще вот совет
Перемещают обычно только core — выносят на уровень выше. А manager и connectors обычно просто переименовывают.
И еще вот совет
//Чтобы исключить подмены HTTP_HOST, нужно в конфиге вместо
$http_host= $_SERVER['HTTP_HOST'];
// указать свой хост или определить константу
define('MODX_HTTP_HOST', 'mysite.com');
// или в настройках контекста указать site_url или вызывать тег [[!++site_url]] некэшированным
Joomla/WP обычно летят из-за кривых рук. Ставят, что не попадя.
В 2012г. принимал хозяйство одной вебстудии, порядка 200 сайтов на Joomla! Так, вот там контент-менеджеры сайты собирали из шаблонов и дополнений из файловых помоек. Постоянно вылетали из Яндекса. Наверное с год я перебирал всё это безобразие…
В 2012г. принимал хозяйство одной вебстудии, порядка 200 сайтов на Joomla! Так, вот там контент-менеджеры сайты собирали из шаблонов и дополнений из файловых помоек. Постоянно вылетали из Яндекса. Наверное с год я перебирал всё это безобразие…
Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
Вчера в 15:18
Пардон, плохо смотрел
30 апреля 2024, 11:46
— эта заготовка для создания ОДНОГО дополнения? Да
Или можно в рамках одного сайта разработать сразу 5 несвязанных друг с другом дополнений?Наверно...
29 апреля 2024, 20:52
Добрый день, подскажите, перестал работать плагин в Хроме и Эдж, а в Яндекс браузере работает. Что может быть?
28 апреля 2024, 22:59
Настроил всё по инструкции, но заказы в Сделки не попадают.
28 апреля 2024, 20:45
хорошо, тогда уточню у клиента) но на будущее хотелось бы знать — как добавляется новый столбец? либо попросить добавить такой функционал)
28 апреля 2024, 01:36
Ответ оказался элементарным) Спасибо вам большое)
27 апреля 2024, 13:37
В системных настройках компонента вы указываете логин и пароль от API и все данные виджет берёт из вашего ЛК СДЭК. Дополнительная стоимость, которую м...
