Организация защиты PHP-Nuke

В вопросе организации защиты у PHP-Nuke сложилась немного неприятная репутация, но не все плохие новости. Что касается последних версий - 7.3 и выше - то там действительно исправлено много ошибок. В последующей версии 7.5, которая должна быть выпущена до издания этой книги, разработчики пообещали сконцентрировать свое внимание именно на организации защиты.

Итак, насколько все плохо? Я не знаю, что компания Fortune 500 хочет запустить свой публичный коммерческий Web-сайт о PHP-Nuke, но PHP-Nuke никогда не разрабатывался для этого. Одним из способов является наложение запрета на IP-адреса людей, которые пытались взломать ваш Web-сайт. Эта функция вносится в PHP-Nuke между версиями 7.4 и 7.5 (хотя профессионалы РНР могут модифицировать PHP-Nuke файлы в ранних версиях этой программы, чтобы добавить запрет на IP адреса). Также вы можете обратиться к вашему провайдеру с просьбой обеспечить такой запрет; некоторые из провайдеров предоставляют эту услугу.

Еще одним способом обеспечения защиты вашего сайта является отключение пересылок файлов на ваш Web-сайт. В PHP-Nuke есть несколько возможностей пересылки, а именно в аватарах форума. Отключите эту функцию и этим вы закроете множество потенциальных слабых мест (для более детальной информации обращайтесь к главам об администрировании форумов).

Хорошим способом проверки наличия слабых мест является запуск текущей версии скрипта analyze.php, который вы просто загружаете на ваш Web-сайт, а затем посещаете его как нормальную Web-страницу (другими словами, настройте ваш Web-браузер на этот сайт). Вы можете перейти на этот скрипт по адресу http://phpnuke.org/modules.php7namesPH P-Nuke_HOWTO&page=test-scrlpts.html или http://nukecops.com/downloads-fHe-13-details-Analy2er.mmt.

Помните, что на Web-сайте PHP-Nuke есть несколько слабых мест, и вам необходимо регулярно проверять обновления защиты сайта по каждой из этих проблем;

? Сам PHP-Nuke. Скачайте исправленную версию с сайта www.phpnuke.org или www.nukeresources.com.

? Ваш механизм работы с базой данных, обычно это MySQL. Для более детальной информации зайдите на сайт www.mysqi.com или, если вы пользуетесь услугами провайдера, попросите его установить какие-либо ожидающие выполнения исправления для организации защиты.

? Ваш Web-cepeep, обычнв это Apache. Провайдеры должны устанавливать для вас последние исправления; спросите, есть ли эти исправления у вашего провайдера. На официальном Web-сайте, www.apache.org, выставляются последние исправления.

? Язык системы PHP-Nuke - РНР, который описан на сайте www.php.net. И опять же, услугу по обновлению языка вам должен предоставлять ваш провайдер, если он у вас есть.

? Операционная система вашего сервера, которых множество. Провайдеры должны делать такие обновления своевременно.

Еще одна защитная уловка: откройте файл вашего сайта config.php и сделайте изменения в защитном ключе, который устанавливается по умолчанию. В действительности, это надо сделать сразу же после начала использования вашего сайта. Вы можете изменить переменную $sitekey, присвоив этой переменной любое значение, но не оставляйте ее в состоянии по умолчанию и не используйте простые слова или фразы - сделайте ее по крайней мере длиннее, чем она была в начале.

В форумах отключите HTML и активируйте BBcode. Язык BBcode предоставляет простые функции форматирования и позволяет избегать проблем с зашитой, связанных с использованием языка HTML в отсылках форумов. Чтобы помочь удалить файловые пересылки, удалите файл modules/Web Mail/mailattach.php (этого файла не будет, если вы не установили или не обновили этот файл из старых версий). Вы можете найти другие советы касательно установки защиты на сайте http://phpnuke.org/modules.php?name=PHP-Nuke_HOWTO&page=securtty-measures.htm!.

Вы все еще боитесь? Давайте рассмотрим наихудший сценарий развития событий: ваш сайт взломали. В зависимости от типа хакера, могут произойти три вещи:

? Хакер изучит информацию о вашем сайте, вплоть до зашифрованных паролей пользователей. Используя относительно прямые техники (однако отнимающие много времени), хакеры могут расшифровать зашифрованные пароли. Так как многие пользователи используют одинаковые пароли во всем Интернете, то хакеры получат возможность заходить на другие Web-сайты, выдавая себя за пользователей вашего сайта.

? Будет немного лучше, если хакер повредит ваш сайт. Исправить повреждения можно, используя резервную копию вашего сайта. Вы уже делали резервные копии, правда?

? Хакер может уничтожить ваш сайт. Чтобы получить информацию о том, как восстановить ваш сайт из его резервных копий, Я знаю, что вы сделали резервные копии.

Насколько велика данная проблема? Очевидно, что раздавать пароли ваших пользователей не хорошо. Но, если честно, по этой причине пользователям следует использовать разные пароли для разных сайтов, независимо от возникающих неудобств. Постарайтесь помочь своим пользователям понять это, и этим вы окажете им большую услугу. Плохо, когда ваш сайт поврежден или стерт, но степень возникающих проблем зависит от назначения Web-сайта. Если вы используете Web-сайт только, чтобы поделиться информацией об играх или секретах кулинарного искусства, то вы будете скорее разочарованы, но не воспримите возникшую ситуацию как катастрофу; если вы используете PHP-Nuke для размещения в Интернете сверхсекретного Web-сайта, доступ к которому имеют только секретные агенты ЦРУ, то нанесенный вам ущерб просто не оценить, что может грозить вам ущерб просто не оценить, что может грозить самоубийством. Вы можете сделать что-либо другое, но для начала вышлите мне адрес своего сайта, пожалуйста.

Наилучшее, что вы можете сделать - это установить новые версии PHP-Nuke, в которых есть новые исправления системы защиты. Я ленюсь обновлять PHP-Nuke, пропуская сразу несколько версий. Но вам лучше не лениться, так как вам надо думать о защите сайта. Между прочим, о процессе обновлении и рассказываю в главе 66; я думаю, что вы найдете этот процесс веселым и вдохновляющим. По крайней мере, это совсем несложно.

И это все, что я должен сказать о защите? В общем, да. Но это не означает, что защита не важна - поверьте мне, я всегда забираюсь на стол и кричу об этом - это означает, что организовать защиту сложно, Такой материал как скрипты, установка неправлений и тому подобное может заинтересовать вас только, если вы профессионально занимаетесь защитой сайтов. Если PHP-Nuke нужен вам только для размещения небольшого сайта с несколькими тысячами пользователей, то вы, возможно, будете удовлетворены, если последуете моему совету; делайте обновления версий PHP-Nuke и выберите хостинго-вую компанию, которая будет регулярно устанавливать исправленные версии и обновления программного обеспечения.

Другой вывод состоит в том, что PHP-Nuke не предоставляет идеальную защиту, здесь мало средств, позволяющих вам организовать защиту вашего сайта. Имеем то, что ссть; вы должны либо примириться с продуктом и регулярно обновлять его, либо отказаться от данного программного обеспечения. PHP-Nuke становится все более и более защищенным, по, скорее всего, в нем всегда будут какие-то трещины. Проблемные места есть во всех программных продуктах. Постоянно изменяющаяся природа PHP-Nuke делает затруднительным отслеживание процесса исправления трещин, однако сайт www.phpnuke.org - это хороший сайт, с которого можно начать изучать информацию по этой теме.