форум общения русскоязычных пользователей CMS Текстпаттерн
Вы не зашли.
Не раз уже на форуме возникал вопрос про взломоустойчивость ТхП
И ответ всегда один - Пока взломов не отмечено.
Не забываем, что ТхП не позволяет свободную регистрацию всех подряд и это само по себе придает устойчивость системе.
Доступ к любой из страниц сайта ничего не дает агрессору, т.к. страницы сайта отделены от администрирования.
И тем не менее червячок сомнения всегда имеет место быть.
Давно зрел вопрос - как поставить дополнительный заслон для админ.панели ТхП, используя средства сервера?
Вот здесь было предложено 2 пути:
1. доступ по IP
2. дополнительная серверная авторизация.
Жаль, что кроме предложения ничего не последовало.
По первому варианту вопрос остался открытым, а вот по второму есть работающий вариант.
Необходимо, чтобы сервер, где установлен ТхП, поддерживал паролирование директорий, т.н. базовую аутентификацию.
Итак - решение.
1. создаем файл .htpasswd (если не знаем как создавать - можно просто скопировать уже готовый, если где на сервере применяется паролирование директорий и Вы знаете какой там прописан логин-пароль.) Через ftp заливаем этот файл в каталог /textpattern/
2. создаем файл .htaccess (в любом текстовом редакторе), куда вносим следующие строки:
AuthType Basic AuthUserFile /polnyi/absolutnyi/put`/k_vashemu_saitu_na_servere/textpattern/.htpasswd AuthName "vrag ne proidet!" require valid-user
и заливаем через ftp этот файл в каталог .../textpattern/...
Важно! в строке переменной AuthUserFile должен быть указан ПОЛНЫЙ АБСОЛЮТНЫЙ путь на сервере к вашему сайту
проверяем: заходим через броузер в админ.панель - должно выскочить окошко, предлагающее ввести логин-пароль.
Если все ок, то после ввода логина-пароля входим в админку ТхП.
P.S. Если что непонятно, прежде чем начать экспериментировать - лучше спросите здесь.
Успехов!
Неактивен
Только, нужно еще не забыть залить туда е файл .htpasswd, который можно сгенерить, например ЗДЕСЬ
А то без этого файлика все вышеописанное работать не будет.
Неактивен
Похоже - я слегка поторопился...
Решение не идеально...
следствия экспериментов вызывают вот такой эффект: http://textpattern.ru/forum/viewtopic.php?id=1172
причина понятна (к сожалению- только сегодня дошло :-( )
на textpattern.ru вызываются стили через файл: http://textpattern.ru/textpattern/css.php
который, вследствии вышеприведенных манипуляций, оказывается запароленным.
вывод - либо выносить css файл отдельно, либо дальше разбираться с htaccess и искать способ исключить из авторизации файл .../textpattern/css.php
Неактивен
По поводу ограничения доступа по IP, можно добавить в .htaccess такие строки:
Order Deny,Allow Deny from all Allow from 10.10.0.1
Что позволит сначала все запретить доступ к директориям находящимся внутри и разрешить доступа только с ip 10.10.10.1
Плюс к этому можно добавить запрет на доступ к файлам:
<FilesMatch "\.(html|php)$"> Order Deny,Allow Deny from all Allow from 10.10.0.1 </FilesMatch>
Что запретит доступ всем пользователям за исключением тех, чей IP 10.10.0.1, ко всем файлам, имеющим расширение html или php. Можно указать неограниченное количество расширений, разделяя их знаком < | >.
Неактивен
Conwell написал:
позволит сначала все запретить доступ к директориям находящимся внутри и разрешить доступа только с ip 10.10.10.1
аккуратнее с этим.
файл css.php лежит внутри директории textpattern
к нему доступ тоже будет ограничен у всех пользователей, кроме ip 10.10.10.1
P.s. замечание относится к верхнему коду
Отредактированно Evgeny (08-05-2008 14:55:08)
Неактивен
Evgeny, в таком случае правильнее использовать только вторую часть, по маске файлов уже там задавая исключения.
Чтобы получилось что-то вроде:
<FilesMatch "css.php"> Order Allow, Deny Allow from all </FilesMatch> <FilesMatch "\.(html|php)$"> Order Deny,Allow Deny from all Allow from 10.10.0.1 </FilesMatch>
Неактивен
Conwell, спасибо за код! обязательно попробую.
Неактивен
Пробую
Неактивен