| |
 Мы будем Вам признательны, если Вы поддержите проект Open SLAED и используя Ваши возможности, разместите наш пресс-релиз на страницах своих сайтов, проектов, форумов, блогов. Текст пресс-релиза, возможно, видоизменить под Ваш формат, не искажая смысл. Пресс-релиз можно взять на данной странице. |
|
 Данная программа поможет создать дополнительную защиту Вашего сайта файлами .htaccess и .htpasswd Данная защита обеспечивается средствами сервера и является наиболее надежной по сравнению с другими видами защит. Ограничение доступа к определенной части вашего веб-сайта можно легко организовать при помощи системы паролей. Если посетитель попробует зайти в закрытую часть веб-сайта, то его браузер откроет окно, в котором посетитель должен будет ввести свои логин и пароль. Настройка системы паролей заключается в следующем: в отдельный текстовый файл с помощью утилиты passwd, записываются нужные логины и пароли, после чего можно ограничить доступ к любой части веб-сайта. |
|
|
Модуль для создания паролей неподдающихся атакам по словарю, можно заставить всех новых пользователей генерировать себе пароли, дабы избежать простых паролей. |
|
|
 В связи с участившимися вопросами на форуме проекта связанными с безопасностью системы считаю необходимым прояснить ситуацию и разъяснить нашим пользователям основные нюансы. Как уже писалось в анонсе версии SLAED CMS 2.1 Lite и 2 Pro, система отличается от своих предшественников повышенной безопасностью панели администратора. Даже в случае получения Cookies администратора, то есть его "Хеша" пароля и логина в зашифровонном виде, злоумышленник не сможет войти в панель администрации. На это есть ряд причин с которыми можно ознакомится при подробном просмотре. Дополнительная защита администратора
Сохраняется последний сеанс администратора, его IP адрес в базе данных системы. Если он не совпадает, что произойдёт в случае украденных Cookies, то система потребует авторезироваться заново. Это значит что злоумышленник, не зная пароля и логина в расшифровонном виде, не сможет войти и получить доступ в панель управления.
Метод шифрования паролей, который используется в системе, является одним из самым безопасных и оптимальных на сегодняшний день. Метод называется MD 5 и является алгоритмом, который не имеет возможности расшифровки и предназначит для зашифровки информации в одну сторону без возможности её расшифровки.
Дополнительная защита пользователя
То же самое как на примере с администратором, происходит с зарегистрированными пользователями системы. За исключением того, что для пользователей можно отключить принуждение повторной авторизации в случае смены IP адреса, со дня последней авторизации пользователя в системе. Данные настройки можно изменит в отделе пользователей панели управления системой.
Ко всему этому, в системе существует возможность смены названия Cookies администраторов и пользователей, которая исключает возможность определения их принадлежности при посещения вами или вашими пользователями сайтов, где установлены скрипты-шпионы.
Общая информация о защите системы
Если вы внимательно читали рекомендации по безопасности, то сменили название файла администратора, а это значит, не зная его названия, злоумышленник даже не сможет попытаться войти в панель администрации.
Если вы внимательно читали рекомендации по безопасности, то установили доступ в систему безопасности только по определённому IP адресу, что исключает доступ злоумышленника. Узнать IP адрес администратора, а тем более подделать его почти не реально.
Если вы внимательно читали рекомендации по безопасности, то установили дополнительные пароль и логин в панель администратора системы которые защищают вас и ваш проект на серверном уровне. Этот метод паролирования директорий является одним из самых оптимальных на данный момент.
Ну и наконец, сама система безопасности защищает ваш сайт от любого рода SQL инъекций, XSS инъекций, загрузки файлов, проникновение через Cookies которые могут быть выполнены со стороны злоумышленника.
Начиная с версии 2 Pro и 2.1 Lite система исключает возможность использования HTML кода на стороне клиента и таким образом исключает все возможные попытки интеграции и внедрения нежелательного кода, инъекций, шпионов в систему.
В системе учтены все возможные и известные на сегодняшний день виды возможных атак, и приняты меры по их предотвращению.
Боле подробную информацию по упомянутым Выше темам можно получить по указанным ниже ссылкам.
Система безопасности для SLAED CMS 1.6 Stability
Анализ защищённости SLAED CMS
Правильно защищаем систему
Система безопасности |
|
|
Исходя из многолетней практики использования и применения, на сегодняшний день система является одной из самых защищённых и безопасных систем подобного уровня. Не смотря на это, а так же по причине частого появления уязвимостей программного обеспечения серверного оборудования хостеров, на которых система может быть установлена, предлагаем Вашему вниманию советы и рекомендации по её защите. Настоятельно рекомендуем не игнорировать данную статью и выполнить все методы предложенные в ней. Здесь описаны самые важные способы по защите системы, которые обезопасят Ваш проект. Для повышения безопасности, в панели администратора системы, в отделе безопасности установите дополнительные логин и пароль для входа в систему администрирования.
Ограничите вход в систему администрирования проектом по определённому IP Адресу или маски сети IP. То есть дайте доступ только по Вашему IP и IP Ваших администраторов. Данный способ защиты является самым оптимальным и исключает любой несанкционированный вход в панель администрирования. Ограничение по IP можно установить в панели администратора системы отдела безопасности.
Не оставляйте стандартное название файла администратора admin.php. $admin_file - пожалуй, самый важный параметр, определяет имя файла для входа в отдел администрации. Придумайте название файла, любое (на английском) и впишите в файле config/config.php. Сохраните этот файл и закройте. Теперь найдите файл admin.php и переименуйте его в то, что вы придумали.
Не устанавливайте права доступа CHMOD 777 на файлы и папки без необходимости. Так же не удаляйте файлы .htaccess в директориях системы. Они отвечают за безопасность и запрещают прямой доступ на файлы находящиеся в этой директории.
Не используйте модули и скрипты заведомо наклонные к уязвимостям. Не игнорируйте актуальные обновления системы. Будьте бдительны и старайтесь следить за новостями и обновлениями на нашем проекте. Не изменяйте и не удаляйте верхнею часть кода в файлах function/function.php и admin/admin.php, как правило, эти участки отвечают за безопасность.
Не устанавливайте одинаковые пароли и логины для пользователя и администратора системы. Не устанавливайте одинаковые пароли для соединения с базой данных и FTP. Старайтесь использовать пароли не короче пяти символов с комбинацией цифр и букв.
Не используйте стандартный префикс таблиц базы данных, это в значительной степени повысит защиту системы от различного рода SQL инъекций. Если при установке системы Вы установили префикс таблиц базы данных по умолчанию, рекомендуем изменить его. Для этого воспользуйтесь скриптом специально предназначенным для этих целей. Скачать скрипт можно в файловом архиве нашего проекта.
Регулярно производите резервное копирование базы данных, а так же всех файлов системы на свой компьютер или другие безопасные носители информации. Для резервного копирования базы данных используйте стандартную возможность, которая предоставляется системой.
Не используйте Cookies по умолчанию. В конфигурациях системы, измените стандартные название Cookies для пользователей и для администраторов. Это так же относится к названиям Cookies для заблокированных посетителей, который Вы можете изменить в конфигурациях отдела безопасности. |
|
|
Исходя из многолетней практики использования и применения, на сегодняшний день система является одной из самых защищённых и безопасных систем подобного уровня. Не смотря на это, а так же по причине частого появления уязвимостей программного обеспечения серверного оборудования хостеров, на которых система может быть установлена, предлагаем Вашему вниманию советы и рекомендации по её защите. Настоятельно рекомендуем не игнорировать данную статью и выполнить все методы предложенные в ней. Здесь описаны самые важные способы по защите системы, которые обезопасят Ваш проект. Для повышения безопасности, в панели администратора системы, в отделе безопасности установите дополнительные логин и пароль для входа в систему администрирования.
Ограничите вход в систему администрирования проектом по определённому IP Адресу или маски сети IP. То есть дайте доступ только по Вашему IP и IP Ваших администраторов. Данный способ защиты является самым оптимальным и исключает любой несанкционированный вход в панель администрирования. Ограничение по IP можно установить в панели администратора системы отдела безопасности.
Не оставляйте стандартное название файла администратора admin.php. $admin_file - пожалуй, самый важный параметр, определяет имя файла для входа в отдел администрации. Придумайте название файла, любое (на английском) и впишите в файле config/config.php. Сохраните этот файл и закройте. Теперь найдите файл admin.php и переименуйте его в то, что вы придумали.
Не устанавливайте права доступа CHMOD 777 на файлы и папки без необходимости. Так же не удаляйте файлы .htaccess в директориях системы. Они отвечают за безопасность и запрещают прямой доступ на файлы находящиеся в этой директории.
Не используйте модули и скрипты заведомо наклонные к уязвимостям. Не игнорируйте актуальные обновления системы. Будьте бдительны и старайтесь следить за новостями и обновлениями на нашем проекте. Не изменяйте и не удаляйте верхнею часть кода в файлах function/function.php и admin/admin.php, как правило, эти участки отвечают за безопасность.
Не устанавливайте одинаковые пароли и логины для пользователя и администратора системы. Не устанавливайте одинаковые пароли для соединения с базой данных и FTP. Старайтесь использовать пароли не короче пяти символов с комбинацией цифр и букв.
Не используйте стандартный префикс таблиц базы данных, это в значительной степени повысит защиту системы от различного рода SQL инъекций. Если при установке системы Вы установили префикс таблиц базы данных по умолчанию, рекомендуем изменить его. Для этого воспользуйтесь скриптом специально предназначенным для этих целей. Скачать скрипт можно в файловом архиве нашего проекта.
Регулярно производите резервное копирование базы данных, а так же всех файлов системы на свой компьютер или другие безопасные носители информации. Для резервного копирования базы данных используйте стандартную возможность, которая предоставляется системой.
Не используйте Cookies по умолчанию. В конфигурациях системы, измените стандартные название Cookies для пользователей и для администраторов. Это так же относится к названиям Cookies для заблокированных посетителей, который Вы можете изменить в конфигурациях отдела безопасности. |
|
|
|
Сотовые Аксессуары
|
