Скрываем config.core.php
Я давненько на своих сайтах меняю адрес админки и папки /connectors/
Мне нравится, что MODX позволяет это делать и очень сложно обнаружить, что сайт работает на нём. Но тут Николай Ланец смутил меня тем, что MODX можно определить еще и по файлу /config.core.php в корне. Да, он не выдаёт никакой информации, но показывает белый экран, а веб-сервер отдаёт ответ 200.
Чуть-чуть поискать и вариант решения найден — нужно просто прописать правило для веб-сервера, чтобы он отправлял нужный заголовок.
Кстати, так же можно закрыть и папку /core/, чтобы вместо ошибки 403 Forbidden отдавалась ошибка 404 — типа «не знаю никакого core, вы что? Тут таких нет...»
Вот, что нужно прописать в .htaccess (если у вас Apache)
Теперь, сервер будет показывать 404 страницу при попытке просмотреть файлы из /core/ или файла /config.core.php
Надеюсь, знатоки подскажут, как сделать это для nginx. И вообще — как вы думаете, правильно ли так закрывать папку /core/ или лучше вернуть 403 Forbidden?
Мне нравится, что MODX позволяет это делать и очень сложно обнаружить, что сайт работает на нём. Но тут Николай Ланец смутил меня тем, что MODX можно определить еще и по файлу /config.core.php в корне. Да, он не выдаёт никакой информации, но показывает белый экран, а веб-сервер отдаёт ответ 200.
Чуть-чуть поискать и вариант решения найден — нужно просто прописать правило для веб-сервера, чтобы он отправлял нужный заголовок.
Кстати, так же можно закрыть и папку /core/, чтобы вместо ошибки 403 Forbidden отдавалась ошибка 404 — типа «не знаю никакого core, вы что? Тут таких нет...»
Вот, что нужно прописать в .htaccess (если у вас Apache)
RewriteCond %{REQUEST_URI} ^/config.core.php*
RewriteRule ^(.*)$ [R=404]
RewriteCond %{REQUEST_URI} ^/core/*
RewriteRule ^(.*)$ [R=404]Теперь, сервер будет показывать 404 страницу при попытке просмотреть файлы из /core/ или файла /config.core.php
Надеюсь, знатоки подскажут, как сделать это для nginx. И вообще — как вы думаете, правильно ли так закрывать папку /core/ или лучше вернуть 403 Forbidden?
13 февраля 2016, 14:56
Комментарии: 66
вот прямой «свежий» диалог с очень хорошим сео-спецом.
*Алексей*
а тут закономерный вопрос
надо ли админку от индексации закрывать и служебные папки?
*...*
да обычно закрывают админ и служебные папки и 404 стр
стандартный набор папок в робот добавь
*Алексей*
а хоть один случай индексации этих папок у кого-то был?
*...*
в смысле?
ну то ли робот ходит только по нужному, то ли по всему на свете и нихрена не врубается
Если она не переименована, то можно и оставить в роботс. А если переименовали, то зачем светить её. Смысл переименования теряется.
а хоть один случай индексации этих папок у кого-то был?Только если найдется «добрый» человек с мотивом «век меня помнить будете» и разместит где-нибудь ссылки. Робот ходит только по ссылкам — внешним, внутренним. Ещё подглядывает в карту сайта.
Кстати. В Яндекс-Вебмастер когда то админку джумлы и вордпресса видел, а вот системные папки MODX ни разу не видел среди проиндексированных страниц. Видимо, СЕОшников можно отсеивать по этому параноидальному желанию вносить в роботс необязательные записи. Другое дело на фронтенде, страницы регистрации, подписки и т.п.
А вот у меня вопрос. Если зайти в MODX на несуществующую страницу (ну прям реально несуществующую, например modx.pro/sdsdsdfsdf), то нас перенаправит на внутреннюю заглушку CMF. А если зайти, используя твой способ, в папку /core/ или /config.inc.php, то мы увидим серверную 404. С этим как быть?)
У меня показывается именно внутренняя заглушка: https://ilyaut.ru/config.core.php
А Я ещё и префикс таблиц другой делаю)
Папка /connectors/ переименовывается так же как и папка админки?
Если стоит компонент Tickets, то MODX палится исходным кодом, так как в нём появляется код
Папка /connectors/ переименовывается так же как и папка админки?
Если стоит компонент Tickets, то MODX палится исходным кодом, так как в нём появляется код
<link rel="stylesheet" href="/assets/components/tickets/js/web/editor/editor.css" type="text/css" />
<link rel="stylesheet" href="/assets/components/tickets/css/web/default.css" type="text/css" />
Давно так уже делаю.
business-vs-crisis.ru/manager/
business-vs-crisis.ru/core/
business-vs-crisis.ru/core.config.php
Даже где-то писал по этому поводу. При чем советую папки manager/, core/ и т.п. не переименовывать, а просто симлинки на них делать на новые УРЛ-ы. Все равно если кто будет на уровне PHP, он сможет добраться до кастомных папок где бы они ни были. А так главная задача — маскировка — выполнена, и проблем с нарушением структуры нет.
business-vs-crisis.ru/manager/
business-vs-crisis.ru/core/
business-vs-crisis.ru/core.config.php
Даже где-то писал по этому поводу. При чем советую папки manager/, core/ и т.п. не переименовывать, а просто симлинки на них делать на новые УРЛ-ы. Все равно если кто будет на уровне PHP, он сможет добраться до кастомных папок где бы они ни были. А так главная задача — маскировка — выполнена, и проблем с нарушением структуры нет.
Disallow: /public/components/modxsite/*
Disallow: /public/components/modhybridauth/*— Так, класс, успокоились. Иванов, хватит дергать за косички Курбанбаеву! Лучше ответь мне, на какой системе работает этот сайт? Садись, 4. Почему? Думал 2 секунды.
:)
Это как раз тот случай, когда яндекс все-таки что-то проиндексировал не нужное joxi.ru/brRDO4pfQn84a2
На счет шуток про школу: шути. Знаний правда у тебя все равно не прибавится от этого? И, если я не шучу над твоим кодом, это не значит, что у тебя там все ОК. Хочешь пройдусь по какому-нибудь твоему пакетику? Как когда пришлось переписывать почти все, что ты в консоль дописал и объяснять тебе почему так ни в коем случае нельзя делать? Ты просто реально уже начинаешь раздражать. Гонору дофига, а толку нефига. Был бы какой-то специалист вменяемый, а то переписал пару пакетиков и все, звезду поймал.
На счет шуток про школу: шути. Знаний правда у тебя все равно не прибавится от этого? И, если я не шучу над твоим кодом, это не значит, что у тебя там все ОК. Хочешь пройдусь по какому-нибудь твоему пакетику? Как когда пришлось переписывать почти все, что ты в консоль дописал и объяснять тебе почему так ни в коем случае нельзя делать? Ты просто реально уже начинаешь раздражать. Гонору дофига, а толку нефига. Был бы какой-то специалист вменяемый, а то переписал пару пакетиков и все, звезду поймал.
Опять 25. Остаётся только вспомнить поговорку про горбатого и могилу. Я всего лишь продолжил тему сторонников не прятаться, а просто закрывать доступы. Я абсолютно уверен, что ты добавил это по делу. Вот тут и проявляется плюс сторонников закрытия доступов. Как ни прячь, всё равно где-то всплывёт. У меня ровно такие же проблемы с hybridayth и приходится в роботс прописывать условия. Что естественно сразу делает очевидным систему. Поэтому какой смысл скрывать. Лучше направить усилия на другое.
Хочешь пройдусь по какому-нибудь твоему пакетику?Я только за.
Читай ниже, давно уже написал.
Больше времени на тебя не потрачу, по тому что увидел уже достаточные выводы сделал.
Больше времени на тебя не потрачу, по тому что увидел уже достаточные выводы сделал.
А я твоими конструктивными комментариями зачитываюсь. Сначала про pdoTools и Василия. Когда был послан всеми на всех ресурсах, затихарился, отлежался, а теперь решил, что все забыли про тебя и пришёл сюда такой гордый — «Народ, каких дополнений не хватает? Готов за деньги сделать. Кто хочет меня купить на 2 часика». Опустился совсем. Бедняга. Подкинуть 500 рубликов?
Что, серьезно? Твой AdminTools ничего в БД не пишет? Вообще весь на сессиях? Вот с такими костылями? Ты что здесь еще делаешь? Иди переписывай все нафиг, не позорься. Это толпы школьников тебе будут кричать «Awesome!», не разбираясь в деталях. Но это как был быдлокод, так и остался. Судя по количеству форков на гитхабе ты усердно учился на Васиных и моих примерах, а сейчас решил уже что всех обогнал? Тебе учиться и учиться еще, и все равно всегда будешь в отстающих. Даже я сейчас, пока пишу эти строки, понимаю, что мог бы вместо этого чем-то полезным продолжить заниматься, а тебе-то вообще куда время тратить? Пока никаких новых технологий не придумал вообще расслабляться тебе рано. Но, подозреваю, что ты и сам уже понимаешь, что своих высот достиг, годы все-таки не те уже, вот и сидишь в детство впадаешь, анекдотики рассказываешь. Ну, каждому свое, и свое не каждому. Рассказывай дальше анекдотики, а я пойду дальше работать.
Не, запреты или редиректы — это не то, будет свидетельствовать о том, что что-то там не так, не обычная страница.
У меня так прописано:
У меня так прописано:
location ~ ^/(assets|core|manager|connectors)/{
rewrite .*$ /404.html last;
}
location ~* config.(core|inc).php {
rewrite .*$ /404.html last;
}
https://rtfm.modx.com/revolution/2.x/administering-your-site/security/hardening-modx-revolution вот он, самый крутой мануал
Я просто закрываю все служебные директории паролем через Nginx и нет проблем.
А можно еще и скомбинировать это с пропуском по IP, через директиву satisfy. Кто в разрешённом списке — ходит без авторизации, а у других запрашивается логин-пароль.
Очень удобно, рекомендую.
А можно еще и скомбинировать это с пропуском по IP, через директиву satisfy. Кто в разрешённом списке — ходит без авторизации, а у других запрашивается логин-пароль.
Очень удобно, рекомендую.
3 года работаю на MODX REVO пока админку и других папок яндекс и гугл не индексировал.
В robots.txt эти папки не указаны.
Все системные папки переименованы кроме assets (Thumbof тупит иногда если сменит папку)
В яше запретил индексацию yandex.countr а то он все линки при переходе отправляет индексацию.
1 сайт Индексирован 1к страниц
2 сайт Индексирован 2.2к страниц
В robots.txt эти папки не указаны.
Все системные папки переименованы кроме assets (Thumbof тупит иногда если сменит папку)
В яше запретил индексацию yandex.countr а то он все линки при переходе отправляет индексацию.
1 сайт Индексирован 1к страниц
2 сайт Индексирован 2.2к страниц
По моему Николай тут просто что-то не дописал.
Можно ограничить доступ по IP — в принципе этого достаточно, учитывая что почти у каждого есть возможность использовать статический IP / VPN со статическим IP.
Можно ограничить доступ по IP — в принципе этого достаточно, учитывая что почти у каждого есть возможность использовать статический IP / VPN со статическим IP.
location ~ ^/(core|manager|connectors)/{
allow 192.168.1.1;
deny all;
}
Паранойя такая паранойя.
Я остановился на этом — в htaccess:
RewriteCond %{REQUEST_URI} ^/config.core.php*
RewriteRule ^(.*)$ [R=404]
RewriteCond %{REQUEST_URI} ^/core*
RewriteRule ^(.*)$ [R=404]
Переименовал каталоги — manager и connectors с правкой путей к ним в config.inc.php
Я остановился на этом — в htaccess:
RewriteCond %{REQUEST_URI} ^/config.core.php*
RewriteRule ^(.*)$ [R=404]
RewriteCond %{REQUEST_URI} ^/core*
RewriteRule ^(.*)$ [R=404]
Переименовал каталоги — manager и connectors с правкой путей к ним в config.inc.php
berlinadesign.ru/manager/ — чел просто стили поменял
berlinadesign.ru — здесь cms через Wappalyzer не определяется
Как в данном случае скрыты следы CMS для Wappalyzer и ей подобным сайтам?
berlinadesign.ru — здесь cms через Wappalyzer не определяется
Как в данном случае скрыты следы CMS для Wappalyzer и ей подобным сайтам?
Для того что бы скрыть на nginx признаки использования modx для modhost и не только для этого я использую следующую конфигурацию:
Для того что бы robots.txt можно было сделать ресурсом modx, а не статичным файлом на modhost
Илья, пожалуйста добавь в инструкцию и поправь название немного.
location ~* ^/config.core.php { rewrite ^/(.*)$ /index.php?q=$1; }
location ~* ^/core/ { rewrite ^/(.*)$ /index.php?q=$1; }
location ~* ^/ht\. { rewrite ^/(.*)$ /index.php?q=$1; }
location ~* ^/\. { rewrite ^/(.*)$ /index.php?q=$1; }Для того что бы robots.txt можно было сделать ресурсом modx, а не статичным файлом на modhost
location = /robots.txt { allow all; log_not_found off; access_log off; try_files $uri $uri/ @rewrite; }Илья, пожалуйста добавь в инструкцию и поправь название немного.
Доброго времени суток!!!
Не могу решить такой вопросик — установил modx на сервер, на котором находятся еще 2 сайта. (не modx )
Так как доменного имени пока нету, прописал в файле hosts строку доступа через ip. — ip название сайта. Вобщем
сайт открывается и работает нормально. НО, если обратится к любому файлу в директории core, то сервер отдает этот файл на скачивание. Причем при той же конфигурации, но на локальном сервере ответ нормальный 403 forbidden.
Еще есть сайт на другом хостинге, но там есть доменное имя, и там все нормально, при доступе к core выдается 403 ошибка.
Может кто знает в чем проблема, почему при закрытом доступе в .htaccess файлы из core отдаются на скачивание?
Не могу решить такой вопросик — установил modx на сервер, на котором находятся еще 2 сайта. (не modx )
Так как доменного имени пока нету, прописал в файле hosts строку доступа через ip. — ip название сайта. Вобщем
сайт открывается и работает нормально. НО, если обратится к любому файлу в директории core, то сервер отдает этот файл на скачивание. Причем при той же конфигурации, но на локальном сервере ответ нормальный 403 forbidden.
Еще есть сайт на другом хостинге, но там есть доменное имя, и там все нормально, при доступе к core выдается 403 ошибка.
Может кто знает в чем проблема, почему при закрытом доступе в .htaccess файлы из core отдаются на скачивание?
Но тут Николай Ланец смутил меня тем, что MODX можно определить еще и по файлу /config.core.php в корнео0 чудо.Вы никогда не сможете открыть сайт если в запросе присутствует строка (без пробелов)
222 5073 858 5072011P.S. Безопасник Ланец как всегда отличился. Отдал не только ошибку, но еще и внедрил раскрытие путей.
P.P.S. Только сейчас заметил, что тема стара как мир. Простите за АП, но в ленте комментариев вылезло.
Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
Здесь упомянуты:
| Компонент | Текущая версия | Закачки |
| Tickets | 1.13.0-pl от 10.03.2020 | 19 439 |
| pdoTools | 2.13.2-pl от 02.09.2021 | 53 725 |
| AdminTools | 1.15.2-pl от 28.09.2020 | 3 454 |
Вчера в 19:46
cпасибо!
16 апреля 2024, 22:00
Координаты можно в админпанели у ресурса в ТВ полях определять…
Для этого советую поставить компонент YandexCoordsTv
Так будет намного проще.
16 апреля 2024, 21:10
Спасибо огромное! Все как надо!
16 апреля 2024, 17:44
Вам бы, коллеги, скооперироваться чтобы список ботов (user agent-ов) общий использовать для botAim и SmartSessions)
Предлагаю, если нужно, захостит...
16 апреля 2024, 10:02
ок)
15 апреля 2024, 21:51
Ок, спасибо за совет. Тогда напишу свой коннектор