[Хак] Защита админки в DLE

Тема в разделе "DataLife Engine", создана пользователем smurf, 28 ноя 2012.

  1. smurf

    smurf

    Регистрация:
    20 май 2012
    Сообщения:
    195
    Симпатии:
    215
    Защита сгодится для параноиков.
    Можно убрать проверку по IP, если у вашего персонала динамический IP.
    И сказать с какой страницы можно зайти в админку.
     
  2. mtrolik

    mtrolik

    Регистрация:
    7 дек 2012
    Сообщения:
    195
    Симпатии:
    39
    Есть еще такой способ:
    Придумываем второй логин и пароль для админки. После чего

    Заходим на сайт md5encryption.com, в пустое поле вставляем второй выдуманный пароль и нажимаем кнопку "Ecrypt It!".
    На выходе получаем пароль в кодировке md5.
    1) Открываем файл admin.php и после строк


    ================================================== ===
    Файл: admin.php
    -----------------------------------------------------
    Назначение: админпанель
    ================================================== ===
    */



    Добавляем:
    $login="ваш_придуманый_второй_логин";
    $password="второй пароль в кодировке md5";
    if (!isset($_SERVER['PHP_AUTH_USER']) || $_SERVER['PHP_AUTH_USER']!==$login || md5($_SERVER['PHP_AUTH_PW'])!==$password) {
    header('WWW-Authenticate: Basic realm="Admin Panel"');
    header('HTTP/1.0 401 Unauthorized');
    exit("Access Denied");}



    2) Сохраняем результат на сервере и идём в админку.

    Для входа в админку нужно будет пройти двойную авторизацию.
    Первая панель авторизации от DLE , а вторая добавлена вами.

     
  3. Narvin

    Narvin

    Регистрация:
    26 мар 2013
    Сообщения:
    1
    Симпатии:
    0
    Хм. Надо будет попробовать. Но лучший вариант - это постоянно обновление двига. Такую систему проф. хакеры думаю могут обойти которая описанна выше
     
  4. Lion18

    Lion18

    Регистрация:
    3 дек 2012
    Сообщения:
    256
    Симпатии:
    36
    Да нет. Целка давно защиту не обновляла, все на дыры и плюются!
    На нуледе давно темку открыли.Хотят собрать круг доверенных личностей и заказать программеру латку всех дыр!
     
  5. mtrolik

    mtrolik

    Регистрация:
    7 дек 2012
    Сообщения:
    195
    Симпатии:
    39
    Можно еще закрыть доступ к admin.php через .htaccess
     
  6. Lion18

    Lion18

    Регистрация:
    3 дек 2012
    Сообщения:
    256
    Симпатии:
    36
    Интересно что это даст?
    Сейчас есть методы защиты ложными админками и блоками на админку.Думаю стоит ставить антивирусник который кидает на мыло инфу о изменении файлов на сервере. + Ко всему бекапы некто не отменял....
     
  7. mtrolik

    mtrolik

    Регистрация:
    7 дек 2012
    Сообщения:
    195
    Симпатии:
    39
    ограничить доступ по ip
     
  8. broker

    broker

    Регистрация:
    27 мар 2013
    Сообщения:
    56
    Симпатии:
    13
    Лучше всего обновлять двиг на актуальную версию всегда. Хотя если бы меня взломали один раз, то я бы перешел на другую CMS типа WordPress /InstantCms/Eleanor. Но слава богу пока такого не было!
     
  9. asmels

    asmels

    Регистрация:
    16 апр 2013
    Сообщения:
    10
    Симпатии:
    0
    ограничение доступа по ip не всегда актуальна, так как у многих динамические ip и разные подсети
     
  10. Rudnizki

    Rudnizki

    Регистрация:
    15 май 2013
    Сообщения:
    4
    Симпатии:
    0
    Лучший вариант это переименовать admin.php и пойти спокойно спать :Smile:
     
  11. mtrolik

    mtrolik

    Регистрация:
    7 дек 2012
    Сообщения:
    195
    Симпатии:
    39
    Тоже хороший вариант. И заморочек никаких.