Saugi Php-Fusion sistema
Parašė ozzWANTED 2007 gegužės 18 16:05:12
Štai keletas galymybių kaip galite apsaugoti bent jau minimaliai savo Php-Fusion TVS:
1.Nenaudokite trumpų ir lengvai atspėjamų slaptažodžių. Slaptažodį turi sudaryti skaičiai, raidės(didžiosios ir mažosios). Slaptažodis turi susidaryti bent jau iš 9 ženklų. Saugaus slaptažodžio pavyzdys:
ey8FD92z64awXQ3R1h
Tokį slaptažodį, šiuo metu jokia md5 atkodavimo programa neiškoduos greičiau nei per 10 metų.

2.Skirtingai koduokite slaptažodžius cookies'uose ir duom. bazėje. Tuomet net jei jūsų duom. bazė taps įsilaužėlių auka, jie negalės ja pasinaudoti(nebent bandys išsikoduoti kiekvieną slaptažodį rankiniu būdu, kas atimtų begalę laiko).

3.Rekomenduojama pasikeisti default'inę md5 Php-Fusion slaptažodžių koduotę į sha1. Taip pat galite slėpti sha1 po dar viena md5 koduote. Pvz.
".md5(sha1(sha1(md5($password))))."

4.Priėjimui prie administracijos naudokite .htaccess apsaugą.

5.Palikite tik minimalias CHMOD atžymai failams(geriausia - 400, jei tai leidžia hostingo serveris, visiems failams su info su prisijungimo prie duom. bazės duomenimis).

6.Administratoriais saite paskirkite tik itin gerai žinomus ir patikimus žmones. Aišku saugiausia - kad adminas būtumėte tiktais Jūs pats.

7.Pervadinkite "/administration/" direktoriją ir "config.php" failą. Pakeistą direktorijos ir failo adresą įrašykite maincore.php faile.

8.Iš "/administration/" direktorijos rekomenduojame ištrinti šiuos failus "custom_pages.php", "panel_editor.php" ir "settings_forum.php" failus. Kai būtinai prisireiks šių failų, juos trumpam vėl įsikelkite, po to vėl ištrinkite.

9.Niekada jokiam kitam administratoriui nesuteikite šių teisių: "AD, DB, S3 CP, PE". Administruokite šias saito funkcijas tik patys.

10.Jokiu būdu nenaudokite default'inio PHP-Fusion prefix'o "fusion_" - tai tiesiausias kelias įsilaužėliui į rankas. Naudokite sudėtingą prefix'ą, kuris nebūtų žodis, ar bet kokia kita lengvai atspėjama frazė. Gero prefix'o pavyzdys:
gCDE964wax235dsZ_

11.Rekomenduotina uždrausti bet kokias failų įkėlimo galimybes į saitą portalo vartotojams - tad rekomenduojame panaikiti nuotraukos pateikimo funkciją(juk yra toks dalykas kaip imageshack.us - tegu ten ir siunčia), failų prisegimo forume, bei avataro įsidėjimo funkciją. Avatarams kaip alternatyvą siųlytume modą "avatars gallery", kai vartotojas turės pasirinkti vieną iš jau esamų avatarų.

12.FTP rekomenduojame palikti kuo mažiau, arba išvis nepalikti direktorijų su "777" CHMOD atžyma.

13.Esant galimybei ieškokite saugaus hostingo, su naujausiomis PHP, MySQL ir Apache serverio versijomis. Taip pat rekomenduojame rinktis hostingą su "Safe-Mode ON funkcija.

14.Esant galimybei rekomenduojame naudotis "email patvirtinimo registruojantis" ir "nario aktyvacijos per admininstracija" funkcijomis.

15.Stenkites naudoti tik tai kas buvo orginalioje Php-Fusion sistemoje kurią atsisiuntėte. Stenkitės nenaudoti jokių 3rd party modų, ar temų.

16.FTP stenkite palikti kuo mažiau direktorijų - nereikalingas temas ir modus pašalinkite iš saito FTP - jei prireiks - įsikelsite vėl. Taip pat rekomenduojama pašalinti ir "TinyMCE", jei juo nesinaudojate, bei nereikalingų saito kalbų direktorijas.

17.Na ir žinoma visada naudokites tik pačia naujausia PHP-Fusion versija(išimtis - kartų kaita, tuomet nerekomenduojama diegti pirmąjį blyną, kuris dažniausiai būna prisvilęs - palaukite iki pasirodys pirmieji pataisų paketai ištaisantys svarbiausias klaidas.

Straipsnio autorius ©2007 ozzWANTED
©PHPFusion-LT.com