×
HeadHunter and Superjob rezume updater on Ruby on Rails (21 авг 2017)

Практикуемся в написании кода под rails.

Вопрос Безопасный htaccess для Joomla

Больше
4 года 3 нед. назад #1 от savage
savage создал эту тему: Безопасный htaccess для Joomla
Всем доброго времени суток, здравствуйте. Давайте продолжим старую как мир дискуссию на тему - как все-таки сделать Joomla все более и более безопасной? И в частности - какой htaccess наиболее безопасен и правилен? Спс за ответ.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
4 года 3 нед. назад - 3 года 8 мес. назад #2 от Aleksej
Aleksej ответил в теме Безопасный htaccess для Joomla
Мне думается, вы вполне можете взять приведенный ниже пример за образец.
Подробные объяснения и разъяснения возможно посмотреть на страничке автора.

##
##  Commented version of Rewrite rules attributed to Ronald van den Heetkamp
##  Comments by http://bodvoc.com
#
# Prevent use of specified methods in HTTP Request
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC,OR]
# Block out use of illegal or unsafe characters in the HTTP Request
RewriteCond %{THE_REQUEST} ^.*(\\r|\\n|%0A|%0D).* [NC,OR]
# Block out use of illegal or unsafe characters in the Referer Variable of the HTTP Request
RewriteCond %{HTTP_REFERER} ^(.*)(<|>|'|%0A|%0D|%27|%3C|%3E|%00).* [NC,OR]
# Block out use of illegal or unsafe characters in any cookie associated with the HTTP Request
RewriteCond %{HTTP_COOKIE} ^.*(<|>|'|%0A|%0D|%27|%3C|%3E|%00).* [NC,OR]
# Block out use of illegal characters in URI or use of malformed URI
RewriteCond %{REQUEST_URI} ^/(,|;|:|<|>|">|"<|/|\\\.\.\\).{0,9999}.* [NC,OR]
# NOTE - disable this rule if your site is integrated with Payment Gateways such as PayPal 
# Block out  use of empty User Agent Strings
RewriteCond %{HTTP_USER_AGENT} ^$ [OR]
# Block out  use of User Agent Strings beginning with java, curl or wget
RewriteCond %{HTTP_USER_AGENT} ^(java|curl|wget).* [NC,OR]
# Block out  use of User Agent Strings containing specific robot (crawler) identifiers
RewriteCond %{HTTP_USER_AGENT} ^.*(winhttp|HTTrack|clshttp|archiver|loader|email|harvest|extract|grab|miner).* [NC,OR]
# Block out  use of User Agent Strings containing references to specific crawler libraries
RewriteCond %{HTTP_USER_AGENT} ^.*(libwww-perl|curl|wget|python|nikto|scan).* [NC,OR]
# Block out  use of illegal or unsafe characters in the User Agent variable
RewriteCond %{HTTP_USER_AGENT} ^.*(<|>|'|%0A|%0D|%27|%3C|%3E|%00).* [NC,OR]
# Measures to block out  SQL injection attacks
RewriteCond %{QUERY_STRING} ^.*(;|<|>|'|"|\)|%0A|%0D|%22|%27|%3C|%3E|%00).*(/\*|union|select|insert|cast|set|declare|drop|update|md5|benchmark).* [NC,OR]
# Block out  reference to localhost/loopback/127.0.0.1 in the Query String
RewriteCond %{QUERY_STRING} ^.*(localhost|loopback|127\.0\.0\.1).* [NC,OR]
# Block out  use of illegal or unsafe characters in the Query String variable
RewriteCond %{QUERY_STRING} ^.*(<|>|'|%0A|%0D|%27|%3C|%3E|%00).* [NC]
#
## End of commented Rewrite directives
#
Последнее редактирование: 3 года 8 мес. назад от p.rishard.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
3 года 8 мес. назад #3 от Прохожий
Прохожий ответил в теме Безопасный htaccess для Joomla
Я лично добавил в стандартный htaccess такие строчки, все отлично работает:

########## Begin - Rewrite rules to block out some common exploits
#
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR]
# Block out any script that includes a < script> tag in URL
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2}) [OR]
# Block out any script that tries to set CONFIG_EXT (com_extcal2 issue)
RewriteCond %{QUERY_STRING} CONFIG_EXT([|%20|%5B).*= [NC,OR]
# Block out any script that tries to set sbp or sb_authorname via URL (simpleboard)
RewriteCond %{QUERY_STRING} sbp(=|%20|%3D) [OR]
RewriteCond %{QUERY_STRING} sb_authorname(=|%20|%3D)
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## End - Rewrite rules to block out some common exploits

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
3 года 8 мес. назад #4 от Aleksej
Aleksej ответил в теме Безопасный htaccess для Joomla
Да, все это более чем в тему.
Чудны дела твои, Господи, в Глобальной Сети.
Эпидемия какая-то, что ли... со всех сторон слышу вопли джумлаводов о взломанных сайтах, армагеддон, really. И еще какой-то *удак уже третий месяц мой сайт пытается инклюдить , по логам вижу. Делает он это невероятно тупо и неумело, что исключает шансы на успех, но потуги налицо.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
3 года 3 мес. назад #5 от Sergos
Sergos ответил в теме Безопасный htaccess для Joomla
Подскажите актуальны прописаные строки для жумлы 3 ? небудет конфликта из-за этого или других неприятностей? защитится хочется с разных сторон (не параноя реальность)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
3 года 3 мес. назад - 3 года 3 мес. назад #6 от Aleksej
Aleksej ответил в теме Безопасный htaccess для Joomla

Sergos пишет: Подскажите актуальны прописаные строки для жумлы 3 ? небудет конфликта из-за этого или других неприятностей?


Актуальны. Должно работать.
Попробуйте; в крайнем случае вернете все назад. Сайт сайту рознь.
Но дефолтный htaccess практически не меняется от joomla к joomla, разве что в последних ревизиях было какое-то незначительное изменение.
Последнее редактирование: 3 года 3 мес. назад от Aleksej.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
2 года 5 мес. назад #7 от superlamer
superlamer ответил в теме Безопасный htaccess для Joomla
Можно просто вот так:

For example you can add this code to your .htaccess file, paste it just after “RewriteEngine On” :

RewriteCond %{REQUEST_URI}  ^/images/  [NC,OR]
RewriteCond %{REQUEST_URI}  ^/media/  [NC,OR]
RewriteCond %{REQUEST_URI}  ^/logs/  [NC,OR]
RewriteCond %{REQUEST_URI}  ^/tmp/
RewriteRule .*\.(phps?|sh|pl|cgi|py)$ - [F]

This code will block all attempts to run scripts outside the Joomla control.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
2 года 5 мес. назад #8 от serge
serge ответил в теме Безопасный htaccess для Joomla
Пример самого безопасмного .htaccess для Joomla приведен, соответственно, на страничке joomla.org:

docs.joomla.org/Htaccess_examples_(security)

Только не упускайте из виду это предупреждение...

This .htaccess file is not meant to be just dropped in your site. You should go through all sections and modify the file to match your site. Most notably, all instances of example.com and example\.com should be replaced with your real domain name. Some sections may cause problems with legitimate requests.

You are ultimately responsible for disabling sections or writing exception rules for legitimate requests that fail. Most notably, the advanced server protection section will cause issues with several minifiers, eXtplorer, VirtueMart and other extensions which use non-standard scripts as their entry points. You must add exceptions manually to the proper area of the file.


А я смогу! - А поглядим! - А я упрямый!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.