Як зламати сайт на DLE

21

Від автора: вітаю вас, друзі. Незважаючи на назву статті, в ній ми, звичайно ж, не будемо говорити про те, як зламати сайт на DLE. Я не хакер, а якщо б і був таким, то своїх секретів б не видав Як зламати сайт на DLE , власне, як і будь-який серйозний хакер. Зате у даній статті ми трохи поговоримо про безпеку сайту на движку DLE. Почнемо?

Отже, перше, що варто відзначити, так це те, що безпека — це досить актуальне питання, особливо для DLE. Хоча з серпня 2013 року в офіційному списку вразливостей DLE не опубліковано нових, проте це аж ніяк не означає, що неофіційно таких немає. У будь-якому випадку, в питаннях безпеки краще перестаратися, ніж потім шкодувати над зламаним сайтом.

Давайте розглянемо декілька порад, які можуть допомогти захистити ваш сайт. Почнемо з самого, мабуть, відомого ради, яким потрібно слідувати завжди. На будь-якому сайті. Полягає раду в тому, що ваш пароль повинен бути досить складним. Це ні в якому разі не повинно бути слово зі словника (тобто значущим словом типу password, admin, які можна знайти в звичайному словнику).

Також в якості пароля не варто вибирати дату народження або будь-яку іншу значущу дату. Не потрібно використовувати в якості пароля email, адресу сайту або що-небудь ще, пов’язане з сайтом.

В ідеалі, пароль повинен включати в себе: букви, цифри, знаки пунктуації одночасно. Довжина пароля бажана не менше восьми символів. Також бажані символи як у верхньому, так і в нижньому регістрі. Такий пароль буде досить стійкий і підібрати його буде практично неможливо.

Добре, з паролем ми розібралися. Які ще можна дати поради? Наступний буде стосуватися логіна. Ні в якому разі не вибирайте в якості логіна такі слова як: admin administrator, root user. Також не варто вибирати в якості логіна щось пов’язане з вашим сайтом: домен, публічний email і т. п.

З логіном також зрозуміло. Тепер перейдемо до засобів, які пропонує нам сам DLE. Всі вони знаходяться в адмінпанелі в меню Налаштування системи — Налаштування безпеки скрипта.

Як зламати сайт на DLE

Перше, що нам пропонують змінити ім’я файлу адмінпанелі. За замовчуванням це не дуже добре, оскільки це є стандартним адресою і дозволяє різним ботам легко звертатися до адмінпанелі з спробами підібрати до неї пароль і зламати її.

DLE дозволяє перейменувати файл без додаткових зусиль. Перейменуйте його на будь-яке інше назву, можна навіть просто додати цифру до нього і збережіть зміни тут же, натиснувши кнопку Зберегти нижче. Після цього не забудьте перейменувати файл admin.php в корені сайту, давши йому нове ім’я. Тепер при зверненні до змін адресою http://site/admin.php буде повернуто помилку і адмінпанель буде доступний за новою адресою.

Власне, за такою ж схемою ви можете скористатися і іншими пропонованими засобами, благо, кожна настройка описана і пояснена. Я вам раджу звернути увагу на наступні налаштування і по можливості використовувати їх:

Метод авторизації в адмінпанелі — вибрати Розширений метод

Список IP для яких дозволена авторизація в адмінпанелі скрипта — вказати IP-адресу(а) адміністратора

Ну і, звичайно ж, не забувайте головна порада: оновіть вашу версію движка на актуальну, якщо в колишній були знайдені уразливості. На цьому у мене все. Удачі!