Данная программа поможет создать дополнительную защиту Вашего сайта файлами .htaccess и .htpasswd Данная защита обеспечивается средствами сервера и является наиболее надежной по сравнению с другими видами защит. Ограничение доступа к определенной части вашего веб-сайта можно легко организовать при помощи системы паролей. Если посетитель попробует зайти в закрытую часть веб-сайта, то его браузер откроет окно, в котором посетитель должен будет ввести свои логин и пароль. Настройка системы паролей заключается в следующем: в отдельный текстовый файл с помощью утилиты passwd, записываются нужные логины и пароли, после чего можно ограничить доступ к любой части веб-сайта.

Модуль для создания паролей неподдающихся атакам по словарю, можно заставить всех новых пользователей генерировать себе пароли, дабы избежать простых паролей.

Написан свой форум, который войдёт в стандартный пакет профессиональной версии. Форум отвечает основным потребностям пользователей, при этом имеет минимально возможное количество кода.

Описание основных возможностей и функций

Возможность создание тем, ответов в темах посетителями и пользователями проекта. Вкратце, это основной функционал, такой, каким Вы его знаете из других форумов. Единственное что хотелось бы отметить, это неограниченная вложенность категорий (Форум в форуме), рейтинг созданных тем, возможность создание дополнительных полей, временное программирование тем и сообщений, AJAX редактирование.

Разграничение прав

Администратор форума имеет следующие возможности:

Вносить изменения в темы и сообщения
Программирование на время тем и сообщений
Удаление тем и сообщений
Перемещение тем
Смена статуса тем
Смена даты публикации тем и сообщений
Закрытие тем и сообщений
Видимость закрытых тем и сообщений
Производить ответы в закрытых темах и сообщениях

Модератор форума имеет следующие возможности:

Вносить изменения в темы и сообщения
Программирование на время тем и сообщений
Удаление тем и сообщений
Перемещение тем
Смена статуса тем
Смена даты публикации тем и сообщений
Закрытие тем и сообщений

Посетители и пользователи имеют права, установленные администратором. Для каждой категории форума возможна установка прав (Смотреть, Читать, Создавать, Отвечать, Изменять, Удалять, Модерировать) в зависимости от пользователя или принадлежности пользователя к той или иной группе.

Реализована новая, глобальная функция логирования всей входящей в систему информации (GET, POST, COOKIE, FILES, SESSION при необходимости SERVER). Это даёт возможность администратору отслеживания всех действий пользователей, определения и выявления различных видов атак и попыток взлома. Подобные системы существуют, как правило, на всех стандартных хостингах, но имеют один большой минус, они отслеживают только входящую информацию по средствам GET, что не является достаточным и в случае нападения по средствам других методов, не оставляют администратору шансов для анализа и выявления способов нападения. В конфигурациях безопасности имеется возможность отключения логирования.

Реализована новая функция проверки директорий и снятия контрольных сумм с файлов сайта. Данный инструмент пригодится для борьбы с вредоносным кодом, внедрённым в файлы сайта без Вашего ведома. В панели безопасности возможны конфигурации отключения, установка времени проверки файлов в автоматическом режиме и уведомления об изменениях на E-Mail администратора. Данная функция является ресурсоёмкой, поэтому во избежание дополнительной нагрузки на систему, применена технология AJAX.

Реализована система логирования входов администраторов и пользователей проекта. Данная возможность полезна для отслеживания информации о пользователях и администраторах, в случае подозрения подбора паролей. Возможен просмотр IP адреса, амплитуды входа, имени, пароля в случае не верного ввода, информации о браузере. В конфигурациях безопасности возможно отключения статистики входов, как администраторов, так и пользователей по отдельности.

Реализована новая функция автоматического копирования базы данных. В последствии восстановление и перенос базы данных из резервной копии возможно стандартным модулем системы «Dumper». Стандартны создания резервных копий, полностью совместимы. Активировать данный инструмент, а так же установить промежуток времени резервного копирования можно в конфигурациях отдела безопасности. Данная функция является ресурсоемкой, поэтому во избежание дополнительной нагрузки на систему, применена технология AJAX.

Реализовано автоматическое сжатие файлов статистики в случае превышения установленного размера. Установка размера всех лог файлов возможна в конфигурациях отдела безопасности.

Добавлена возможность просмотра всех файлов статистики на главной странице отдела безопасности. Для исключения переполнения памяти (RAM) и последующего зависания браузера, система отключает просмотр лог файлов в случае превышения критического размера. Если просмотр желаемого файла отключён, предлагается скачать его на свой компьютер.

Для названия групп и специальных групп пользователей реализована возможность установки цвета. Теперь названия групп в тех участках системы, где они выводятся, отображаются в соответствии с установленным цветом.

Добавлена возможность установки предупреждений пользователям в десятибалльном режиме. Смена количества предупреждений возможна при редактировании пользователя. Шкала предупреждений отображается в личном профиле пользователя, а так же в модуле форума при просмотре сообщений пользователя.

Добавлена новая строка звания в профиле пользователя. Установка и смена звания возможна только администратором системы при редактировании или создании нового пользователя. Звание отображается в профиле пользователя, а так же в модуле форума при просмотре сообщений.

Решена проблема с чтением RSS каналов с других сайтов использовавших кодировку вещания UTF-8. Теперь система определяет её автоматически и при необходимости перекодирует поток под актуальную кодировку сайта.

Для повышения удобства и универсальности использования визуальным изменениям подвергся модуль RSS информера.

Значительным модификациям подверглась система комментариев, улучшена визуальная и функциональная часть. Реализована публикация комментариев без перезагрузки с использованием технологии AJAX. Установлена возможность редактирования комментариев администратором и пользователем без перезагрузки с использованием технологии AJAX. В конфигурациях комментариев установлена возможность ограничения периода редактирования комментариев пользователем. Дополнительно ко всему возможно разрешить публикацию анонимным пользователям с проверкой администратора, без проверки администратора или полный запрет публикации анонимам. Возможны и визуальные настройки комментариев, с отключением или включением отображения кнопки профиля пользователя и дальнейшим переходом к нему, кнопки перехода к сайту пользователя. В случае публикации комментария анонимным пользователем к указанному имени добавляется надпись «Гость» или другая, в зависимости от установленной в конфигурациях системы.

На это раз модификация коснулась функции рейтинга. Начиная с данного момента, оценка пользователя возможна без перехода на страницу персональной информации, достаточно произвести клик по рейтингу, далее как обычно. Это даёт возможность оценки без перезагрузки страницы, а так же данный метод не производит дополнительной нагрузки на базу данных системы и тем самым не замедляет её работу.

Реализована новая функция сбора статистики сайта. Новый вариант даёт более детальный отчёт о посетителях Вашего сайта, стандартом производится сбор следующей информации: Дата (день, месяц, год), уникальные посетители проекта, количество просмотренных страниц сайта, общее количество просмотренных страниц сайта с момента запуска статистики, количество переходов с поисковых систем, количество переходов с других сайтов, количество просмотром главной страницы, количество посещений сайта зарегистрированными пользователями проекта. Сортировка статистики происходит по дням в течение всего месяца. После окончания месяцы вся собранная информация архивируется в отдельный файл и ложится в специальную директорию для отчётов, для последующей возможности анализа собранной информации. Просмотр и анализ информации возможен из панели администратора системы. Администратор может наблюдать как архивированную, так и актуальную статистику посещения по средствам сгенерированной статистики в графическом виде. Дополнительно ко всему возможен независимый вывод информации в виде небольшого баннера, с отображением уникальных посетителей и просмотренных страниц. Возможно внесение модификаций для вывода другой имеющейся информации, так же предусмотрен вывод различных видов баннеров. Новый вариант тестировался длительное время (более 3 месяцев) на проектах с высокой посещаемостью. Основная отличительная особенность новой статистики, это низкая нагрузка на сервер, стабильная работа и полное отсутствие запросов в базу данных. Если коротко, то новый вариант рассчитан на большую нагрузку и посещаемость крупных проектов.

Модифицирована центральная функция категорий системы. Теперь у Вас есть возможность установки прав доступа для просмотра категорий, а так же чтения материала находящегося в ней. Права доступа действуют на все модули, в которых используются центральные категории. В случае установки прав только просмотра категории, на неё накладывается цветовой фильтр. Это поставит пользователя в известность, о том, что категория закрыта для просмотра. Дополнительно к этому появилась возможность сортировки модулей по усмотрению администратора, очередность вывода устанавливается в настройках категорий, панели администратора системы.

Для улучшения навигации, во всех модулях системы в которых используются категории, установлено отображение пути, так называемые «Хлебные крошки». В конфигурациях каждого модуля установлена возможность смены символа разделяющего категории.

Во всех модулях системы для основного и подробного просмотра, установлена кнопка быстрого администрирования для редактирования или удаления объекта.

На новый метод технологии AJAX переведены все участки системы, которые использовали старый метод обновления компонентов. Это значительным образом снизит нагрузку и повысит удобство использования системы, её привлекательность.

Модифицирован отдел администратора по управлению блоками. Теперь для более быстрой и удобной установки положения блока применяется технология AJAX. Исправлена функция автоматической сортировки.

Значительным изменениям была подвержена панель администрирования комментариев. Установлен более удобный просмотр с использованием нового оформления. Реализована возможность массового удаление и активирования комментариев. Добавлена возможность ограничения временного периода между публикациями комментариев.

Полностью модифицирована система загрузки и управления файлами BB Редактора. Решена проблема с открытием окна операционной системы для выбора загружаемых файлов, в случае использования Adobe Flash Player 10 как плагина к браузеру.

Реализована новая система шаблонов, которая будут использоваться в добавлении объектов (attach) BB Редактора. Она способна определять формат прикреплённых файлов по их окончанию, и в соответствии с этим использовать тот или иной шаблон установленный администратором. Возможна установка размера прилагаемого объекта, как ширины, так и высоты, в случае отсутствия размера, система использует установленные по умолчанию. Администратор имеет возможность установки персонального шаблона для каждого формата, что в свою очередь даёт неограниченную возможность применения различных видов отображения графики, показа видео, проигрывания музыки и т.д. Шаблоны могут использоваться повсеместно, не зависимо от модуля, все настройки и типы шаблонов производятся непосредственно из панели администрирования системой.

Реализовано автоматическое преобразование почтовых и интернет адресов в гиперссылки. Для кода и PHP кода предусмотрено исключение. Действия смены производятся при публикации сообщений или материалов, в панели администратора системы существует возможность отключения данной возможности.

Реализовано автоматическое преобразование адресов сети eMule/eDonkey в гиперссылки, с определением размера файла, а так же его названия. Дополнительно ко всему система определяет и преобразовывает адреса серверов и дружественные адреса данной сети. В случае использования длинных ссылок содержащих более 50 символов в названии, производится автоматическое сокращение названия по центру.

Модифицирована функция определения модулей в панели администратора системы. Теперь если в папке модуля не находится файл index.php, данный модуль не определяется системой как модуль. Имеет смысл в случае использования модулей не по их прямому назначению, к примеру, как редактор spaw2 или fckeditor.

В конфигурациях системы реализована новая возможность использования модулей загружаемых на главной странице. В случае выбора нескольких вариантов, модули будут отображаться в случайном режиме. Для выбора двух и более вариантов удерживайте клавишу «Ctrl или Strg».

Изменён метод подключения классов работы с базой данных. Частично модифицирован код, реализована возможность подключения других классов работы с базой данных MySQL.

Добавлено семь новых классов для работы с различными типами баз данных, таких как: MySQL, MS Access, MS SQL, MSSQL-ODBC, Oracle, PostgresSQL, SQLite.

Добавлена возможность конфигурации принудительного подключения базы данных в различных кодировках. Рекомендуется использовать изначально при установке системы или в случае появления вопросов за место нормального текста.

Начиная с 15.12.2008, новую версию можно будет приобрести, в магазине нашего проекта. Актуальные клиенты профессиональной версии смогут загрузить новую версию в своём персональном отделе.

Дополнительная защита администратора

Сохраняется последний сеанс администратора, его IP адрес в базе данных системы. Если он не совпадает, что произойдёт в случае украденных Cookies, то система потребует авторезироваться заново. Это значит что злоумышленник, не зная пароля и логина в расшифровонном виде, не сможет войти и получить доступ в панель управления.

Метод шифрования паролей, который используется в системе, является одним из самым безопасных и оптимальных на сегодняшний день. Метод называется MD 5 и является алгоритмом, который не имеет возможности расшифровки и предназначит для зашифровки информации в одну сторону без возможности её расшифровки.

Дополнительная защита пользователя

То же самое как на примере с администратором, происходит с зарегистрированными пользователями системы. За исключением того, что для пользователей можно отключить принуждение повторной авторизации в случае смены IP адреса, со дня последней авторизации пользователя в системе. Данные настройки можно изменит в отделе пользователей панели управления системой.

Ко всему этому, в системе существует возможность смены названия Cookies администраторов и пользователей, которая исключает возможность определения их принадлежности при посещения вами или вашими пользователями сайтов, где установлены скрипты-шпионы.

Общая информация о защите системы

Если вы внимательно читали рекомендации по безопасности, то сменили название файла администратора, а это значит, не зная его названия, злоумышленник даже не сможет попытаться войти в панель администрации.

Если вы внимательно читали рекомендации по безопасности, то установили доступ в систему безопасности только по определённому IP адресу, что исключает доступ злоумышленника. Узнать IP адрес администратора, а тем более подделать его почти не реально.

Если вы внимательно читали рекомендации по безопасности, то установили дополнительные пароль и логин в панель администратора системы которые защищают вас и ваш проект на серверном уровне. Этот метод паролирования директорий является одним из самых оптимальных на данный момент.

Ну и наконец, сама система безопасности защищает ваш сайт от любого рода SQL инъекций, XSS инъекций, загрузки файлов, проникновение через Cookies которые могут быть выполнены со стороны злоумышленника.

Начиная с версии 2 Pro и 2.1 Lite система исключает возможность использования HTML кода на стороне клиента и таким образом исключает все возможные попытки интеграции и внедрения нежелательного кода, инъекций, шпионов в систему.

В системе учтены все возможные и известные на сегодняшний день виды возможных атак, и приняты меры по их предотвращению.

Боле подробную информацию по упомянутым Выше темам можно получить по указанным ниже ссылкам.

Система безопасности для SLAED CMS 1.6 Stability

Анализ защищённости SLAED CMS

Правильно защищаем систему

Система безопасности