Joomla 1.5 - Руководсвто пользователя Д.Н.Колисенко |
Страница 139 из 202 Вы боитесь оставить ваш Joomla-сайт без присмотра на время отпуска? Тогда зайдите по FTP на ваш сервер, перейдите в каталог administrator, откройте файл .htaccess и измените его следующим образом: <Limit GET> Order Deny, Allow Deny from all </Limit> Теперь ни вы, ни кто-нибудь другой не сможет войти на панель управления. Когда ваш отпуск закончится, верните исходную версию файла . htaccess. Введите следующий URL:http://ваш_сайт/components/ Если вы увидели сообщение, что доступ запрещен, тогда все нормально. А вот если сервер выдал список файлов и каталогов, значит, сервер настроен неправильно. Нужно отключить опцию Indexes, о чем нужно уведомить администратора сервера. А пока он будет ее отключать, поместите в каждый каталог, в котором нет файла index.html или index.php, пустой файл index, html. Тогда вместо списка файлов и каталогов сервер выведет пустой файл (можете в файле оставить любое сообщение для злоумышленника — тогда он увидит его). Как мы все знаем, Joomla основана на системе управления контентом Mambo. Из Mambo перекочевали некоторые старые, как этот мир, дыры. Закрыть их можно следующим образом. Откройте файл .htaccess, находящийся в корневом каталоге Joomla (или создайте его, если вы это еше не сделали) и добавьте следующие строки: # Попытка модификации переменных mosConfig* через URL RewriteCond % {QUERY_STRING} mosConfig_[a-zA-Z_] {1,21} (=|\%3D) [OR] # (непонятно, зачем запрещать base64_encode, тем не менее... :) RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR] # Запрет передачи тэгов <script> в адресе (скорее всего защита от XSS) RewriteCond %{QUERY_STRING} (\<|%ЗС).*script.*(\>|%ЗЕ) [NC,OR] # Старая дыра, когда пытались подменить GLOBALS через RG_EMULATION RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR] # Аналогичная дыра, но для _REQUEST RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0~9A~ZJ{0,2}) # И в конце даем на такие запросы ответ 403 (aka Forbidden) |