Безопасность в ModX (инфо для новичка)
Здравствуйте. Я плохо знаком с безопасностью ModX, читаю мануалы, ищу статьи в инете, но решил обратиться к опытным коллегам.
Что нужно сделать, чтобы снизить риски взлома ModX? для меня это очень важно.
1. Я устанавливаю через advanced. Вынес ядро, переименовал «manager». Можно ли вообще и как узнать новый путь к админке злоумышленнику?
2. Какие права и на какие папки ставить? Пока я использую те указания, которые дает ModX при установке (0755 и 0644). Достаточно ли их?
3. Использую SFTP.
4. Все контент менеджеры имеют очень ограниченный доступ в админку.
Может еще что посоветуете. Поделитесь опытом. Набросайте ссылок для ознакомления. Буду очень признателен.
Что нужно сделать, чтобы снизить риски взлома ModX? для меня это очень важно.
1. Я устанавливаю через advanced. Вынес ядро, переименовал «manager». Можно ли вообще и как узнать новый путь к админке злоумышленнику?
2. Какие права и на какие папки ставить? Пока я использую те указания, которые дает ModX при установке (0755 и 0644). Достаточно ли их?
3. Использую SFTP.
4. Все контент менеджеры имеют очень ограниченный доступ в админку.
Может еще что посоветуете. Поделитесь опытом. Набросайте ссылок для ознакомления. Буду очень признателен.
01 июня 2016, 09:03
Комментарии: 4
Ну до кучи папку connectors можно еще переименовать. С правами будете мудрить перестанет чего-нибудь работать, лучше оставить по-рекомендации, которые не с потолка даются.
Админку можно, я думаю, перебором найти, лучше замудреное имя использовать. Либо с помощью настроек сервера делать дополнительную аутентификацию, или вообще по ip доступ.
Насчет sftp, аутентификацию не по паролю делать, а по ключу.
Ну а насчет менеджеров, надо смотреть какие у них там права прописаны, здесь точно можно дырку оставить.
Админку можно, я думаю, перебором найти, лучше замудреное имя использовать. Либо с помощью настроек сервера делать дополнительную аутентификацию, или вообще по ip доступ.
Насчет sftp, аутентификацию не по паролю делать, а по ключу.
Ну а насчет менеджеров, надо смотреть какие у них там права прописаны, здесь точно можно дырку оставить.
Префикс таблиц еще поменяйте.
А вообще вот: modx.pro/howto/7902-hardening-modx-revolution-translation/
А вообще вот: modx.pro/howto/7902-hardening-modx-revolution-translation/
Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
22 ноября 2024, 21:57
Лучше деинсталировать и установить новую версию. Там полностью переписан JS.
22 ноября 2024, 20:33
Фильтрация как правило предполагает точное совпадения значений, а тебе нужен поиск.
22 ноября 2024, 19:55
Все исправилось, после замены на 'parents' => $_modx->resource.id
22 ноября 2024, 09:31
А кто подскажет, как в форму Создания/Редактирования ресурса, через ms2Form, добавить возможность выбирать несоклько параметров в одном TV?
Ну то-ест...
22 ноября 2024, 08:53
если правильно понял то так
{set $rows = json_decode($_modx->resource.constructor_block, true)}
{foreach $r...
22 ноября 2024, 08:43
Подскажите, если на странице будет две формы, они будут работать? К примеру reCaptchaV3 этого сделать не может, нужно через костыль в виде скрипта, ко...
