Содержание
Защита сайта на MODX Revolution
Команда разработчиков MODX постоянно проводит аудит кода и исправляет проблемы безопасности разрабатываемой системы управления. Тем не менее, абсолютно защищенных сайтов не существует. При их создании необходимо самому приложить определенные усилия для повышения уровня безопасности интернет-проекта.
Эффективные способы защиты
Перемещение ядра (каталог core)
Ядро приложения должно располагаться в максимально недоступном для доступа извне месте. Лучший вариант решения проблемы – перенести каталог с ядром MODX (core) за пределы корневого web-каталога, то есть выше по дереву файловой системы: к примеру «/core» вместо «/public_html/core». При этом все остальные папки должны быть доступны из Интернет.
После перенесения каталога нужно отредактировать конфигурационные файлы, указав в них новый путь до ядра MODX:
- config.core.php
- connectors/config.inc.php
- core/config/config.inc.php
- manager/config.inc.php
По окончании желательно перезапустить установку сайта как при обновлении.
Смена адреса административной панели
Второе по важности изменение – перенесение админки сайта, что помешает ботам быстро опознать сайт как созданный с помощью MODX. Возможность обнаружения, конечно, остается, но станет значительно сложнее.
Административная панель сайта на MODX по дефолту находится по адресу http://site.ru/manager. Переместить системную папку несложно – достаточно переименовать сам каталог (например, из manager в mysecuresite), а затем указать новый путь в файле конфигурации core/config/config.inc.php.
Регулярное обновление MODX
Всегда обновляйте MODX до последней стабильной версии. Это уменьшит вероятность взлома сайта через уже известные уязвимости.
Требование регулярно обновляться относится не только к самому движку, но и к дополнениям MODX. Для повышения безопасности старайтесь выбирать только проверенные временем дополнения.
Настройка прав доступа
В случае, если над вашим сайтом работает несколько человек одновременно (особенно это касается контент-менеджеров), стоит задуматься над установкой минимально необходимых прав доступа для них.
Маловероятно, что сотрудникам, которые занимаются информационным наполнением сайта, понадобится доступ к системным настройкам, шаблонам, чанкам и сниппетам.
Резервное копирование
Регулярно выполняйте резервное копирование как самого сайта, так и базы данных. Только в этом случае появится возможность быстро восстановить сайт после атаки злоумышленников или случайных некорректных действий с вашей стороны.
Архивы должны создаваться постоянно в автоматическом или ручном режиме и сохраняться на другом физическом носителе, нежели сам сайт. Таких архивов следует создавать несколько, причем держать их необходимо в разных местах.
Кстати, через месяц, 31 марта, отмечается международный день резервного копирования (День бэкапа), призванный привлечь общественное внимание к вопросам обеспечения сохранения информации, а также распространить информацию о необходимости защиты от потери данных.
Если вы только начинаете разворачивать сайт, желательно воспользоваться возможностью расширенной установки MODX Revolution. В этом случае изначально произвести перемещение ядра и смену адреса панели будет значительно проще.
Усилив систему безопасности своего сайта, не забывайте и о регулярном мониторинге: проверяйте журналы ошибок на предмет подозрительных сообщений, список пользователей, изменения критически важных файлов.
Безопасность MODX — основные уязвимости и защита сайта от взлома.
Автор Алексей На чтение 8 мин Просмотров 3.4к. Опубликовано Обновлено
В прошлом уроке мы произвели расширенную установку MODX, тем самым закрыли часть уязвимостей. После входа в админку, вы наверное заметили ошибку: «Каталог ядра в открытом доступе» и жирным написано: Это не рекомендуется из соображений безопасности. А ниже ссылка на руководство по закалке на английском языке. У меня на блоге есть подобное руководство на русском — которое относится к любым сайтам и не только.
Сегодня мы поговорим о уязвимостях MODX, как защитится от взлома и избавится от ошибки «Каталог ядра в открытом доступе«.
Критические уязвимости modx
Ноябрь 2016 — обнаружена первая критической уязвимости, она основана на SQL иньекциях. Подвержены сайты — которые используют стандартный префикс modx — я так понимаю она еще актуальна.
Июль 2018 — найдены еще две критические уязвимости безопасности. Первая позволяет злоумышленникам удалять на сайте папки и файлы, вторая — загружать на сервер вредоносный код и и выполнять его. — Профикшено в MODX 2.6.5 и выше. Похожая уязвимость так же была найдена в дополнении Gallery версии 1.7.0 и ниже — обновите до 1.7.1.
Обновление до версии 2.6.5 с исправлением уязвимостей выпустили на следующий день. Дополнение Gallery было обновлено до версии 1.7.1.
Апрель 2019 — обнаружен exploit для сайтов, в которых где осталась директория setup. Данная «дыра» позволяет получить полный доступ к сайту, а если хостиг не айс, то и к веб-серверу. — Уязвимость на данный момент не устранена, так что проверьте свой сайт на нее: введите в адресную строку браузера адрес вашего домена + /setup (как в уроке по установке) — если установщик запустится, то зайдите на хостинг и удалите папку setup.
Защита MODX — руководство по закалке
Внимание! Если у вас боевой сайт — перед началом, сделайте его полный бэкап!
Защита ядра и служебных каталогов
Защитить ядро можно несколькими способами: вынести ядро (папка Core) из публичной папки. Далеко не на всех хостингах это можно сделать, либо переименовать каталог core.
Защитить служебные каталоги (connectors и manager) можно их переименованием их.
Служебные каталоги мы уже защитили в прошлом уроке, осталось переименовать ядро, давайте сделаем это сейчас, для этого идем в файловый менеджер и переименовываем core в Ejdf20jkfg20ff_core (я добавил такой же префикс, который указывал когда при установке переименовывал служебные каталоги — не используйте его в своих проектах — придумайте или сгенерите свой), в конечном итоге получаем следующее.
И наш сайт перестал работать! Исправим это, для этого нам нужно поправить пути в файлах конфирураций:
/config.core.php
, manager/config.core.php
, connectors/config.core.php
В файле core/config.core.php
указываем все новые пути.
После чего удаляем папку с кэшем core/cache и проверяем работоспосбность сайта. Если сайт не работает, значит где-то не поправили путь.(.*)$ [R=404]
php_flag display_errors off
Защита таблиц базы данных
Если во время установки MODX, в настройках БД, вы не изменили префикс таблиц, который предлагается по умолчанию «modx_». То меняем его на сложный, для этого идем в phpMyAdmin (управление базами данных в админке хостинга):
- в левой части phpMyAdmin кликаете на название нужной базы;
- в основной области появится список всех таблиц, внизу которого надо отметить чекбокс «Отметить все»;
- справа от чекбокса комбобокс «С отмеченными:» в котором надо выбрать «Заменить префикс таблицы»;
- в новом окне указать старый префикс и новый префикс, на который надо заменить старый.
после этого идем в core/config.core.php
, меняем в нем префикс и удаляем папку с кэшем.
Базовая защита от определения CMS
Для тех кто устанавливал MODX не по моему мануалу, проверьте отключение «X-Powered-By», чтобы сайт не «палился», отправляя в заголовках информацию о том, что сайт сделан на MODX.
Идем в системные настройки, в поиск по ключу вбиваем send_poweredby_header — ставим нет.
Дополнительные примочки по защите
Кроме описанных выше приёмов, можно применить еще пару небольших хитростей.
Многие «попсовые» CMS добавляют свои мета теги с указанием названия и версии CMS, например джумла:
<meta name=»generator» content=»Joomla x.x.x» />
можно смело добавить такой код, чтобы увести возможных злоумышленников по ложному следу.
В добавок к этому, можно создать фэйковую стандартную страницу входа в админку указанной версии имитируемой CMS.
Большинство автоопределялок будут интерпретировать наш движок как Joomla, а если хулиганы захотят залезть в админку, то будут долго и нудно пытаться подобрать отмычки к нерабочему замку.
Каталог ядра в открытом доступе — решение проблемы
Если после всего выше перечисленного у вас все еще весит в админке данное уведомление (а оно в 90% еще весит). Можно смело избавиться от данной ошибки. Для этого переименуйте файл ht.access в .htaccess, который лежит в каталоге core. После этого идем в каталог «core/docs» и удаляем из него файл «changelog.txt».
Если ошибка не ушла, очистите кэш.
Полное скрытие информации о том что сайт работает на MODX
После проделанного выше большинство сервисов автоматического определения CMS, не поймут что сайт работает на MODX, но практически любой знающий модх человек, с большой долей вероятности определит ее, по подключенным скриптами пакетов из папки assets, и как я писал выше ее тоже можно скрыть, но влечет за собой кучу проблем.
- Если сайт боевой, то в данном каталоге скорее всего лежат все картинки, скрипты, стили — следовательно к ним изменится путь — это пародист 404 ошибки (файл не найден) — в плюс со стороны поисковых систем думаю не с играет.
- Если забить на поисковики, либо предположить что у вас свеже установленный сайт. То все равно это пародит кучу доп проблем. Например: нам нужно будет избавляться от всего что выводится в код из данного каталога: скриптов, которые подключаю пакеты, картинок которые вы режете при помощи pThumb (или подобных пакетов) и т.д.
Для тех кому трудности не почем, и кто решил все таки переименовать каталог assets, читаем далее, пути решения выше упомянутых проблем. Уточню! Актуально в первую очередь для тех у кого сайт с контентом!
Переделываем шаблоны
Если у вас все файлы хранились в assets/ то дизайн у вас весь поломался, так как такого каталога больше нет. Рекомендую в корне сайта создать каталог template (или просто в корень) и перенести все файлы шаблона (скрипты, стили и т.д. в него), далее сменить все пути в шаблонах, сделать это можно быстро при помощи пакета ModxDevTools (функция поиск и замена — работает для обычных шаблонов и чанков — в статических не ищет, там правите руками).
Изменяем путь к уменьшенным изображениям
При использовании pThumb, phpthumbof
или phpthumbon
, мы имеем путь к изображению вида /assets/components/pthumb/cache/7a...73.jpg
. Так как папку assets
мы переименовали. Но умный скрипт или зоркий глаз может увидеть components/pthumb/cache
и все понять.
Чтобы поменять этот путь заходим в системные настройки и меняем значения в полях Images Base Directory (pthumb.ptcache_images_basedir) и pThumb Cache Location (pthumb.ptcache_location), на новые значения. Также рекомендую включить: Используйте pThumb Cache (pthumb.use_ptcache) — Да
После чего удаляем папки с кэшированными картинками из /assets/components/phpthumbof/cache/
Возможные проблемы с miniShop2
Если пропали картинки товаров miniShop2 — перейдите в Медиа -> Источники файлов -> MS2 Images
, и отредактируйте настройки basePath
и baseUrl
. Укажите новый путь к папке assets или к папке с изображениями вне assets.
Прочие проблемы
Это далеко не все, открываем код и ищем в нем assets
и смотрим что еще выводится, например js скрипты — их тоже нужно перенести! В будущем расширю данную статью решением прочих проблем. Если столкнулись с ними — пишите в комментариях, постараюсь вам помочь.
Защищаем MODX Revolution / Хабр
Привет, друзья!
Немало статей написано и переписано о том, как защитить MODX, но в этой статье я опишу не только стандартные рекомендации по защите инстанса MODX Revolution (далее я буду писать просто MODX, потому что ветка MODX Evolution — это тупиковая ветвь «эволюции» являющаяся рудиментом не заслуживающим внимания современных разработчиков), но и некоторые новые методы «заметания следов».
Итак, начнем самого важного.
Существует две разновидности установщика MODX — это Traditional и Advanced.
Какая между ними разница?
Traditional — это простой вариант установки на любой хостинг соответствующий рекомендациям для установки MODX, где ядро устанавливается прямо в корень публичной папки сайта. Незатейливые «сайтоклёпы» ставят версию Tradtiional, не закрывают директории от просмотра и в итоге всё содержимое сайта, в т.ч. служебных директорий, попадает в индекс поисковиков. Не станем фантазировать на тему, к чему это может привести. Здесь всё понятно.
Advanced — версия для парней, которые, как минимум «смотрели кино про нидзей». Этот вид установщика позволяет разместить ядро MODX вне публичной папки, спрятав его от посягательств злоумышленников. Для серьезных проектов это рекомендуемый вариант, но лично я его использую всегда.
Защита ядра
Защитить ядро можно двумя способами:
1. На нормальном хостинге — вынести ядро из публичной папки и можно его не переименовывать и не настраивать .htaccess лежащий в этом каталоге (на VDS не стоит забывать о настройке прав доступа пользователя, от которого запускается Apache).
2. На дурацком хостинге — переименовать каталог ядра воспользовавшись, например, генератором паролей (без спецсимволов, конечно же — только буквы и цифры) И во время установки указать физический путь к каталогу ядра. Именно поэтому лучше использовать Advanced установщик.
Защита служебных каталогов
Не секрет, что кроме каталога ядра, другие служебные каталоги должны остаться в публичной папке сервера.
Что нам сделать для защиты от попыток взлома через коннекторы и попыток проникнуть в админку? Стандартные наименования каталога коннекторов /connectors, а для админки — /manager, и это палево.
Во время установки вам будет предложено изменить эти названия. В этом нам поможет, правильно, — генератор паролей и, как ни странно, в случае с админкой собственная голова. Название каталога админки лучше сделать человекопонятным, но не /admin, конечно же 🙂
Возможно, вы захотите спросить: Почему мы не прячем /assets?
И, возможно, я отвечу: А зачем? Все картинки и скрипты лежат в /assets, а в коде страницы есть все ссылки на картинки и скрипты 🙂
Защита таблиц БД
Во время установки, в настройках БД, по умолчанию предлагается префикс таблиц «modx_».
Так дело не пойдет
. И вновь нам поможет генератор паролей (Помнишь, товарищ? Только из букв и цифр!). Меняем стандартный префикс на кракозябры, в конце которых ставим нижнее подчеркивание. Например, «IU1xbp4_».
Защита от определения CMS
Сервисы автоматического определения CMS сайтов, конечно, не в курсе, что MODX — это CMF, но это не мешает им определить, что контентом на сайте рулит именно MODX. Казалось бы, мы уже спрятали всё что надо. А вот и нет.
Первым делом, при установке MODX Revolution необходимо отключить чекбокс «X-Powered-By», который включен по умолчанию (на картинке ниже). Это необходимо для того, чтобы MODX не «палился», отправляя в заголовках информацию о том, что сайт сделан на MODX.
Если сайт уже установлен, то проверить этот параметр можно в системных настройках по адресу: домен_вашего.сайта/manager/?a=system/settings
И в поле «Поиск по ключу» ввести «send_poweredby_header» или просто «header» и нажать Enter на клавиатуре. Значение «send_poweredby_header» должно быть установлено как «Нет».(.*)$ [R=404]
</IfModule>
Кое-что ещё
Кроме описанных приёмов, можно применить небольшую хитрость, чтобы увести возможных злоумышленников по ложному следу. Некоторые «попсовые» CMS добавляли метатэги с указанием названия CMS:
<meta name="generator" content="WordPress x.x.x" />
Можно смело добавить в свой код такой тэг, и создать фэйковую стандартную страницу входа в админку указанной версии имитируемой CMS.
Автоопределялки будут интерпретировать наш MODX как WordPress, а если хулиганы захотят залезть в админку, то будут долго и нудно пытаться подобрать отмычки от простого замка к сканеру сетчатки глаза ( это метафора 🙂 ).
А что, если сайт уже установлен?
В час наименьшей нагрузки, переименуйте все указанные каталоги (/core, если позволяет хостинг, лучше вынести из паблика).
Смените префикс существующих, с помощью phpMyAdmin:
- в левой части phpMyAdmin кликаете на название нужной базы;
- в основной области появится список всех таблиц, внизу которого надо отметить чекбокс «Отметить все»;
- справа от чекбокса комбобокс «С отмеченными:» в котором надо выбрать «Заменить префикс таблицы»;
- в новом окне указать старый префикс и новый префикс, на который надо заменить старый.
Затем, если у вас Traditional, но вы хотите заменить на Advanced, то поверх содержимого /core (или как вы его по-новому назвали) надо записать содержимое каталога /core из архива Advanced установщика, а в корень сайта поместить /setup.
Проверить права и доступ (на каталоги 755, на файлы 644).
Запустить процесс установки.
Во время установки вам надо будет указать физический путь до каталога ядра.
ВАЖНО выбрать вариант установки «Расширенное обновление (с настройкой параметров базы данных)», потому что после ввода данных БД, появится диалог переименования каталогов.
Можно, конечно, было залезть в config.inc.php и отредактировать всё там. Но зачем что-то делать, если этого можно не делать? 🙂
На этом всё. Если информация из этой статьи окажется Вам полезной — супер. Если захотите что-то спросить, добавить или просто поумничать — вэлкам в коменты!
Защита MODX Revolution — Обслуживание
Введение¶
Повышение безопасности любого веб-приложения, включая MODX Revolution, подразумевает аудит всех уровней вашего сайта, включая ваш сервер, все его службы и само приложение. Не заблуждайтесь: здесь как на войне. Если вы не боитесь, значит вы не обращаете внимания. Простой факт наличия веб-сайта в Интернете гарантирует, что вы можете стать целью взлома. У взломщиков разные мотивы, но что совершенно точно — они будут искать и использовать самое слабое звено.
Защита — это огромная тема, поэтому эта страница поможет вам определить, какие векторы атак могут быть наиболее распространенными на вашем сайте, и помочь вам закрыть их.
Все кроме MODX¶
Есть множество аспектов защиты, которые не имеют ничего общего с MODX. Мы упоминаем о них здесь поверхностно, но эта страница посвящена именно тому, как укрепить MODX. Тщательный аудит безопасности будет сосредоточен на всей среде, поэтому не упускайте из виду следующие аспекты:
Ваш компьютер¶
Использование любой версии Windows до Windows Vista — это почти смертельное желание. Усиление защиты старых систем Windows — это титанические усилия, и если вы не будете чрезвычайно опытны и бдительны, ваш компьютер с версией до Vista, скорее всего, будет содержать серьезные бреши в безопасности.
Но не дайте себя обмануть: ЛЮБУЮ операционную систему можно взломать. Не думайте, что вы неуязвимы, если вы работаете на Mac или Linux. Работайте как пользователь с ограниченными разрешениями, обновляйте свою систему и запускайте программное обеспечение для динамического обнаружения вторжений, чтобы защитить вас от клавиатурных шпионов или вирусов, захватывающих снимки экрана. Никогда не сохраняйте свои пароли или другую информацию для входа в виде обычного текста, используйте безопасное программное обеспечение, такое как LastPass, для хранения ваших паролей.
НИКОГДА не используйте общедоступный компьютер: насколько вы знаете, этот компьютер сохраняет каждое имя пользователя и пароль, которые вы вводите.
Ваше подключение¶
Предcтавьте, что кто-то следит за тем, что вы делаете, каждый раз, когда вы подключены к общедоступной сети Wi-Fi.
По возможности используйте только проводные соединения (без Wi-Fi). Никогда не используйте общедоступный Wi-Fi и никогда не используйте беспроводное соединение, в котором используется шифрование, отличное от WPA2. Перехватывать пакеты, проходящие через маршрутизатор, слишком просто. Обладая лишь скромными навыками взлома, кто-то может читать ваши имена пользователей и пароли, когда они путешествуют по кофейне.
Ваш сервер¶
Независимо от того, насколько безопасны все остальные элементы, это может не значить ничего, если ваш сервер недостаточно защищен. Например, если ваш FTP пароль взломан, вы ничего не сможете сделать, чтобы гарантировать целостность своего сайта. Отключите все ненужные службы и, если возможно, полностью смените FTP в пользу SFTP. Рассмотрите возможность полного отключения аутентификации по паролю в пользу логинов с ключом SSH и если вы используете SSH-ключ, убедитесь, что вы используете сложную парольную фразу.
Убедитесь, что на вашем сервере установлен хороший брандмауэр и определенная форма обнаружения вторжений, которая динамически обнаруживает попытки взлома. ModSecurity — это модуль безопасности для веб-сервера Apache
, который помогает предотвратить ряд злонамеренных атак.
Регулярно обновляйте свой сервер и его технологии! Если в какой-либо части вашего сервера будет обнаружено какое-либо слабое звено, это может быть трещина в дамбе, которая затопит весь ваш сайт миром боли. Держите свой сервер актуальным!
Пароли и логины¶
Выбирайте длинные случайно сгенерированные пароли и регулярно их обновляйте. Более длинные пароли обычно сложнее с математической точки зрения, чем короткие, даже если в ваших паролях используются специальные символы. Используйте соль для ваших паролей с легко запоминающейся фразой для увеличения длины пароля — хороший метод для снижения шансов на успех атаки методом грубой силы. Опять же, вы ДОЛЖНЫ надежно хранить свои пароли в каком-то зашифрованном формате. Гораздо лучше записывать пароли в блокноте, который вы храните в запертом картотеке, чем хранить их в виде обычного текстового файла на вашем компьютере.
Очень важно: никогда не используйте один и тот же пароль дважды Часто взломы оказываются успешными, потому что одна служба скомпрометирована и пароль расшифрован, а пользователь неосознанно или лениво использовал тот же пароль для других сайтов или служб. НЕ ЛЕНИТЕСЬ!!!
Поддерживайте чистоту¶
Удалите со своего сайта все ненужное. Удалите все неиспользуемые изображения или javascript файлы. Особенно плохи любые устаревшие PHP-скрипты или, не дай бог, любые резервные копии или zip-файлы внутри корня вашего сайта. Думайте о своем сайте как о падающем дирижабле: если он вам не нужен, выбросьте его, прежде чем вы рухнете и сгорите. Если вы, например, не используете конкретный Плагин, Сниппет или Шаблон, удалите его файлы со своего сервера. То, что он не активирован, не означает, что его нельзя использовать!
Резервные копии¶
Одна из самых важных вещей, которые вы можете сделать для своего веб-сайта — это настроить инкрементное резервное копирование вне сайта. Нет никакой гарантии, что вас не взломают, поэтому лучшее, что вы можете сделать — это обеспечить как минимум резервные копии для восстановления вашего сайта, если и когда он подвергнется атаке.
Социальный инжиниринг¶
Многие взломы включают в себя старый добрый обман: кто-то звонит или пишет вам по электронной почте и запрашивает информацию под ложным предлогом. Не дайте себя обмануть! Вы УВЕРЕНЫ, что это ваш клиент спрашивает ваш пароль? Или это кто-то, кто зашел в их электронную почту? Ознакомьтесь с книгой Кевина Митника Ghost in the Wires: он смог получить исходный код многих корпораций просто позвонив нужному человеку по телефону.
Укрепление MODX¶
Вы заметите, что это только одна небольшая часть процесса защиты. Помните: MODX — это только один аспект вашей среды, поэтому не пренебрегайте предыдущим разделом!
Изменение путей по умолчанию¶
В отличие от Evolution, MODX Revolution позволяет довольно легко изменять имена различных каталогов и перемещать ядро за пределы корневого веб-каталога. Обратите внимание, что только ядро может (и должно) перемещаться за пределы корневого веб-каталога, потому что другие каталоги должны быть доступны через Интернет. Изменение имен каталогов имеет решающее значение, если вы не хотите, чтобы ваш сайт подвергался компрометации и не попадал в список избранного для каждого хакерского бота.
Расширенная установка позволяет вам указывать имена и местоположения различных каталогов во время установки, но на некоторых хостах он не будет успешно установлен.
Прежде чем делать что-либо из этого, сделайте резервную копию своего сайта и своей базы данных!
core¶
Это, пожалуй, самый важный путь для изменения. Переместите основной каталог из корневого каталога веб-сайта. Вы же не хотите, чтобы кто-то ковырялся в браузере и использовал любые потенциальные слабые места. Одно простое место для размещения — это просто одна папка над корнем вашего документа, то есть /core/
вместо /public_html/core/
. После того, как вы переместите его, вам нужно будет обновить следующие детали конфигурации:
-
core/config/config.inc.php
(измените$modx_core_path
переменную) -
/config.core.php
(в корне сайта) -
/connectors/config.core.php
-
/manager/config.core.php
- Таблица базы данных
modx_workspaces
(это необходимо только в более старых версиях MODX) — это лучше всего сделать, повторно запустив установку, как вы могли бы сделать при переносе MODX сайта с одного сервера на другой
Важно: Если вы переместите и / или переименуете ядро, вам также придется изменить путь к процессорам ($modx_processors_path
) в файле config.inc.php
, если он не определен относительно каталога ядра, поскольку каталог процессоров находится в основном каталоге.
Вы, вероятно, захотите продолжить и обновить другие пути, но просто имейте в виду, что как только вы закончите, вам следует перезапустить установку, чтобы убедиться, что все ваши пути корректны.
manager¶
Путь к Менеджеру — второй по важности шаг к изменениям. В конце концов, если кто-то увидит, что у вас есть хорошая страница входа в MODX по адресу https://yoursite.ru/manager/, не понадобится гений, чтобы понять, что вы используете MODX и грубые попытки взлома могут начаться.
Выберите случайно сгенерированный буквенно-цифровой фрагмент текста для использования в качестве нового каталога Менеджера. Для максимальной совместимости следует использовать только строчные буквы. Затем обновите файл core/config/config.inc.php
до следующего вида:
$modx_manager_path = '/home/youruser/public_html/r4nd0m/';
$modx_manager_url = '/r4nd0m/';
Перемещение Менеджера позволит избежать того, чтобы боты могли легко определить ваш MODX сайт, но все же возможно, что кто-то в конечном итоге сможет найти ваш новый каталог Менеджера (нелегко, но вполне возможно). Для еще более тщательного решения вы можете поместить URL-адрес Менеджера в совершенно другой домен, например $modx_manager_url`` = https://othersite.ru/r4nd0m/;
Это потребует, чтобы у вас было несколько доменов на вашем сервере, но преимущество здесь в том, что это действительно отсекает попытки взломать ваш сайт, потому что не будет ясно, связаны ли эти два домена, но потребуется гораздо больше работы системного администратора, чтобы заставить этот тип настройки работать.
Вы также можете заблокировать доступ к Менеджеру, настроив свой сервер и / или его брандмауэр, чтобы разрешить доступ к URL-адресу Менеджера с определенных IP-адресов. Например, если к вашему сайту имеют доступ только сотрудники в офисе, вы можете настроить сервер так, чтобы он отклонял запросы с IP-адресов за пределами офиса. Другой способ — поместить пароль .htaccess
в каталог Менеджера. Это будет означать, что пользователям придется вводить 2 отдельных пароля перед входом в Менеджер MODX. Возможно, это не удобно, но так надежнее.
connectors¶
Как и в случае с каталогом Менеджера выберите случайное буквенно-цифровое имя для каталога коннекторов, а затем обновите файл core/config/config.inc.php
, чтобы отразить новое местоположение, например
$modx_connectors_path = '/home/youruser/public_html/0therp4th/';
$modx_connectors_url = '/0therp4th/';
Как и в случае с Менеджером, он также потенциально может находиться в отдельном домене, однако, поскольку Менеджер использует коннекторы в качестве конечных AJAX точек, он должен находиться в том же домене, что и Менеджер, если вы также не разрешаете кроссдоменные запросы.
assets¶
URL-адрес ресурсов может быть изменен, но это изменение с самым низким приоритетом, поскольку любой, кто посещает ваш сайт, сможет изучить исходный HTML-код и увидеть пути к этому каталогу. Но все равно хорошо поменять, просто чтобы запутать любые попытки понимания, какой сайт перед взломщиком.
$modx_assets_path = '/home/youruser/public_html/4ssetsh4r3/';
$modx_assets_url = '/4ssetsh4r3/';
Опять же — это потенциально может существовать в другом домене (например, оптимизированном для обслуживания статического контента). Поскольку дополнительные пользователи устанавливают здесь свой javascript код для внутренних Компонентов, обычно он должен использовать один и тот же домен (источник), если вы не настроили кроссдоменные запросы. Вы можете использовать Источники файлов в MODX для размещения ваших внешних ресурсов или загрузок где угодно, поэтому обычно лучше всего хранить ресурсы в том же домене, что и Менеджер.
Отслеживание путей¶
После изменения всех этих путей сохраните новые местоположения в надежном месте (как и ваши пароли), а затем повторно запустите утилиту установки MODX, чтобы убедиться, что все установлено правильно.
Это сделает ваш сайт более безопасным, но обновление вашего сайта станет более сложным: вам придется объединять различные каталоги компонентов вместе для каждого следующего обновления MODX.
Изменение страницы авторизации¶
Вы также можете замаскировать страницу входа в систему своего Менеджера, чтобы не было очевидно, что вы используете MODX. См. Страницу в Пользовательские темы системы управления для получения дополнительной информации.
Изменение префиксов по умолчанию у базы данных¶
Лучше всего это сделать при первой установке MODX, но всегда полезно избегать значений по умолчанию и выбирать собственный префикс базы данных для ваших таблиц вместо префикса modx_
по умолчанию. Если хакер каким-то образом может выдавать произвольные команды SQL с помощью атаки SQL-инъекцией, использование настраиваемых префиксов таблиц значительно усложнит атаку.
Использование уникального имени для админа¶
Если ваше имя администратора сложно угадать, это замедлит любую попытку взлома методом перебора. Случайно сгенерированный набор символов обеспечит наиболее безопасное имя пользователя. Никогда не используйте имя, которое легко угадать (НИКОГДА не используйте имя пользователя, например admin
, manager
или имя, которое соответствует имени сайта — их слишком легко угадать). Помните, что большая часть взлома — это социальная инженерия — вы хотите, чтобы кто-то практически не мог угадать ваше имя администратора.
Принудительная политика паролей¶
Удалите со своего сайта всех неактуальных пользователей (например, если вы создали логин для разработчика при первой настройке сайта, обязательно деактивируйте этого пользователя после того, как его / ее работа будет завершена). Убедитесь, что каждый пользователь использует сложный пароль.
Настройка отдельной 404 страницы¶
Не указывайте в качестве 404 страницы просто вашу главную страницу. Настройте специальную страницу 404 (используйте Системную переменную error_page). Мы не хотим, чтобы наш сайт привлек к себе чрезмерное внимание, потому что сканер считает, что у вас есть страница на вашем сайте, а у вас ее нет. Например, если сканер ищет известную уязвимость на https://yoursite.com/malicious/hack, и запрос возвращается как HTTP 200
, то сканер может подумать, что у вас действительно есть этот уязвимый файл на вашем сайте, и он привлечет другие взломы или сканирование. Вы можете использовать надстройку браузера «Веб-разработчик» (или аналогичные) для просмотра заголовков страниц и проверки того, что 404-е на самом деле являются 404-ю.
Использование SFTP доступа¶
Никогда не используйте простой FTP
, это небезопасно! Если ваш сервер не поддерживает SFTP
или подключение через защищенную оболочку, вам лучше найти другой хост.
Добавление SSL сертификата в Менеджер¶
Отправлять имена пользователей и пароли открытым текстом — это глупо: любой глупый хакер с долей самоотверженности может их перехватить. Если безопасность является приоритетом, вы должны всегда обращаться к своему Менеджеру MODX через безопасное соединение (то есть через HTTPS). Пока вы это делаете, вы также можете решить обслуживать весь свой сайт через HTTPS
.
Если вы не знаете, как настроить сертификат, обратитесь к своему хостинг-провайдеру.
Есть разные варианты сертификатов.
Использование общего SSL сертификата¶
Некоторые хостеры предлагают общий SSL-сертификат для каждого сервера. Часто это уродливые URL-адреса, такие как server321.myhost.com/~myuser/manager/
, но они могут быть быстрым и простым решением.
Использование самоподписного сертификата¶
Самоподписные сертификаты не пользуются доверием браузеров (по уважительной причине), но это может быть жизнеспособным вариантом. Хотя это не доказывает вам, что вы разговариваете с правильным сервером, это разрешает шифрование связи. Подробнее о самозаверяющих сертификатах здесь.
Использование надлежащего сертификата¶
Подлинные сертификаты выдаются центрами сертификации, которые обычно взимают с вас деньги в зависимости от уровня проверки. Проверка домена — это простейший метод, который просто подтверждает, что у вас есть доступ к домену, для которого вы запрашиваете сертификат, обычно по электронной почте или путем загрузки файла на сервер. Расширенные сертификаты или сертификаты, подтверждающие организацию, также подтверждают, что вы являетесь тем, кем себя называете, и, как результат, обеспечивают повышенную безопасность для ваших посетителей.
Многие хостинг-провайдеры недавно начали предлагать бесплатные SSL-сертификаты с проверкой домена, которые можно установить одним нажатием кнопки.
Использование SSL для Менеджера¶
После того, как вы подключили свой сайт для использования HTTPS
, вам нужно заставить Менеджер использовать SSL
. Во-первых, вы должны подтвердить, что оба http://yoursite.com/ И https://yoursite.com/ работают должным образом. Обязательно проверьте наличие предупреждений о смешанном содержимом, которые означают, что на странице есть файлы, которые загружаются через незащищенное соединение.
Убедившись, что HTTPS
работает, теперь вы можете изменить файл .htaccess
(это верно для веб-сервера Apache
, для NGINX
и других нужно исправить соответствующий конфигурационный файл), чтобы все подключения к диспетчеру выполнялись через порт 443 (т.е. через безопасное соединение).
Внутри папки вашего Менеджера (которую вы к настоящему времени изменили из каталога по умолчанию /manager/
) вы должны отредактировать файл /manager/.htaccess
, чтобы установить безопасное соединение.
Вот пример файла .htaccess
, который нужно поместить в каталог вашего Менеджера:
RewriteEngine On
RewriteBase /
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://example.com/manager/$1
Проверьте это, попытавшись перейти по незащищенному URL-адресу, например http://yoursite.com/manager — если он не перенаправляет на HTTPS
, вам придется поправить .htaccess
.
Мониторинг вашего сайта и сервера¶
После того, как вы укрепите свой сайт и сервер, вам будет полезен регулярный мониторинг. Доступны некоторые бесплатные услуги. Лучшие из них будут отслеживать определенные файлы и сообщать обо всех внесенных в них изменениях. Если ваш index.php
внезапно изменился, это может означать, что кто-то злонамеренно его изменил.
Безопасность — Школа MODX
Если вы еще ни разу не задумывались о безопасности своих сайтов, поздравляю вас, ваши сайты скорее всего заражены какой-нибудь гадостью.
Уверены, что это не так? Я буду искренне рад ошибиться. Но практика говорит об обратной тенденции. Огромная армия «веб-разработчиков» ни разу не обновляла движок, не просматривала логи, не проверяла наличие посторонних файлов, не меняла годами пароли. Сплошь и рядом встречаешь вопросы о древних версиях движка, а ведь это потенциальные «счастливчики», которые с высокой степенью вероятности являются частью ботнета.
Безопасность — это то, что может и должно делать вас настоящим параноиком. И как настоящий параноик вы должны делать все, чтобы не заразиться каким-нибудь трояном, дорвеем или шеллом.
Но не надо думать, что MODX это дырявый движок и что его постоянно взламывают. Взламывают абсолютно все движки и данная статья в равной степени относится к любой CMS платной или бесплатной. Вопрос безопасности в большинстве случаев зависит не от движка, а от отношения к безопасности сайта.
Вот несколько профилактических советов, которые не уберегут вас, но хотя бы помогут снизить риск:
1. Пароль
Начну с самого банального и уже миллион раз сказанного. Никогда не используйте простые пароли! 123456, qwerty, password, admin, test и т.д. ЗАБУДЬТЕ ИХ НАВСЕГДА! Пароль должен состоять из случайного набора букв и цифр. Записывайте эти пароли и меняйте как можно чаще. И вообще, для кого я в левой колонке генератор паролей повесил?
Для поднятия настроения, которое дальше я вам буду усиленно портить, вот анекдот в тему:
— Извините, Ваш пароль используется более 30 дней, необходимо выбрать новый!
— розы
— Извините, слишком мало символов в пароле!
— розовые розы
— Извините, пароль должен содержать хотя бы одну цифру!
— 1 розовая роза
— Извините, не допускается использование пробелов в пароле!
— 1розоваяроза
— Извините, необходимо использовать как минимум 10 различных символов в пароле!
— 1грёбанаярозоваяроза
— Извините, необходимо использовать как минимум одну заглавную букву в пароле!
— 1ГРЁБАНАЯрозоваяроза
— Извините, не допускается использование нескольких заглавных букв, следующих подряд!
— 1ГрёбанаяРозоваяРоза
— Извините, пароль должен состоять более чем из 20 символов!
— 1ГрёбанаяРозоваяРозаБудетТорчатьИзЗадаЕслиМнеНеДашьДоступПрямоБляСейчас!
— Извините, этот пароль уже занят!
2. Логин администратора и других пользователей
Про пароли и так вроде бы все всё знают, поэтому двигаемся далее. Знаете ли вы, что большинство сайтов на MODX имеют пользователя admin, причем это пользователь с административными правами? У вас не так? Поздравляю! Но большинство просто не догадывается использовать какой-то другой логин для администратора, потому что «так было в уроках». Ну а теперь представьте, что у вас администратор с логином admin и паролем 123456… И уверяю вас, таких умников хватает. Ах, да, вторым по популярности пользователем является manager… Беден и скуп русский язык на английские слова.
Кстати, вы уже 16842 посетитель, который неожиданно для себя решил попробовать подобрать логин и пароль к этому сайту 🙂
3. Вход в административную панель
В сравнении с предыдущими двумя пунктами это не менее серьезно, но чтоб вы знали, 99,99% сайтов MODX Evolution имеют один и тот же адрес панели управления, и это не смотря на то, что теперь его можно легко менять. Смена адреса админки конечно же не гарантирует 100% защиты сайта, но потенциальному взломщику может усложнить процесс. Если вы настоящий параноик, вы знаете что нужно делать 😉
Для остальных рассказываю:
1. Переименовываете папку manager, например в reganam
2. В файле assets/cache/siteManager.php меняете manager на reganam
3. В файле robots.txt меняете запись Disallow: /manager/ на Disallow: /reganam/
4. Не афишируйте на какой CMS сделан ваш сайт
Каждый движок обладает признаками, по которым его можно определить с высокой степенью вероятности. Есть такие и у MODX. Но это не означает, что вы должны сообщать всем прохожим, что ключ от вашей квартиры лежит под ковриком в подъезде. Да, кстати, этот сайт сделан на Джумле.
5. Обновляйте CMS своевременно
Чем больше прошло времени с момента выхода нового обновления до того момента, как вы решили обновиться, тем больше ваш сайт подвержен уязвимости. Выход новых версий, как правило, сопровождается списком внесенных изменений, в том числе и связанных с устранением дыр в системе безопасности. Этому могут предшествовать публикации о взломах или найденных дырах. Т.е. потенциально каждая новая версия движка снижает безопасность старых версий и подвергает их дополнительному риску. Но если вы любитель острых ощущений, просто проигнорируйте этот пункт.
6. Не используйте сомнительные дополнения
Скрипты, модули, плагины, сниппеты — сколько всего интересных разработок, которые так и хочется использовать в своих проектах! Фу-фу-фу! Очень часто мы сами закачиваем вирусы на свой сервер. Это тот случай, когда самым опасным и уязвимым элементом сайта является его администратор!
7. Выбирайте правильный хостинг
Надежных хостингов не существует. Надежных виртуальных хостигов нет вообще. Миф разрушен. Но большинство сайтов расположены именно на виртуальных хостингах. Но, независимо от типа хостинга, выбирайте тот хостинг, где поддержка будет относиться к вам как заботливая мать к неразумному ребенку, т.е. вытирать вам нос на каждый чих. Пожалуй, это единственный объективный критерий любого хостинга.
Помимо непосредственной безопасности сервера, о которой вам никто ничего рассказывать не будет, у виртуальных хостингов есть еще одна повсеместная беда. Общественные IP адреса, которые вам выдают на виртуальном хостинге, очень часто попадают в блеклисты. Происходит это по понятным причинам, чем больше сайтов на одном IP тем выше вероятность заражения какого-нибудь сайта и как следствие блокировки IP. По этой причине НИКОГДА не заводите почтовый сервер на виртуальном хостинге. А если все таки нужна почта на домене, лучше используйте яндексовскую почту для доменов. Хостеры как могут борятся с этой бедой, но за блеклистами следует следить и самостоятельно, например, с помощью этого сервиса, и напоминать хостеру при необходимости.
Риск попадания в блеклисты резко снижает наличие выделенного IP, но за все в этом мире надо платить.
8. FTP и SSH
Настоящий параноик хочет только одного, да и этого немного, да почти что ничего, а конкретно он хочет защищенного соединения с сервером. Поэтому, если есть возможность, которую должен предоставить хостер, отказывайтесь от FTP в пользу SSH. Что это и с чем едят, советую изучить заочно. Скачайте SSH-клиент, например WinSCP и наслаждайтесь процессом. Если же ваш хостинг не предоставляет вам такого удовольствия, а предлагает влачить жалкое существование по FTP каналу, то ни в коем случае не храните свои пароли в FTP-клиенте. И пусть вам сопутствует удача.
9. Контролируйте логи, системные сообщения, проверяйте наличие посторонних файлов
Визуальный контроль ни коим образом не обезопасит, но вы имеете шанс своевременно узнать о взломе. А чем раньше вы это узнаете, тем проще будет решить проблему. В первую очередь уделяйте внимание системным сообщениям. Информация о том, что были изменены системные файлы является пожарной тревогой. Срочно ищите что было изменено и к чему это привело.
Периодически проверяйте сайт на подозрительные файлы. В этом вам поможет замечательный скрипт AI-Bolit. Несложная инструкция по установке находится здесь. Если у вас нет достаточных знаний, то просто сверяйте все подозрительные файлы с аналогичными из исходников движка.
10. Бекапы
Делайте бекапы. И этим все сказано. Кто не сохранился, я не виноват.
11. Личная гигиена
Большинство пользователей едят перед компьютером и сильно пачкают едой клавиатуру. Еда гниет и из клавиатуры начинают расползаться страшные и вредные вирусы. Поэтому, обязательно мойте руки до, после и желательно вместо клавиатуры. И это не шутка. Но если быть чуть ближе к теме, то под личной гигиеной я подразумеваю чистоту и безопасность тех устройств, через которые вы подключаетесь к серверу или работаете с сайтом. Не пренебрегайте проверками своего компьютера. Именно через ваш компьютер злоумышленникам проще всего добраться до вашего сайта.
Итак, вы прониклись и стали настоящим параноиком в безопасности вашего сайта. Но вас все равно взломали. А я предупреждал, что советы советами, а вирусы все равно не дремлют, в отличии от вас. И первый вопрос, что делать? Ну и далее по классику, кто виноват?
1. В первую очередь необходимо установить хронологию событий. Надо выяснить когда и как это произошло. Помогут в этом access_log и error_log. Если вы не знаете как их посмотреть, обратитесь к хостеру.
2. Смените все пароли!
3. Просканируйте файлы сайта скриптом AI-bolit или попросите об этом своего хостера. Анализ подозрительных файлов поможет выявить угрозы.
4. Проверьте антивирусом все компьютеры, с которых осуществлялся доступ к сайту. Надеюсь, объяснять, что проверяемый компьютер должен быть на это время отключен от интернета, не нужно?
5. Помните, я говорил вам про бекапы? Если выявить и устранить угрозу не получается, восстановите сайт из резервной копии и обратитесь за помощью к специалистам.
6. Обновите CMS до актуальной версии.
Отзывы, советы и замечания приветствуются.
Безопасность в MODX Revolution — ITforWeb.ru
После эпичного взлома MODX Revolution, произошедшего приблизительно с 12 по 20 июля 2018 года, многие совершенно естественно задумались о том, как максимально защитить свои сайты от повторения подобного. После восстановления 10+ сайтов невольно задумываешься о многом! Мне пришлось восстанавливать больше пятнадцати взломанных и заражённых сайтов, и поэтому в процессе я сделал для себя небольшую инструкцию на будущее, что должно быть сделано для безопасности в MODX в обязательном порядке.
Базовая защита
Желательно предпринять все действия по «закалке» Модэкса, описанные в официальном руководстве, в особенности то, что касается перемещения и переименования основных папок.
1. Обновление
Необходимо обязательно обновиться до последней версии MODX Revolution 2.6.5 или старше, а также обновить все плагины до последних версий. Особенно Gallery, именно через него были взломаны многие сайты. При восстановлении сайтов я успешно обновлял их с 2.2.16 до 2.6.5.
2. Перемещение папки core на уровень выше
Вынести папку core над public_html — одно из самых важных действий. После этого необходимо заменить пути к папке core на новые пути в следующих файлах:
/core/config/config.core.php
/public_html/config.core.php
/public_html/connectors/config.core.php
/public_html/manager/config.core.php
3. Переименование служебных папок
Переименовать все служебные папки (assets, connectors и manager), например так:
assets -> assets6827hdh3gj2
connectors -> connectors6893ngkeh49dj
manager -> manager9673jdhdg373
После переименования нужно прописать новые пути к этим папкам тут:
/core/config/config.core.php
Саму по себе папку /assets/ можно оставить для файлов шаблонов и всяких подгружаемых картинок. При этом в новую папку /assets6827hdh3gj2/ нужно перенести только папку /assets/components/ и служебные папки, которые создавались компонентами, то есть, всё то, что вы сами не создавали, но оно там как-то появилось.
4. Настройка плагинов Gallery и PhpThumbOf
Также, если вы используете плагины Gallery и PhpThumbOf, в их настройках лучше указать пути именно к старой папке assets.
Системные настройки для Gallery:
gallery.files_url = /assets/gallery/
gallery.files_path = /path_on_your_server/public_html/assets/gallery/
gallery.default_batch_upload_path = /path_on_your_server/public_html/assets/images/
Системные настройки для PhpThumbOf:
phpthumbof.cache_url = /assets/cache/
phpthumbof.cache_path = /path_on_your_server/public_html/assets/cache/
Теперь эти плагины будут создавать файлы и папки в старой папке / assets / и не будут светить новую папку в HTML-коде.
Зачем вообще это нужно?
Есть данные, что во время взлома вражеские скрипты тупо проверяли доступность на сайте файла /assets/components/gallery/connector.php, и если он был доступен, взламывали сайт, посылая на этот коннектор определённые запросы. Скрывая папку /assets/ через переименование, вы сможете избежать такой атаки. Для этого же нужно и разделение папки assets на две. За счёт того, что файлы шаблона будут лежать в старой папке, именно путь /assets/ будет светиться в HTML-коде вашего сайта. О существовании папки /assets6827hdh3gj2/ злоумышленники могут и не догадаться, ведь этот путь по большей части будет использоваться в админке сайта. Если только какой-то специфический компонент не потребует явного указания своих скриптов в коде страницы! Что ж, тогда придётся засветить этот путь… Или перенести необходимые файлы компонента в старую папку /assets/, убедившись, что после этого всё работает, что предпочтительнее с точки зрения безопасности, хоть и может создать проблемы при обновлении.
5. При установке MODX указывайте нестандартный префикс баз данных
Это классика закалки Модэкса. Можно переименовать например так: modx_ -> g538_
6. Зачистка старого кэша
На этом этапе логично зачистить всё содержимое папки /core/cache/
Более продвинутая защита
1. Необходимо закрыть папки коннекторов и админки базовой авторизацией через .htaccess или в вашем конфиге для NGINX. Напомню, что папка core уже вынесена над public_html. Если нет, то закройте и её тоже. Дополнительный слой защиты с хорошим паролем никогда не помешает!
2. Уберите из файла robots.txt специфичные для MODX Revolution папки, чтобы по нему нельзя было с ходу понять, на какой системе сделан сайт. Это же касается системного параметра send_poweredby_header, он должен быть выставлен в «нет»
3. Пропишите в .htaccess или в вашем конфиге для NGINX, чтобы при обращении к файлу /public_html/config.core.php в корне вашего сайта возвращался ответ 404 – страница не найдена. Это также поможет затруднить определение CMS.
Общие вещи в порядке паранойи
1. Убедитесь, что для всех файлов на вашем сайте выставлены правильные разрешения. По умолчанию в MODX это 755 для папок, и 644 для файлов.
2. Убедитесь, что используете сложные пароли для пользователей админки
3. Скачайте сайт и прогоните его какой-нибудь антивирусной утилитой типа «ai-bolit» чтобы убедиться, что там нет ничего вредоносного.
4. Подключите какой-нибудь сертификат SSL, например бесплатный от LetsEnctypt.
5. Поставьте максимально высокую версию PHP для сайта.
6. Забэкапьте все файлы и базу на сервере и у себя локально, настройте систему реулярных бэкапов на хостинге.
7. Закройте доступ через SSH из контрольной панели хостера или настройте доступ по публичному ключу, если это выделенный сервер.
Заключение
В целом, даже этих мер достаточно, чтобы надолго забыть про проблемы с безопасностью в MODX Revolution. Кстати, уже после очищения сайтов, злоумышленники продолжают регулярно бомбить адрес /assets/components/gallery/connector.php и получать 404 в ответ. Враг не дремлет, и вы тоже не спите!
Защищаем MODX Revolution
Привет, друзья!
Немало статей написано и переписано о том, как защитить MODX, но в этой статье я опишу не только стандартные рекомендации по защите инстанса MODX Revolution (далее я буду писать просто MODX, потому что ветка MODX Evolution — это тупиковая ветвь «эволюции» являющаяся рудиментом не заслуживающим внимания современных разработчиков), но и некоторые новые методы «заметания следов».
Итак, начнем самого важного.
Существует две разновидности установщика MODX — это Traditional и Advanced.
Какая между ними разница?
Traditional — это простой вариант установки на любой хостинг соответствующий рекомендациям для установки MODX, где ядро устанавливается прямо в корень публичной папки сайта. Незатейливые «сайтоклёпы» ставят версию Tradtiional, не закрывают директории от просмотра и в итоге всё содержимое сайта, в т.ч. служебных директорий, попадает в индекс поисковиков. Не станем фантазировать на тему, к чему это может привести. Здесь всё понятно.
Advanced — версия для парней, которые, как минимум «смотрели кино про нидзей». Этот вид установщика позволяет разместить ядро MODX вне публичной папки, спрятав его от посягательств злоумышленников. Для серьезных проектов это рекомендуемый вариант, но лично я его использую всегда.
Защита ядра
Защитить ядро можно двумя способами:
1. На нормальном хостинге — вынести ядро из публичной папки и можно его не переименовывать и не настраивать .htaccess лежащий в этом каталоге (на VDS не стоит забывать о настройке прав доступа пользователя, от которого запускается Apache).
2. На дурацком хостинге — переименовать каталог ядра воспользовавшись, например, генератором паролей (без спецсимволов, конечно же — только буквы и цифры) И во время установки указать физический путь к каталогу ядра. Именно по этому лучше использовать Advanced установщик.
Защита служебных каталогов
Не секрет, что кроме каталога ядра, другие служебные каталоги должны остаться в публичной папке сервера.
Что нам сделать для защиты от попыток взлома через коннекторы и попыток проникнуть в админку? Стандартные наименования каталога коннекторов /connectors, а для админки — /manager, и это палево.
Во время установки вам будет предложено изменить эти названия. В этом нам поможет, правильно, — генератор паролей и, как ни странно, в случае с админкой собственная голова. Название каталога админки лучше сделать человекопонятным, но не /admin, конечно же 🙂
Возможно, вы захотите спросить: Почему мы не прячем /assets?
И, возможно, я отвечу: А зачем? Все картинки и скрипты лежат в /assets, а в коде страницы есть все ссылки на картинки и скрипты 🙂
Защита таблиц БД
Во время установки, в настройках БД, по умолчанию предлагается префикс таблиц «modx_». Так дело не пойдет. И вновь нам поможет генератор паролей (Помнишь, товарищ? Только из букв и цифр!). Меняем стандартный префикс на кракозябры, в конце которых ставим нижнее подчеркивание. Например, «IU1xbp4_».
Защита от определения CMS
Сервисы автоматического определения CMS сайтов, конечно, не в курсе, что MODX — это CMF, но это не мешает им определить, что контентом на сайте рулит именно MODX. Казалось бы, мы уже спрятали всё что надо. А вот и нет.
Для примера, возьмем первую ссылку из приведенного выше списка поиска Google, и попробуем открыть файл настроек config.core.php, или, не смотря на то, что на этом сайте уже закрыт листинг каталогов, по ссылке «www.vvhotel.ru/core/config/config.inc.php», сайт отдает результат исполнения файла .php, а это значить что каждый из этих файлов существует и даже по первому из них можно предположить, что сайт на MODX.
Скрыть этот файл можно при помощи .htaccess, дописав:
<IfModule mod_rewrite.c>
RewriteCond %{REQUEST_URI} ^(.(.*)$ [R=404]
</IfModule>
Кое-что ещё
Кроме описанных приёмов, можно применить небольшую хитрость, чтобы увести возможных злоумышленников по ложному следу. Некоторые «попсовые» CMS добавляли метатэги с указанием названия CMS:
<meta name="generator" content="WordPress x.x.x" />
Можно смело добавить в свой код такой тэг, и создать фэйковую стандартную страницу входа в админку указанной версии имитируемой CMS.
Автоопределялки будут интерпретировать наш MODX как WordPress, а если хулиганы захотят залезть в админку, то будут долго и нудно пытаться подобрать отмычки от простого замка к сканеру сетчатки глаза ( это метафора 🙂 ).
А что, если сайт уже установлен?
В час наименьшей нагрузки, переименуйте все указанные каталоги (/core, если позволяет хостинг, лучше вынести из паблика).
Смените префикс существующих, с помощью phpMyAdmin:
- в левой части phpMyAdmin кликаете на название нужной базы;
- в основной области появится список всех таблиц, внизу которого надо отметить чекбокс «Отметить все»;
- справа от чекбокса комбобокс «С отмеченными:» в котором надо выбрать «Заменить префикс таблицы»;
- в новом окне указать старый префикс и новый префикс, на который надо заменить старый.
Затем, если у вас Traditional, но вы хотите заменить на Advanced, то поверх содержимого /core (или как вы его по-новому назвали) надо записать содержимое каталога /core из архива Advanced установщика, а в корень сайта поместить /setup.
Проверить права и доступ (на каталоги 755, на файлы 644).
Запустить процесс установки.
Во время установки вам надо будет указать физический путь до каталога ядра.
ВАЖНО выбрать вариант установки «Расширенное обновление (с настройкой параметров базы данных)», потому что после ввода данных БД, появится диалог переименования каталогов.
Можно, конечно, было залезть в config.inc.php и отредактировать всё там. Но зачем что-то делать, если этого можно не делать? 🙂
На этом всё. Если информация из этой статьи окажется Вам полезной — супер. Если захотите что-то спросить, добавить или просто поумничать — вэлкам в коменты!
Автор: Scissor
Источник
Как взламывают сайты и как защитить себя — поддержка MODX Cloud
Современные веб-сайты обычно полагаются на программное обеспечение, такое как система управления контентом (CMS), такая как MODX, WordPress, Joomla! и Drupal; или другое программное обеспечение, такое как инструменты электронной коммерции, форумы, галереи и т.п. CMS и другое программное обеспечение добавляют значительный контроль и множество ценных инструментов для управления вашим сайтом, пользователями и контентом.
В любом программном обеспечении есть потенциальные уязвимости, содержащиеся в коде.Возможно, вы привыкли к тому, что Microsoft и Apple регулярно выпускают обновления для своих операционных систем. Многие из этих выпусков включают важные обновления безопасности.
Регулярные выпуски программного обеспечения
Издатели программного обеспечения веб-сайтов и CMS выпускают новые версии, которые включают исправления безопасности, чтобы помочь защитить владельцев сайтов от использования уязвимостей. Когда кто-то обнаруживает или сообщает об уязвимости, ответственные издатели работают над исправлением ошибки и публикуют новую версию, в зависимости от характера и серьезности проблемы.
Звездный рекорд MODX
MODX имеет меньше серьезных уязвимостей, приводящих к эксплуатации веб-сайтов. В истории MODX было всего три крупных и широко распространенных события взлома сайтов. В 2014 году их было два; один для версий Revoution ниже 2.2.15 и другой для сайтов с AjaxSearch на MODX Evolution 1.0.13 и ниже. В июле 2018 года произошла необычная массовая атака на сайты с версией 2.6.4 и ниже, а также на сайты с установленными дополнениями.Хотя недавняя атака затронула многих пользователей MODX, это была первая подобная атака за 14 лет, прошедших с тех пор, как мы впервые опубликовали MODX.
Для сравнения, владельцы сайтов, которые используют другое программное обеспечение для веб-сайтов, такое как WordPress, Joomla! и Drupal столкнулся с гораздо более частыми и разрушительными событиями эксплуатации. Чтобы узнать больше о недавней статистике взломанных сайтов, этот отчет от Sucuri показывает процент взломанных сайтов по платформам.
Почему был выбран мой сайт?
Многие владельцы сайтов и веб-дизайнеры считают, что взлом веб-сайтов — это целевые атаки .Это неправда . Автоматические атаки составляют почти все взломанные веб-сайты.
Автоматизация и широкое распространение
Эти автоматизированные атаки представляют собой сценарии (небольшие программы), часто размещаемые на других взломанных сайтах, которые подключаются ко многим веб-сайтам, чтобы узнать, есть ли у них известные эксплойты. Во многих случаях эти хакерские сценарии будут иметь серию сценариев, которые будут искать несколько известных уязвимостей из длинного списка популярного программного обеспечения для веб-сайтов, такого как WordPress, Joomla !, Drupal, VBulletin, SimpleMachines Forum и т. Д.Вредоносные сценарии редко заботятся о том, какое программное обеспечение вы установили на своем веб-сайте. Если один из сценариев успешен, это все, что нужно.
Аналогия
Представьте себе вора, появляющегося на огромной автостоянке у торгового центра. Они могут проверить сотни автомобилей, чтобы узнать, не заперта ли одна из них. Если одна из них не заперта, они могут попасть внутрь. Вор не пришел на автостоянку в поисках Prius Дель Хана. Вор искал одну или несколько открытых машин. Сценарии, описанные выше, делают именно это: проверяют сотни сайтов, чтобы узнать, какой из них открыт и к которому есть доступ.
В очень редких случаях сайты становятся жертвами хакеров. Обычно, когда хакер сосредотачивается на веб-сайте, это происходит потому, что сайт может содержать ценную информацию, предоставлять доступ к важной информации или может быть ценной целью для выкупа или преднамеренного ущерба репутации организации. Опять же, это очень редко.
Обеспечение безопасности вашего сайта
Обеспечение безопасности вашего веб-сайта от взлома или защиты в случае взлома аналогично защите, которую вы должны иметь для любого компьютера в вашем доме или офисе.
1. Держите свое программное обеспечение и любое связанное с ним программное обеспечение в курсе последних выпусков.
2. Регулярно создавайте резервные копии всего вашего веб-сайта и баз данных и храните их подальше от веб-сайта.
3. Используйте индивидуальные учетные записи с надежными уникальными паролями для каждого человека, имеющего доступ к вашему хостингу, веб-сайту и программному обеспечению веб-сайта.
4. Не храните критически важные данные в общедоступном веб-каталоге или любом подкаталоге вашего сайта или хостинга, например пароли или личную информацию.
Регулярные обновления программного обеспечения
Все издатели программного обеспечения веб-сайтов, включая MODX, публикуют объявления о новых выпусках программного обеспечения. В случае с MODX мы публикуем их в блоге MODX. Кроме того, объявления о выпуске MODX будут появляться в ленте новостей MODX Revolution Manager после входа в систему для большинства пользователей MODX. MODX выпускает от 4 до 6 релизов в год. Следовательно, любой владелец сайта MODX должен быть готов обновлять свой сайт 4-6 раз в год.
WordPress, Joomla !, Matomo и другие издатели программного обеспечения публично объявляют о своих выпусках.
Обновления в MODX Cloud
Для владельцев веб-сайтов MODX мы постарались сделать как можно более доступным обновление вашего сайта в MODX Cloud с помощью кнопки обновления на панели инструментов MODX Cloud. После обновления программного обеспечения вашего веб-сайта вы должны войти в систему, чтобы обновить каждый дополнительный компонент или подключаемый модуль, чтобы убедиться, что устаревшее программное обеспечение не используется.
Резервные копии
Резервное копирование — одна из наиболее игнорируемых тактик защиты вашего веб-сайта от катастрофических повреждений. Важно регулярно делать резервные копии и хранить их подальше от вашего сайта.Некоторые делают резервные копии только перед внесением изменений или обновлением своего сайта. Эта резервная копия может помочь, если вас взломают, но вы можете потерять месяцы обновлений на своем веб-сайте.
Многие люди берут резервные копии и оставляют их в том же каталоге в своей среде хостинга, что и на своем веб-сайте. Если ваш сайт будет взломан, и взлом удалит файлы, вы можете изменить или удалить резервную копию. В идеале вы должны делать резервные копии и хранить их вне своего веб-каталога, в Amazon S3 Bucket или аналогичном.
Резервное копирование в облаке MODX (автоматическое; всегда включено)
MODX Cloud автоматически создает резервную копию вашего веб-сайта каждую ночь и сохраняет его на другом сервере, удаленном от вашего веб-сайта. Мы храним ваши резервные копии от 1 до 30 дней, в зависимости от ваших настроек, но стандартный период хранения составляет семь дней. Вашу резервную копию веб-сайта MODX Cloud можно восстановить без технической помощи и даже можно восстановить в другом месте для восстановления потерянных файлов, если это необходимо.
Чтобы обеспечить безопасность вашей учетной записи MODX Cloud и веб-сайта, при предоставлении доступа к вашей панели управления MODX Cloud, MODX Manager, SSH или SFTP вы должны создать индивидуальные учетные записи для каждого пользователя и требовать длинные уникальные пароли.
Должен ли ваш хост предотвращать взломы или исправлять взломанный сайт?
Веб-хосты
занимаются арендой дискового пространства, доступа к сети и пропускной способности, наряду со стандартными инструментами для управления приложениями и функциями этой среды хостинга. Типичные веб-хосты не обеспечивают персонализированную безопасность и мониторинг веб-сайтов и программного обеспечения своих клиентов. Хосты отслеживают злоупотребление ресурсами, злоупотребление ими и важные события, такие как выделенный отказ в обслуживании (DDoS) и атаки на инфраструктуру.
Хосты
реализуют необходимые меры защиты для обеспечения безопасности своих серверов. Но всемирная паутина работает так, что веб-сайты находятся в общедоступных местах (иначе никто не смог бы до них добраться). Это тот же способ, которым хакеры взламывают сайты.
Мы являемся экспертами по MODX, которые размещают сайты MODX
В MODX Cloud у нас особые отношения с MODX Revolution, потому что мы также команда, которая создала и опубликовала его. Несмотря на то, что мы хорошо знакомы с программным обеспечением на случай, если клиентам потребуется помощь, наши клиенты по-прежнему несут ответственность за своевременное обновление своих сайтов и следование описанной выше тактике для обеспечения безопасности своих сайтов.Конечно, если вам нужна помощь с вашим сайтом, мы поможем вам за платные услуги, включая программное обеспечение MODX и дополнительные обновления, а также восстановление взломанного сайта.
За пределами базовой защиты
Растет число поставщиков, разработавших межсетевые экраны веб-приложений (WAF) . Это сервисы, которые находятся между публикой и вашим сайтом и предназначены для предотвращения атак и злонамеренного поведения. Хотя это помогает защитить сайт, по-прежнему важно поддерживать сайт и его программное обеспечение в актуальном состоянии до последних выпусков.
Некоторые организации, предоставляющие WAF, включают Sucuri и CloudFlare.
Последнее слово о безопасности: бдительность
Безопасность веб-сайтов — постоянная практика. Требуются время, усилия, а иногда и правильное лицо или организация, чтобы обеспечить защиту вашего веб-сайта.
Создание страниц только для членов — Учебники по безопасности
Введение¶
MODX Revolution использует совершенно новый набор систем безопасности, чтобы дать вам большую гибкость, предоставляя вашим пользователям доступ (или запрет) к Manager и веб-ресурсам.Поскольку кажется, что существует необходимость в надлежащем руководстве, чтобы познакомить вас с основами работы с этой продвинутой системой, этот документ был написан.
Обычно в передней части сайта есть страницы, которые могут видеть только определенные пользователи. В этом руководстве описывается, как это сделать в MODX Revolution. Предполагается, что вы уже знаете, как разрешить пользователям регистрироваться и входить в систему с помощью компонентов пакета Login. Описанный ниже процесс не повлияет на то, какие ресурсы пользователи могут просматривать или редактировать в MODX Manager.
Для тех, кто достаточно сообразителен, ниже следует простой список, который поможет вам пройти через лабиринт или напомнить вам, как он работает. Если вам нужна дополнительная информация и несколько примеров, прокрутите вниз до соответствующего подраздела ниже.
- Создание группы ресурсов (Безопасность -> Группы ресурсов -> Создать группу ресурсов)
- Свяжите свой ресурс, предназначенный только для участников, с группой ресурсов. (Отредактировав ресурс или перетащив их из дерева ресурсов вправо)
- Создайте группу пользователей (Безопасность -> Контроль доступа -> Группы пользователей -> Новая группа пользователей)
- Добавьте запись группы ресурсов на вкладке Доступ к группе ресурсов (контекст: Интернет, минимальная роль: участник (9999), политика доступа: ресурс)
- Добавьте пользователей в группу пользователей с ролью Участник.(Безопасность -> Управление пользователями)
- Очистить разрешения (Безопасность -> Очистить разрешения) и попробовать его в другом браузере (а не только в другом окне браузера: в другом браузере)
Пояснения к мастеру доступа (2.2.2 и более поздние версии) ¶
MODX 2.2.2 поставляется с мастером доступа, который упрощает этот процесс. Пошаговое объяснение по-прежнему актуально, но мастер доступа упрощает процесс. Вы можете прочитать оба объяснения, чтобы лучше понять, как взаимодействует каждый аспект системы безопасности MODX.
1. Создайте группу ресурсов¶
Перейдите в раздел «Безопасность» -> «Группы ресурсов» и щелкните «Создать группу ресурсов». Должно появиться подобное окно:
Пройдемся по каждому разделу:
Раздел | Пояснение | Учебное пособие по умолчанию |
---|---|---|
Имя | Это имя группы ресурсов, которую мы создаем. Сделайте его информативным и легко запоминающимся. | Защищено |
Контексты | Это контекст, в котором вы хотите, чтобы правила применялись.Для этого урока у нас есть только один контекст, «сеть», и мы хотим скрыть только там вещи. | паутина |
Автоматически предоставлять доступ к группе администраторов | Установка этого флажка предоставит всем пользователям в группе администраторов по умолчанию доступ к группе ресурсов. Начиная с версии 2.2.1, пользователь-администратор по умолчанию отмечен как пользователь «sudo», и он может просматривать все группы ресурсов, независимо от того, есть ли у группы администраторов доступ. Однако, если есть другие администраторы, у которых нет доступа к sudo, и мы хотим, чтобы они могли просматривать ресурсы в группе ресурсов, мы должны установить этот флажок. | проверено |
Автоматически предоставлять анонимный групповой доступ | Установка этого флажка предоставит всем пользователям в группе анонимных пользователей доступ к группе ресурсов. Когда кто-то заходит на ваш сайт и никуда не входит, он попадает в анонимную группу пользователей. Мы хотим защитить наши страницы от пользователей, которые не вошли в систему, поэтому оставим этот флажок снятым для этого руководства. | без проверки |
Создать параллельную группу пользователей | Возможно, вы не захотите, чтобы все, кто может просматривать страницы только для членов, входили в группу администраторов (если вы отметили опцию «Автоматически предоставлять доступ группе администраторов»).В этом случае вы можете создать другую группу пользователей, у которой есть доступ к ресурсам в этой группе ресурсов. Давайте проверим это, поскольку наши участники не являются администраторами. | проверено |
Автоматически предоставлять доступ другим группам пользователей | Если у вас есть другие группы пользователей, которые вы определили ранее в этом руководстве, которым вы хотите предоставить доступ, вы можете перечислить их здесь. |
Отлично! У нас есть группа ресурсов и группа пользователей.Теперь нам нужно добавить ресурсы в группу ресурсов и пользователей в эту группу пользователей, и тогда мы будем смеяться.
2. Добавьте ресурсы в группу ресурсов¶
Нам нужно сообщить MODX о ресурсе, который мы хотим защитить. Давайте останемся на той же странице, что и на шаге 1 (Безопасность> Группы ресурсов). Справа откройте веб-контекст, чтобы увидеть все страницы вашего сайта. Перетащите их из столбца справа в свою группу ресурсов. Легко, правда? Альтернативный вариант — войти в каждый ресурс, перейти на вкладку «Группы ресурсов» и установить флажок в столбце «Доступ» и в строке «Защищено».
3. Добавление пользователей в группу пользователей¶
Хорошо, нам достаточно страницы группы ресурсов. Перейдите в Безопасность> Контроль доступа. На вкладке «Группы пользователей» мы можем увидеть список всех групп пользователей на нашем сайте. Щелкните правой кнопкой мыши группу «Защищенных» пользователей. Выберите «Добавить пользователя в группу». В поле «Имя» выберите пользователя, которого вы хотите включить в группу пользователей. В качестве роли пока выберем «Участник». Роли определяют, что отдельный пользователь может делать в группе пользователей, но нам не нужен этот тонкий контроль для этого руководства.Щелкните Сохранить.
Важно понимать, что как только вы защитите ресурс, (1) назначив его одной или нескольким группам ресурсов и (2) связав группу ресурсов с группой пользователей с помощью контроля доступа, эти страницы больше не будут отображаться. вверх для пользователей, не связанных с группой ресурсов. По умолчанию в этом случае отображается страница с ошибкой 404. Если вы предпочитаете возвращать ошибку 401, вам необходимо предоставить анонимной группе пользователей разрешение на «загрузку» для группы ресурсов.Подробнее об этом в следующем руководстве. В данный момент в руководстве ваша страница не будет видна, поскольку вы еще не добавили ее в группу пользователей.
Теперь у нас есть ресурсы в группе ресурсов и пользователи в группе пользователей. Выполнено? Извините, сначала у нас есть несколько мелких дел. Если вы следуете этому руководству, и это ваш первый набег на безопасность MODX, вы, вероятно, столкнетесь с небольшой, но важной загвоздкой: созданная нами группа пользователей не имеет контекстного доступа к нашему внешнему контексту, web.Другими словами, если бы мы могли просматривать этот контекст, мы могли бы просматривать эти защищенные ресурсы, но в настоящее время мы не можем просматривать этот контекст. Давайте дадим нашей группе пользователей разрешение на просмотр этого контекста.
4. Добавьте контекстный доступ к группе пользователей¶
Перейдите в раздел Безопасность> Контроль доступа. Щелкните правой кнопкой мыши защищенную группу пользователей. Выберите «Обновить группу пользователей». Перейдите на вкладку «Контекстный доступ». Щелкните «Добавить контекст». Нам представлен диалог, подобный приведенному ниже. Давайте разберемся:
Раздел | Пояснение | Учебное пособие по умолчанию |
---|---|---|
Контекст | Указывает, к какому контексту мы даем доступ.Базовый вариант использования будет иметь web и mgr. Интернет — это общедоступный интерфейс вашего веб-сайта, а mgr — это частный серверный интерфейс вашего веб-сайта (т. Е. Менеджер, с которым вы вошли в систему). | паутина |
Минимальная роль | Указывает, к каким ролям пользователей будет применяться это правило. Если нам нужны все пользователи в этой группе пользователей, выберите «Член — 9999». Вот здесь и проявляется некоторая часть того тонкого контроля, о котором мы говорили ранее. | Член — 9999 |
Политика доступа | Указывает, какие разрешения мы даем пользователям.Разные политики позволяют группам пользователей делать разные вещи. | Администратор |
Давайте создадим одно правило с «сетью», «Участник — 9999» и «Загрузка, список и просмотр». Если мы хотим, чтобы пользователи могли просматривать менеджер MODX, мы можем добавить второе правило, чтобы предоставить им доступ к контексту mgr: «mgr», «Member — 9999» и «Administrator». Все эти пользователи будут иметь доступ администратора. Если вы предпочитаете ограничить их разрешения, вы можете вместо этого выбрать «Редактор содержимого» или «Разработчик» для их политик доступа.Кроме того, вы можете создать свой собственный в разделе «Безопасность»> «Политики доступа», если хотите уточнить, что пользователи могут или не могут делать.
Теперь у нас есть пользователи в группе пользователей, ресурсы в группе ресурсов, и эта группа пользователей может просматривать контекст. Мы так близки!
5. Разрешения на очистку¶
Прежде чем вы сможете увидеть изменения, вам необходимо сбросить / очистить то, что ваши отдельные пользователи могут видеть и делать. Перейдите в раздел «Безопасность»> «Очистить разрешения». Чтобы проверить это во внешнем интерфейсе, вы должны использовать другой браузер.90% вашего горя будет из-за того, что вы не тестируете в другом браузере или не сбрасываете свои разрешения, поэтому не поленитесь и откройте второй браузер. Поздравляем, теперь у вас есть страницы только для участников!
В некоторых случаях может потребоваться очистить кэш сайта, особенно для контекста mgr (менеджера), поскольку элементы и ресурсы могут кэшировать свои разрешения.
Пошаговое объяснение (до 2.2.2) ¶
Если вы не так сообразительны или хотели бы также знать, что происходит, когда вы устанавливаете определенное разрешение или делаете запись доступа, вам может быть интересен этот раздел.Начиная с версии 2.2.2, MODX поставляется с мастером доступа, и вы можете начать с него.
1. Создайте группу ресурсов¶
Группа ресурсов — это набор ресурсов, которые можно связать с группами пользователей и записями списка доступа. Создав группу ресурсов, вы можете легко классифицировать страницы, чтобы они были видимы только для определенных групп пользователей или ролей в группах пользователей.
Чтобы создать группу ресурсов, перейдите в раздел «Безопасность» -> «Группы ресурсов» и нажмите кнопку «Создать группу ресурсов».Во всплывающем окне вам будет предложено ввести имя для группы ресурсов. Мы ожидаем, что в этом уроке вы назвали его «Защищенный».
2. Свяжите свой ресурс, предназначенный только для участников, с группой ресурсов¶
Теперь, когда у вас есть группа ресурсов, вы должны добавить в нее ресурсы. Этого можно добиться двумя способами.
Прежде всего, вы можете перейти в раздел «Безопасность» -> «Группы ресурсов» и перетащить ресурсы из правого дерева ресурсов в левые группы ресурсов («Защищенные»). Второй вариант — это редактирование вашего ресурса и установка отметки в правом поле на вкладке «Права доступа».
3. Создание группы пользователей¶
У вас есть группа ресурсов с примененным к ней ресурсом, теперь вам нужно решить, кто сможет просматривать ресурсы. Для этого мы создадим новую группу пользователей.
Для этого перейдите в Безопасность -> Контроль доступа. На вкладке (по умолчанию) «Группы пользователей» нажмите кнопку «Новая группа пользователей». Выберите имя для группы и отправьте форму.
4. Добавить доступ к группе ресурсов¶
Перейдите на вкладку «Доступ к группе ресурсов». Эта вкладка определяет группы ресурсов, к которым ваша группа пользователей имеет доступ.Три из четырех полей аналогичны группам доступа к контексту, а именно контекст, минимальная роль и политика доступа. Новым является группа ресурсов, которая, как вы, наверное, догадались, определяет группу ресурсов, к которой группа пользователей может получить доступ.
Настройки:
- Группа ресурсов: как бы вы ее ни назвали, например «Защищенная»
- Контекст: Интернет
- Минимальная роль: Участник (9999)
- : ресурс
Политика доступа
Важно понимать, что как только вы защитите ресурс, (1) назначив его одной или нескольким группам ресурсов и (2) связав группу ресурсов с группой пользователей с помощью контроля доступа, эти страницы больше не будут отображаются для пользователей, не связанных с группой ресурсов.По умолчанию в этом случае отображается страница с ошибкой 404. Если вы предпочитаете возвращать ошибку 401, вам необходимо предоставить анонимной группе пользователей разрешение на «загрузку» для группы ресурсов. Подробнее об этом в следующем руководстве. В данный момент в руководстве ваша страница не будет видна, поскольку вы еще не добавили ее в группу пользователей.
5. Добавить пользователей в группу пользователей¶
Теперь добавьте пользователей в группу пользователей. Вы можете сделать это, отредактировав пользователя или вернувшись на вкладку Пользователи и добавив их оттуда.Он запросит группу пользователей, а также роль. Поскольку мы взяли на себя роль Участника с полномочиями 9999, вы можете просто использовать эту роль.
При использовании сниппета веб-регистрации убедитесь, что он автоматически помещает их в нужную группу пользователей.
6. Разрешения на очистку¶
Теперь, когда все настройки выполнены, вам нужно будет сбросить разрешения (Безопасность -> Очистить разрешения), прежде чем вы увидите эффект. Также убедитесь, что, если вы собираетесь протестировать его интерфейс, вы используете другой браузер вместе.Не используйте другую вкладку или окно браузера, так как оно все равно будет использовать ваш логин в Менеджере для проверки разрешений.
Обратите внимание, что в некоторых случаях также необходимо очистить кеш сайта, особенно для контекста mgr (менеджера), поскольку элементы и ресурсы могут кэшировать свои разрешения.
Все еще не удается заставить его работать? ¶
Убедитесь, что вы выполнили все шаг за шагом и правильно сбросили разрешения. Если все в порядке, проверьте еще раз, а затем перейдите на форумы, чтобы попросить о помощи.Если вы считаете, что руководство вводит в заблуждение или неточно, посетите тему форума (ссылка ниже) и опубликуйте, что не так, чтобы это можно было исправить.
См. Также
Руководство по разрешениям Боба: http://bobsguides.com/revolution-permissions.html
Тема на форуме
, посвященная этому руководству: https://forums.modx.com/index.php/topic,51259.0.html
Использование фрагмента кода для входа в систему для настройки базовой области «Только для членов»: Login.Basic Setup
Безопасность: Безопасность
Политика конфиденциальности MODX Systems
Действует с 25 мая 2018 г. (предыдущая политика действовала до 24 мая 2018 г.)
# О вашей конфиденциальности на MODX
MODX считает конфиденциальность пользователей превыше всего, и мы очень заботимся о сохранении конфиденциальности и безопасности информации посетителей, пользователей и клиентов («Пользователи» или «Вы»).В этой «Политике конфиденциальности» объясняется, как MODX Systems, LLC (совместно именуемые «MODX», «MODX Cloud» или «мы», или «нас» или «наш») собирает, использует и передает вашу личную информацию в связи с использованием вами modx.com, modx.co, modx.cloud или modxcloud.com, включая все субдомены (совместно именуемые «Сайты») и наши услуги.
Эта Политика также объясняет ваш выбор того, как мы обрабатываем вашу личную информацию. Для удобства Сайты и наши сервисы вместе именуются «Сервисом».«Настоящая Политика конфиденциальности применяется только к личной информации пользователей Сайта или Сервиса. Эта политика не распространяется на какие-либо сторонние Сервисы, которые регулируются их собственными политиками конфиденциальности. Мы постарались сделать это простым, но если вы Если у вас возникнут какие-либо вопросы или замечания по поводу условий или информации в этом документе, напишите нам по адресу [email protected]. Ваша конфиденциальность очень важна для нас, независимо от того, новичок вы в MODX или являетесь давним пользователем. Найдите время, чтобы узнать как мы используем вашу личную информацию.
Мы рекомендуем пользователям в Европейском Союзе прочитать важную информацию в разделе «Информация для пользователей из Европейского Союза.
»
Содержание
- О вашей конфиденциальности на MODX
- Данные пользователя службы и клиента MODX
- Информация, которую мы получаем от вас
- Информация, которую вы нам предоставляете
- Информация собирается автоматически
- Как мы используем вашу личную информацию
- Для оказания услуги
- Чтобы общаться с вами
- Соблюдать законы
- С вашего согласия
- Создание анонимных данных для аналитики
- За соблюдение нормативных требований, предотвращение мошенничества и безопасность
- Обмен информацией
- Конфиденциальная личная информация
- Изменения в вашей личной информации
- Выбор
- Доступ, обновление, исправление или удаление вашей информации
- Доступ к данным, контролируемым нашими клиентами
- Маркетинговые коммуникации
- Отзывы
- Отслеживание и таргетированная реклама
- Отказ от предоставления личной информации
- Безопасность
- Уведомление о нарушении
- Международный трансфер
- Другие сайты и услуги
- Виджеты социальных сетей
- Пользовательский контент
- Дети
- Информация для пользователей из Европейского Союза
- Личная информация
- Контроллер и сотрудник по защите данных
- Правовая основа для обработки
- Использование для новых целей
- Удержание
- Ваши права
- Трансграничная передача данных
- Изменения в настоящей Политике конфиденциальности
- Вопросы
# Данные пользователя службы и клиента MODX
Клиенты нашего Сервиса («Клиенты») используют его для размещения, управления и разработки веб-сайтов, приложений и аналогичных онлайн-проектов для себя или своих клиентов.
Данные пользователя клиента
могут включать, помимо прочего, информацию о личности пользователей клиента, такую как имя, почтовый адрес, адрес электронной почты, IP-адрес и номер телефона.
Настоящая Политика конфиденциальности не применяется к Данным пользователей клиентов или к Службам клиентов, и мы не несем ответственности за обработку Данных пользователей клиентов нашими Клиентами. У наших клиентов есть собственная политика в отношении сбора, использования и раскрытия вашей личной информации.
Чтобы узнать, как конкретный Клиент обрабатывает вашу личную информацию, мы рекомендуем вам прочитать заявление о конфиденциальности Клиента.Использование нами клиентских данных пользователя, предоставляемых нашими клиентами в связи с нашими услугами, регулируется письменным соглашением между MODX и клиентом. Настоящая Политика конфиденциальности также не применяется к веб-сайтам, приложениям или службам, управляемым другими сторонами или которые отображают различные заявления о конфиденциальности или ссылаются на них. Для жителей и граждан Европейского Союза или ЕЭЗ в отношении Данных клиентов MODX является Обработчиком данных, как это определено в Статье 4 Общего регламента ЕС по защите данных.
# Информация, которую мы получаем от вас
Мы собираем личную информацию о вас следующими способами:
# Информация, которую вы нам предоставляете
Личная информация, которую вы можете предоставить через Сервис или иным образом передать нам, включает:
- Идентификационная информация , такая как ваше имя, фамилия, имя пользователя или аналогичный идентификатор, титул и дата рождения;
- Контактная информация , такая как ваш почтовый адрес, адрес электронной почты и номер телефона;
- Информация профиля , такая как ваше имя пользователя и пароль, интересы, предпочтения, отзывы и ответы на опросы;
- Поддержка, обратная связь и переписка , например, сообщение о проблеме с Сервисом, получение поддержки клиентов или иная переписка с нами, информация, которую вы предоставляете в своих ответах на опросы, когда вы участвуете в деятельности по исследованию рынка;
- Финансовая информация , например данные вашей кредитной или другой платежной карты;
- Информация о транзакции , такие как сведения о покупках, которые вы совершаете через Службу, и платежные данные;
- Информация об использовании , например информация о том, как вы используете Сервис и взаимодействуете с нами;
- Маркетинговая информация , например, ваши предпочтения в отношении получения маркетинговых сообщений и сведения о том, как вы с ними взаимодействуете;
- Информация, которую мы получаем от других .Мы можем получать дополнительную информацию о вас из сторонних источников, чтобы обогатить ваш опыт работы на веб-сайте MODX.com и предоставить вам более актуальную информацию, связанную с нашими предложениями услуг.
# Информация собирается автоматически
Наши серверы могут автоматически записывать определенную информацию о том, как вы используете наш Сайт (мы называем эту информацию «Данные журнала»), включая как клиентов, так и случайных посетителей. Данные журнала могут включать такую информацию, как адрес интернет-протокола (IP) пользователя, тип устройства и браузера, операционная система, страницы или функции нашего Сайта, которые пользователь просматривал, и время, проведенное на этих страницах или функциях, частота, с которой Сайт используется пользователем, условия поиска, ссылки на нашем Сайте, которые пользователь нажимал или использовал, и другая статистика.Мы используем эту информацию для администрирования Сервиса и анализируем (и можем привлекать третьи стороны для анализа) эту информацию для улучшения и улучшения Сервиса, расширяя его функции и функциональные возможности и адаптируя их к потребностям и предпочтениям наших пользователей.
MODX и наши партнеры используют файлы cookie или аналогичные технологии для анализа тенденций, администрирования веб-сайта, отслеживания перемещений пользователей по веб-сайту и сбора демографической информации о нашей базе пользователей в целом. Пользователи могут контролировать использование файлов cookie на своем индивидуальном уровне браузера.
# Как мы используем вашу личную информацию
# Для оказания услуги
Если у вас есть учетная запись MODX или MODX Cloud, мы используем вашу личную информацию:
- для работы, обслуживания, администрирования и улучшения Службы;
- для управления и связи с вами в отношении вашей учетной записи в Службе, если она у вас есть, в том числе путем отправки вам объявлений службы, технических уведомлений, обновлений, предупреждений безопасности, а также сообщений службы поддержки и административных сообщений;
- для обработки платежей, совершаемых вами через Службу;
- , чтобы лучше понять ваши потребности и интересы и персонализировать ваш опыт работы с Сервисом; и
- , чтобы отвечать на ваши запросы, вопросы и отзывы, связанные с Сервисом.
# Для общения с вами
Если вы запрашиваете у нас информацию, регистрируетесь в Сервисе или участвуете в наших опросах, рекламных акциях или мероприятиях, мы можем отправлять вам маркетинговые сообщения, связанные с MODX, если это разрешено законом, но предоставим вам возможность отказаться.
# Соблюдать законы
Мы используем вашу личную информацию по мере необходимости или в соответствии с применимыми законами, законными запросами и судебным процессом, например, для ответа на повестки в суд или запросы от государственных органов.
# С вашего согласия
Мы можем использовать или передавать вашу личную информацию с вашего согласия, например, когда вы разрешаете нам публиковать ваши отзывы или одобрения на нашем Сайте, вы поручаете нам предпринять определенные действия в отношении вашей личной информации или выбираете третье — партийные маркетинговые коммуникации. Вы можете отозвать согласие или отказаться от подписки в любое время.
# Создание анонимных данных для аналитики
Мы можем создавать анонимные данные из вашей личной информации и других лиц, чью личную информацию мы собираем.Мы превращаем личную информацию в анонимные данные, исключая информацию, которая позволяет идентифицировать вас лично, и используем эти анонимные данные в наших законных деловых целях.
# За соблюдение нормативных требований, предотвращение мошенничества и безопасность
Мы используем вашу личную информацию так, как считаем необходимым или целесообразным:
- обеспечивать соблюдение условий, регулирующих использование Сервиса;
- защищает наши права, неприкосновенность частной жизни, безопасность или собственность и / или права вас или других лиц; и
- защищать, расследовать и сдерживать мошенническую, вредную, несанкционированную, неэтичную или незаконную деятельность.
# Обмен информацией
Мы не передаем и не продаем личную информацию, которую вы нам предоставляете, другим организациям без вашего явного согласия, за исключением случаев, описанных в настоящей Политике конфиденциальности. Мы раскрываем личную информацию третьим лицам в следующих случаях:
- Филиалы . Мы можем раскрывать вашу личную информацию нашим дочерним и аффилированным компаниям для целей, соответствующих настоящей Политике конфиденциальности.
- Поставщики услуг . Мы можем привлекать сторонние компании и частных лиц для администрирования и предоставления Сервиса от нашего имени (например, обработки счетов и платежей по кредитным картам, поддержки клиентов, хостинга, доставки электронной почты и управления базами данных). Этим третьим лицам разрешается использовать вашу личную информацию только для выполнения этих задач в соответствии с настоящей Политикой конфиденциальности, и они обязаны не раскрывать и не использовать ее для каких-либо других целей.
- Профессиональные консультанты .Мы можем раскрывать вашу личную информацию профессиональным консультантам, таким как юристы, банкиры, аудиторы и страховщики, когда это необходимо, в ходе профессиональных услуг, которые они нам оказывают.
- Соблюдение законов и правоохранительных органов; Защита и безопасность . MODX может раскрывать информацию о вас правительственным или правоохранительным органам или частным лицам в соответствии с требованиями закона, а также раскрывать и использовать такую информацию, которую мы считаем необходимой или целесообразной, чтобы:
- соблюдать применимые законы и законные запросы и судебные процессы, например отвечать на повестки в суд или запросы от государственных органов;
- обеспечивает соблюдение условий, регулирующих использование Сервиса;
- защищает наши права, неприкосновенность частной жизни, безопасность или собственность и / или права вас или других лиц; и
- защищать, расследовать и сдерживать мошенническую, вредную, несанкционированную, неэтичную или незаконную деятельность.
- Деловые переводы . MODX может продавать, передавать или иным образом делиться некоторыми или всеми своими бизнесами или активами, включая вашу личную информацию, в связи с коммерческой сделкой (или потенциальной коммерческой сделкой), такой как слияние, консолидация, приобретение, реорганизация или продажа активов или в случае банкротства, и в этом случае мы приложим разумные усилия, чтобы потребовать от получателя соблюдения настоящей Политики конфиденциальности.
#Sensitive Personal Information
Мы просим вас не отправлять нам и не разглашать какую-либо конфиденциальную личную информацию (например,g., номера социального страхования, информация, относящаяся к расовому или этническому происхождению, политическим взглядам, религии или другим убеждениям, здоровью, биометрическим или генетическим характеристикам, криминальному прошлому или членству в профсоюзах) на Службе или через Службу или иным образом.
Если вы отправляете или раскрываете нам какую-либо конфиденциальную личную информацию (например, когда вы отправляете пользовательский контент на Сайт), вы должны дать согласие на нашу обработку и использование такой конфиденциальной личной информации в соответствии с настоящей Политикой конфиденциальности.Если вы не согласны с нашей обработкой и использованием вышеупомянутой конфиденциальной личной информации, вы не должны ее предоставлять.
# Изменения в вашей личной информации
Важно, чтобы личная информация о вас, которую мы храним, была точной. Сообщите нам, если ваша личная информация изменится во время ваших отношений с нами, обновив свой профиль на Сайте при входе на Сайт или отправив запросы на изменение по адресу [email protected].
# Выбор
# Доступ, обновление, исправление или удаление вашей информации
Все владельцы учетных записей MODX могут просматривать, обновлять, исправлять или удалять личную информацию в своем регистрационном профиле, войдя в свою учетную запись.Владельцы учетных записей MODX могут также связаться с нами по адресу [email protected], чтобы выполнить вышеизложенное, или если у вас есть дополнительные запросы или вопросы.
# Доступ к данным, контролируемым нашими клиентами
MODX не имеет прямых отношений с лицами, чья личная информация содержится в Данных клиента, обрабатываемых нашим Сервисом. Лицо, которое ищет доступ или пытается исправить, изменить или удалить личную информацию, предоставленную нашими Клиентами, должно направить свой запрос Клиенту.Вы также можете связаться с нами по адресу [email protected], если у вас возникнут дополнительные вопросы или проблемы.
# Маркетинговые коммуникации
# электронная почта
Вы можете отказаться от рассылки маркетинговых сообщений электронной почты, войдя в систему и изменив настройки своей учетной записи или щелкнув ссылку внизу каждого такого письма. Вы можете продолжать получать электронные письма, связанные с Сервисом, и другие немаркетинговые сообщения.
# Телефон
Мы можем связываться с вами по телефону, с вашего согласия, где это применимо, в маркетинговых целях (в том числе с помощью автоматического дозвона и / или предварительно записанного сообщения).Если вы не хотите получать маркетинговые звонки, обратитесь в службу поддержки клиентов по ссылкам на соответствующем сайте или по адресу [email protected]. Вам не нужно соглашаться на получение автоматических маркетинговых телефонных звонков или от нас для использования Услуг.
# Текст, SMS, Push-уведомление
Мы можем связаться с вами с помощью текстового сообщения, с вашего согласия, где это применимо, в маркетинговых целях (в том числе с помощью автоматической системы или предварительно составленного сообщения). Если вы не хотите получать маркетинговые сообщения, обратитесь в службу поддержки клиентов по ссылкам поддержки на соответствующем Сайте или help @ modx.com. Вам не нужно соглашаться на получение от нас автоматических маркетинговых текстов для использования Сервисов.
# Печенье
Для получения информации о том, как управлять файлами cookie и отказаться от них, посетите нашу Политику использования файлов cookie.
# Отзывы
Если вы дали нам согласие на размещение отзыва на нашем сайте, но хотите обновить или удалить его, напишите нам по адресу [email protected], чтобы запросить его изменение или удаление.
# Отслеживание и таргетированная реклама
Мы можем разрешить поставщикам услуг и другим третьим сторонам использовать файлы cookie и другие технологии отслеживания для отслеживания вашей активности в Интернете с течением времени и на нашем Сайте и на сторонних веб-сайтах.Мы также можем сотрудничать со сторонними рекламными сетями для показа рекламы на наших Сайтах, для управления нашей рекламой на других сайтах или для предоставления вам целевой рекламы на основе ваших интересов на нашем Сайте или на сторонних сайтах. Вы можете отказаться от использования вашей личной информации для целевой рекламы, нажав здесь (или, если вы находитесь в Европейском Союзе, здесь), но вы все равно можете получать общие объявления. Использование технологий отслеживания другими компаниями регулируется их собственными политиками конфиденциальности.Некоторые интернет-браузеры могут быть настроены на отправку сигналов «Не отслеживать» посещаемым онлайн-сервисам. В настоящее время мы не отвечаем на сигналы «Не отслеживать» или похожие сигналы. Чтобы узнать больше о «Не отслеживать», посетите allaboutdnt.com.
В некоторых наших сообщениях мы используем средства отслеживания, такие как «URL перехода по клику», связанный с контентом на Сайте. Мы отслеживаем эти данные, чтобы помочь нам измерить эффективность взаимодействия с клиентами.
Для получения дополнительной информации об отслеживании посетите нашу Политику использования файлов cookie.
# Отказ от предоставления личной информации
Если нам необходимо собрать вашу личную информацию по закону или предоставить вам Услугу, и вы не предоставите эту информацию по запросу (или вы позже попросите ее удалить), мы не сможем предоставить вам Сервис и, возможно, потребуется закрыть вашу учетную запись. Мы сообщим вам, какую информацию вы должны предоставить для получения Сервиса, обозначив ее в соответствии с требованиями в Сервисе или с помощью других подходящих средств.
# Безопасность
MODX Cloud заботится о безопасности данных, которые мы собрали, и использует коммерчески разумные меры для предотвращения несанкционированного доступа к этой информации. Эти меры включают:
- Внутренняя политика
- Процедуры обращения
- Обучение сотрудников
- Ограниченный физический доступ
- Технические элементы, относящиеся к контролю доступа к данным.
Кроме того, MODX использует стандартные протоколы и механизмы безопасности для облегчения обмена и передачи конфиденциальных данных, таких как данные кредитной карты.Зашифрованные двухточечные соединения используются для связи между системами для защиты финансовой информации клиентов, а также для шифрования важной информации, которую клиенты вводят через Сайт.
Несмотря на то, что предпринимаются разумные усилия для обеспечения безопасности сетевых коммуникаций и Сайта, MODX не может гарантировать, что информация, отправляемая, сохраняемая или передаваемая из наших систем, будет полностью защищена.
# Уведомление о нарушении
В случае, если личная информация была получена — или есть основания полагать, что она была получена — неуполномоченным лицом, MODX уведомит пострадавшее лицо о нарушении по электронной почте или если MODX не сможет связаться с этим лицом по электронной почте, мы будем пытаться связаться с вами альтернативными способами, такими как телефон, текст или обычная почта.Уведомление будет отправлено незамедлительно, в соответствии с законными потребностями правоохранительных органов и любыми мерами, необходимыми MODX или правоохранительным органам для определения масштабов нарушения и обеспечения или восстановления целостности системы данных. MODX может отложить уведомление, если MODX или правоохранительные органы определят, что уведомление будет препятствовать уголовному расследованию, и в таком случае уведомление не будет предоставляться до тех пор, пока MODX или правоохранительные органы не определят, что уведомление не помешает расследованию.
# Международный перевод
Головной офис
MODX находится в США, а филиалы и поставщики услуг находятся в других странах. Ваша личная информация может быть передана в США или другие места за пределами вашего штата, провинции, страны или другой государственной юрисдикции, где законы о конфиденциальности могут быть не такими защитными, как в вашей юрисдикции. Пользователи Европейского Союза должны прочитать приведенную ниже важную информацию о передаче личной информации за пределы Европейской экономической зоны.
# Прочие сайты и услуги
Сервис может содержать ссылки на другие сайты и сервисы. Эти ссылки не являются одобрением, разрешением или заявлением о том, что мы связаны с этой третьей стороной. Мы не контролируем сторонние веб-сайты или службы и не несем ответственности за их действия. Другие веб-сайты и службы придерживаются других правил в отношении использования или раскрытия личной информации, которую вы им предоставляете. Мы рекомендуем вам ознакомиться с политиками конфиденциальности других веб-сайтов, которые вы посещаете, и услуг, которые вы используете.
Наш сайт может включать в себя функции социальных сетей, такие как кнопка «Нравится» Facebook и виджеты, такие как кнопка «Поделиться». Эти функции могут собирать вашу личную информацию и отслеживать использование вами Сайта. Эти функции социальных сетей либо размещаются на стороннем сервере, либо непосредственно на нашем Сайте. Ваше взаимодействие с этими функциями регулируется политикой конфиденциальности компании, предоставляющей такие функции.
# Контент, созданный пользователем
Мы можем сделать доступными на нашем Сайте или связать с ними функции, которые позволяют вам обмениваться информацией в Интернете (например,g., на досках сообщений, в областях чата, при загрузке файлов, через события и т. д.). Помните, что всякий раз, когда вы добровольно раскрываете личную информацию в Интернете, эта информация становится общедоступной и может быть собрана и использована другими. Мы не контролируем и не несем ответственности за использование, хранение или распространение такой публично раскрытой личной информации. Размещая личную информацию в Интернете на публичных форумах, вы можете получать нежелательные сообщения от других сторон.
# Дети
MODX сознательно не приобретает и не получает личную информацию от детей младше 16 лет.Если позже мы узнаем, что любому пользователю нашего Сервиса не исполнилось 16 лет, мы предпримем соответствующие шаги для удаления информации этого пользователя из нашей базы данных учетных записей и ограничим доступ этого человека к Сервису в будущем.
# Информация для пользователей из Европейского Союза
# Персональная информация
Ссылки на «личную информацию» в настоящей Политике конфиденциальности эквивалентны «личным данным» в соответствии с европейским законодательством о защите данных.
# Контроллер и сотрудник по защите данных
MODX Systems, LLC является контролером вашей личной информации в соответствии с европейским законодательством о защите данных.С нашим специалистом по защите данных можно связаться по адресу [email protected]. Дополнительные контактные данные см. В разделе «Вопросы» ниже.
# Правовая основа для обработки
Мы используем вашу личную информацию только в соответствии с законом. Мы обязаны сообщить вам о правовых основаниях обработки вашей личной информации, которые описаны в таблице ниже. Если у вас есть вопросы о правовых основах обработки вашей личной информации, свяжитесь с нами по адресу [email protected].
Цель обработки | Законное основание |
---|---|
Для оказания услуги | Обработка необходима для выполнения контракта, регулирующего предоставление Службы, или для принятия мер, которые вы запрашиваете до регистрации в Службе. |
Для связи с вами Для создания анонимных данных для аналитики Для соблюдения нормативных требований, предотвращения мошенничества и безопасности | Эти действия по обработке составляют наши законные интересы.Мы обязательно учитываем и уравновешиваем любое потенциальное воздействие на вас (как положительное, так и отрицательное) и ваши права, прежде чем обрабатывать вашу личную информацию в наших законных интересах. Мы не используем вашу личную информацию для действий, в которых наши интересы перевешиваются воздействием на вас (если у нас нет вашего согласия или иное не требуется или разрешено законом). |
Соблюдать законы | Обработка необходима для соблюдения наших юридических обязательств |
С вашего согласия | Обработка осуществляется с вашего согласия.Если мы полагаемся на ваше согласие, вы имеете право отозвать его в любое время в порядке, указанном в Сервисе, или связавшись с нами по адресу [email protected]. |
# Использование для новых целей
Мы можем использовать вашу личную информацию по причинам, не описанным в настоящей Политике конфиденциальности, если это разрешено законом и если причина совместима с целью, для которой мы ее собрали. Если нам потребуется использовать вашу личную информацию для несвязанных целей, мы уведомим вас и объясним применимое правовое основание.
#Retention
Мы будем хранить вашу личную информацию только до тех пор, пока это необходимо для достижения целей, для которых мы ее собрали, в том числе для целей выполнения любых юридических требований, требований бухгалтерского учета или отчетности.
Чтобы определить соответствующий период хранения личной информации, мы учитываем объем, характер и конфиденциальность личной информации, потенциальный риск причинения вреда от несанкционированного использования или раскрытия вашей личной информации, цели, для которых мы обрабатываем вашу личную информацию и можем ли мы достичь этих целей другими способами, а также применимые правовые требования.
По закону мы должны хранить основную информацию о наших клиентах (включая контактную, идентификационную, финансовую и транзакционную информацию) в течение семи (7) лет после того, как они перестают быть клиентами для целей налогообложения.
В некоторых случаях мы можем анонимизировать вашу личную информацию (чтобы она больше не могла быть связана с вами), и в этом случае мы можем использовать эту информацию на неопределенный срок без дополнительного уведомления вас.
# Ваши права
В тех случаях, когда применяется Общий регламент ЕС о защите данных 2016/679 («GDPR»), при определенных обстоятельствах и в соответствии с соглашениями об обработке данных у вас есть права в отношении вашей личной информации, которую мы храним.Ниже мы описываем эти права и способы их реализации. Обратите внимание, что мы потребуем от вас подтвердить свою личность, прежде чем отвечать на любые запросы по осуществлению ваших прав, предоставив информацию, известную только владельцу учетной записи. Чтобы воспользоваться любым из ваших прав, обратитесь по адресу [email protected]. Обратите внимание, что для каждого из прав, указанных ниже (Доступ, Переносимость, Исправление и т. Д.), У нас могут быть веские юридические причины для отклонения вашего запроса, в таких случаях мы сообщим вам, если это так.
#Access
У вас есть право знать, обрабатываем ли мы личную информацию о вас, и если мы это делаем, получать доступ к имеющимся у нас данным о вас и определенной информации о том, как мы ее используем и с кем делимся ею.
# Переносимость
Вы имеете право получать часть личной информации, которую вы нам предоставляете, если мы обрабатываем ее на юридических основаниях нашего договора с вами или с вашего согласия в структурированном, широко используемом и машиночитаемом электронном формате, а также право запрашивать что мы передаем такую личную информацию другой стороне.Если вы хотите, чтобы мы передали личную информацию другой стороне, убедитесь, что вы указали эту сторону, и обратите внимание, что мы можем сделать это только в тех случаях, когда это технически возможно. Мы не несем ответственности за безопасность личной информации или ее обработки после получения третьей стороной.
# Исправление
Вы имеете право потребовать от нас исправить любую имеющуюся у вас личную информацию, которая является неточной и содержит неполные данные. Если вы запрашиваете исправление, пожалуйста, подробно объясните, почему вы считаете личную информацию, которую мы храним о вас, неточной или неполной, чтобы мы могли оценить, требуется ли исправление.Обратите внимание, что пока мы оцениваем, является ли имеющаяся у нас личная информация о вас неточной или неполной, вы можете воспользоваться своим правом ограничить нашу обработку соответствующих данных, как описано ниже.
#Erasure
Вы можете потребовать, чтобы мы удалили личную информацию, которую мы храним о вас, в следующих случаях:
- Если вы считаете, что нам больше не нужно хранить личную информацию;
- Мы обрабатываем его на основании вашего согласия, и вы хотите отозвать свое согласие;
- Мы обрабатываем ваши данные на основании наших законных интересов, и вы возражаете против такой обработки;
- Вы больше не хотите, чтобы мы использовали ваши данные для рассылки вам рекламных материалов; или
- Вы считаете, что мы обрабатываем ваши данные незаконно.
Пожалуйста, предоставьте как можно более подробную информацию о причинах запроса, чтобы помочь нам определить, есть ли у вас веские основания для удаления.
# Ограничение обработки только хранением
У вас есть право потребовать от нас прекратить обработку вашей личной информации, которую мы храним, кроме целей хранения, в следующих случаях:
- Вы считаете, что личная информация является неточной в течение периода, необходимого нам для проверки точности данных;
- Мы хотим удалить личную информацию, поскольку выполняемая нами обработка является незаконной, но вы хотите, чтобы мы просто ограничили использование этих данных;
- Нам больше не нужна личная информация для целей обработки, но вы требуете, чтобы мы сохраняли данные для установления, исполнения или защиты судебных исков; или
- Вы возражали против обработки нами личной информации, которую мы храним о вас, на основании нашего законного интереса, и вы хотите, чтобы мы прекратили обработку личной информации, пока мы определяем, есть ли у нас первостепенная заинтересованность в хранении такой личной информации.
#Objection
Вы имеете право возражать против нашей обработки данных о вас, и мы рассмотрим ваш запрос. Пожалуйста, предоставьте нам подробную информацию о ваших аргументах, чтобы мы могли оценить, есть ли у нас серьезная заинтересованность в продолжении обработки таких данных или нам необходимо обрабатывать их в связи с судебными исками.
Вы также имеете право в любое время возразить против нашей обработки данных о вас, чтобы отправлять вам маркетинговые материалы, в том числе там, где мы создаем профили для таких целей, и мы прекратим обработку данных для этой цели.
# Отзыв согласия
Если вы дали нам согласие на обработку ваших личных данных, вы можете отозвать свое согласие в любое время, связавшись с [email protected].
# Трансграничная передача данных
Всякий раз, когда мы передаем вашу личную информацию из ЕЭЗ в страны, которые, по мнению Европейской комиссии, не обеспечивают адекватный уровень защиты личной информации, передача будет основываться на одной из следующих мер безопасности, признанных Европейской комиссией как обеспечивающих адекватную защиту для личная информация, если этого требует законодательство ЕС о защите данных:
- Контракты, утвержденные Европейской комиссией, которые налагают обязательства по защите данных на стороны передачи.Для получения дополнительной информации см. Типовые контракты Европейской комиссии о передаче личной информации в третьи страны.
- Для переводов третьим лицам в США, при условии, что они участвуют в ЕС-США. Структура Privacy Shield.
Пожалуйста, напишите по адресу [email protected], если вам нужна дополнительная информация о конкретном механизме, используемом нами при передаче вашей личной информации за пределы ЕЭЗ.
# Изменения в настоящей Политике конфиденциальности
Мы оставляем за собой право изменять эту Политику конфиденциальности в любое время.Мы рекомендуем вам время от времени просматривать эту страницу для получения последней информации о наших методах обеспечения конфиденциальности. Если мы внесем существенные изменения в настоящую Политику конфиденциальности, вы получите уведомление по электронной почте (если у вас есть учетная запись, в которой у нас есть ваша контактная информация) или другим способом через Службу, который, по нашему мнению, с достаточной вероятностью дойдет до вас (что может включать публикацию новой информации о конфиденциальности политики на нашем Сайте или конкретное объявление на этой странице или в нашем блоге).
Любые изменения настоящей Политики конфиденциальности вступают в силу после публикации нами новых условий и / или после внесения новых изменений в Службу, или как иным образом указано во время публикации.Во всех случаях продолжение использования вами Сервиса после публикации любой измененной Политики конфиденциальности означает ваше согласие с условиями измененной Политики конфиденциальности.
#Questions
Если у вас есть какие-либо вопросы или опасения по поводу нашей Политики конфиденциальности, напишите нам по адресу [email protected]. Если вы хотите отправить нам почтовое письмо:
Последний раз редактировалось 3 сентября 2020 г.
Protecting MODX Revolution / Sudo Null IT News
Привет, друзья!
О том, как защитить MODX, написано и переписано много статей, но в этой статье я опишу не только стандартные рекомендации по защите экземпляра MODX Revolution (далее я буду писать просто MODX, потому что ветка MODX Evolution — тупиковая ветвь «Эволюция», которая не является зачатком, заслуживающим внимания современных разработчиков), но и несколько новых методов «заметания следов».
Итак, приступим к самому главному.
Существует две разновидности установщика MODX — традиционный и расширенный.
В чем разница между ними?
Традиционный — простой вариант установки для любого хостинга, отвечающий рекомендациям по установке MODX, где ядро устанавливается прямо в корень общей папки сайта. Простые «зажимы сайта» ставят версию Tradtiional, не закрывают каталоги от просмотра, и в результате все содержимое сайта, включая служебные каталоги, попадает в индекс поисковых систем.Не будем фантазировать о том, к чему это может привести. Здесь все ясно.
Advanced — версия для парней, которые хотя бы «смотрели фильм про ниндзя». Этот тип установщика позволяет размещать ядро MODX вне общей папки, скрывая его от злоумышленников. Для серьезных проектов это рекомендуемый вариант, но лично я всегда им пользуюсь.
Защита ядра
Есть два способа защитить ядро:
1. На обычном хостинге вы можете удалить ядро из общей папки и не можете его переименовать или настроить.htaccess в этом каталоге (на VDS не забывайте о настройке прав доступа пользователя, запускающего Apache).
2. На тупом хостинге — переименовать каталог ядра с помощью, например, генератора паролей (без спецсимволов, конечно — только буквы и цифры) И при установке указать физический путь к каталогу ядра. Поэтому лучше использовать Расширенный установщик.
Защита каталога услуг
Не секрет, что помимо каталога ядра в общей папке сервера должны оставаться и другие служебные каталоги.
Что делать для защиты от попыток взлома через коннекторы и попыток взлома админки? Стандартные имена каталога коннекторов — / connector, а для админ панели — / manager, и это фавн.
Во время установки вам будет предложено изменить эти имена. Правильно, в этом нам поможет генератор паролей, причем, как ни странно, в случае с админ-панелью собственная голова. Лучше сделать имя административной директории понятным для человека, но не / admin, конечно 🙂
Вы можете спросить: почему мы не скрываем / assets?
И, пожалуй, отвечу: почему? Все картинки и скрипты находятся в / assets, а в коде страницы есть все ссылки на картинки и скрипты 🙂
Защита таблиц базы данных
Во время установки в настройках базы данных предлагается префикс таблицы по умолчанию «modx_».Так что это не сработает. И снова нам поможет генератор паролей (Помните, товарищ? Только из букв и цифр!). Меняем стандартный префикс на кракозябры, в конце которого ставим подчеркивание. Например, «IU1xbp4_».
CMS Definition Protection
Сервисы для автоматического определения сайтов CMS, конечно, не знают, что MODX — это CMF, но это не мешает им определять, что MODX управляет контентом на сайте. Казалось бы, все, что нужно, мы уже спрятали.Но нет.
Прежде всего, при установке MODX Revolution необходимо снять флажок «X-Powered-By», который по умолчанию установлен (на картинке ниже) . Это нужно для того, чтобы MODX не «сгорал», отправляя в заголовках информацию о том, что сайт сделан на MODX.
Если сайт уже установлен, то вы можете проверить этот параметр в настройках системы по адресу: your_site_domain_domain / manager /? A = system / settings
И в поле «Искать по ключу» введите «send_poweredby_header» или просто «header» и нажмите Enter на клавиатуре.Значение send_poweredby_header должно быть установлено на None.
Также будет полезно скрыть файлы конфигурации.
Например, возьмите первую ссылку из списка поиска Google выше и попробуйте открыть файл настроек config.core.php, или, несмотря на то, что список каталогов на этом сайте уже закрыт, используя ссылку «www .vvhotel.ru / core «/config/config.inc.php», сайт выдает результат выполнения файла .php, что означает, что каждый из этих файлов существует и даже из первого из них можно предположить, что сайт находится на MODX.(. *) $ [R = 404]
Другое
В дополнение к описанным приемам вы можете использовать небольшую уловку, чтобы увести возможных нападающих по ложному следу. Некоторые «попсовые» CMS добавляли метатеги с названием CMS:
Вы можете безопасно добавить такой тег в свой код и создать поддельную стандартную страницу входа администратора для указанной версии смоделированной CMS.
Автодетекторы будут интерпретировать наш MODX как WordPress, и если хулиганы захотят попасть в админку, они попробуют долгим и утомительным способом подобрать отмычки от простого замка до сканера сетчатки глаза (это метафора :)) .
А что делать, если сайт уже установлен?
В час наименьшей нагрузки переименуйте все указанные каталоги (/ core, если позволяет хостинг, лучше убрать из паблика).
Измените префикс существующих на phpMyAdmin :
- в левой части phpMyAdmin щелкните по названию базы данных;
- в основной области появится список всех таблиц, внизу которого должен быть установлен флажок «Отметить все»;
- Справа от флажка находится поле со списком «С отмеченными:», в котором нужно выбрать «Заменить префикс таблицы»;
- в новом окне укажите старый префикс и новый префикс, на который следует заменить старый.
Затем, если у вас есть традиционный, но вы хотите заменить его на расширенный, то поверх содержимого / core (или, как вы его снова назвали) вам нужно записать содержимое каталога / core из архива расширенного установщика и поставить / настроить в корень сайта.
Проверить права и доступ (к каталогам 755, к файлам 644).
Запустить процесс установки.
Во время установки вам нужно будет указать физический путь к каталогу ядра.
ВАЖНО выбрать вариант установки «Расширенное обновление (с настройками базы данных)», потому что после ввода данных базы данных появится диалог для переименования каталогов.
Можно, конечно, зайти в config.inc.php и там все отредактировать. Но зачем что-то делать, если не умеешь? 🙂
Вот и все. Если информация в этой статье была вам полезна — супер. Если хотите что-то спросить, добавить или просто поумнеть — смело комментируйте!
# | CVE ID | CWE ID | # эксплойтов | Тип (ы) уязвимости | Дата публикации | Дата обновления | Счет | Полученный уровень доступа | Доступ | Сложность | Аутентификация | Конф. | Интег. | Доступен. | |||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
1 | CVE-2019-1010178 | 269 | | Exec Code | 2019-07-24 | 2020-09-30 | 7,5 | Нет | Пульт | Низкий | Не требуется | Частично | Частично | Частично | |||||
Фред MODX Revolution <1.На 0.0-beta5 влияет: Неправильный контроль доступа - CWE-648. Влияние: удаленное выполнение кода. Компонент: assets / components / fred / web / elfinder / connector.php. Вектор атаки: загрузка файла PHP или изменение данных в базе данных. Фиксированная версия: https://github.com/modxcms/fred/commit/139cefac83b2ead90da23187d92739dec79d3ccd и https://github.com/modxcms/fred/commit/01f0a3d1ae7f3970639c2a0db1887beba006565 | |||||||||||||||||||
2 | CVE-2019-1010123 | 434 | | 23.07.2019 | 2019-10-09 | 5.0 | Нет | Пульт | Низкий | Не требуется | Нет | Частично | Нет | ||||||
На MODX Revolution Gallery 1.7.0 влияет: CWE-434: неограниченная загрузка файлов опасного типа. Влияние: Создание файла с пользовательским именем и содержимым. Компонент: Фильтрация пользовательских параметров перед их передачей в класс phpthumb. Вектор атаки: веб-запрос через / assets / components / gallery / connector.php. | |||||||||||||||||||
3 | CVE-2019-14518 | 79 | | XSS | 2019-08-15 | 2019-08-21 | 3,5 | Нет | Пульт | Средний | ??? | Нет | Частично | Нет | |||||
** СПОРНЫЕ ** Evolution CMS 2.0.x разрешает XSS через описание и расположение новой категории в шаблоне. ПРИМЕЧАНИЕ: поставщик заявляет, что поведение соответствует «политике доступа в панели администрирования». | |||||||||||||||||||
4 | CVE-2018-1000208 | 22 | | Реж. Trav. | 13.07.2018 | 07.09.2018 | 6.4 | Нет | Пульт | Низкий | Не требуется | Нет | Частично | Частично | |||||
MODX Revolution версии <= 2.6.4 содержит уязвимость прохождения каталогов в /core/model/modx/modmanagerrequest.class.php, которая может привести к удалению файлов. Эта атака, похоже, может быть использована через веб-запрос через процессор безопасности / входа в систему. Эта уязвимость, по-видимому, была исправлена в опросе 13980. | |||||||||||||||||||
5 | CVE-2018-1000207 | 732 | | 13.07.2018 | 2019-10-03 | 6,5 | Нет | Пульт | Низкий | ??? | Частично | Частично | Частично | ||||||
MODX Revolution версии <= 2.6.4 содержит уязвимость «Неверный контроль доступа» в параметрах фильтрации параметров пользователя перед их передачей в класс phpthumb, что может привести к созданию файла с настраиваемым именем файла и содержимым. Эта атака может быть использована через веб-запрос. Эта уязвимость, по-видимому, была исправлена в коммите 06bc94257408f6a575de20ddb955aca505ef6e68. | |||||||||||||||||||
6 | CVE-2018-20758 | 79 | | XSS | 2019-02-06 | 2019-10-23 | 3.5 | Нет | Пульт | Средний | ??? | Нет | Частично | Нет | |||||
MODX Revolution через v2.7.0-pl разрешает XSS через пользовательские настройки, такие как Описание. | |||||||||||||||||||
7 | CVE-2018-20757 | 79 | | XSS | 2019-02-06 | 2019-02-06 | 4.3 | Нет | Пульт | Средний | Не требуется | Нет | Частично | Нет | |||||
MODX Revolution через v2.7.0-pl разрешает XSS через расширенное пользовательское поле, такое как имя контейнера или имя атрибута. | |||||||||||||||||||
8 | CVE-2018-20756 | 79 | | XSS | 2019-02-06 | 2019-02-06 | 4.3 | Нет | Пульт | Средний | Не требуется | Нет | Частично | Нет | |||||
MODX Revolution через v2.7.0-pl разрешает XSS через ресурс документа (например, pagetitle), который неправильно обрабатывается во время действия обновления, действия быстрого редактирования или просмотра журналов диспетчера. | |||||||||||||||||||
9 | CVE-2018-20755 | 79 | | XSS | 2019-02-06 | 2019-02-06 | 4.3 | Нет | Пульт | Средний | Не требуется | Нет | Частично | Нет | |||||
MODX Revolution через v2.7.0-pl разрешает XSS через поле User Photo. | |||||||||||||||||||
10 | CVE-2018-17556 | 79 | | XSS | 26.09.2018 | 15.11.2018 | 3.5 | Нет | Пульт | Средний | ??? | Нет | Частично | Нет | |||||
MODX Revolution v2.6.5-pl позволяет сохранять XSS через действие Create New Media Source. | |||||||||||||||||||
11 | CVE-2018-16638 | 79 | | XSS | 28.12.2018 | 26.02.2019 | 3.5 | Нет | Пульт | Средний | ??? | Нет | Частично | Нет | |||||
Evolution CMS 1.4.x разрешает XSS через параметр менеджер / поиск. | |||||||||||||||||||
12 | CVE-2018-16637 | 79 | | XSS | 28.12.2018 | 26.02.2019 | 3.5 | Нет | Пульт | Средний | ??? | Нет | Частично | Нет | |||||
Evolution CMS 1.4.x разрешает XSS через параметр заголовка веб-ссылки страницы к менеджеру / URI. | |||||||||||||||||||
13 | CVE-2018-10382 | 79 | | XSS | 2018-06-01 | 27.06.2018 | 3.5 | Нет | Пульт | Средний | ??? | Нет | Частично | Нет | |||||
MODX Revolution 2.6.3 имеет XSS. | |||||||||||||||||||
14 | CVE-2017-1000223 | 79 | | XSS | 17.11.2017 | 2017-12-01 | 3.5 | Нет | Пульт | Средний | ??? | Нет | Частично | Нет | |||||
Уязвимость, связанная с внедрением хранимого веб-контента (WCI, также известная как XSS), присутствует в MODX Revolution CMS версии 2.5.6 и более ранних. Авторизованный пользователь с разрешениями на редактирование пользователей может сохранить вредоносный код JavaScript в качестве имени группы пользователей и потенциально получить контроль над учетными записями жертв.Это может привести к повышению привилегий, обеспечивающих полный административный контроль над CMS. | |||||||||||||||||||
15 | CVE-2017-1000067 | 89 | | Sql | 17.07.2017 | 21.07.2017 | 6,5 | Нет | Пульт | Низкий | ??? | Частично | Частично | Частично | |||||
MODX Revolution версии 2.x — 2.5.6 уязвим для слепой SQL-инъекции, вызванной неправильной дезинфекцией методом escape, в результате чего аутентифицированный пользователь получает доступ к базе данных и, возможно, повышает привилегии. | |||||||||||||||||||
16 | CVE-2017-11744 | 79 | | XSS | 30.07.2017 | 02.08.2017 | 4.3 | Нет | Пульт | Средний | Не требуется | Нет | Частично | Нет | |||||
В MODX Revolution 2.5.7 параметры «ключ» и «имя» в модуле системных настроек уязвимы для XSS. Вредоносная полезная нагрузка, отправленная в Connectors / index.php, будет запускаться каждым пользователем, когда они посещают этот модуль. | |||||||||||||||||||
17 | CVE-2017-9071 | 79 | | XSS | 18.05.2017 | 30.05.2017 | 2.6 | Нет | Пульт | Высокая | Не требуется | Нет | Частично | Нет | |||||
В MODX Revolution до 2.5.7 злоумышленник мог запустить XSS, вставив полезную нагрузку в заголовок HTTP-хоста запроса. Это можно использовать только в сочетании с другими проблемами, такими как отравление кеша. | |||||||||||||||||||
18 | CVE-2017-9070 | 79 | | XSS | 18.05.2017 | 30.05.2017 | 3.5 | Нет | Пульт | Средний | ??? | Нет | Частично | Нет | |||||
В MODX Revolution до 2.5.7 пользователь с разрешениями на редактирование ресурсов может вставлять полезные данные XSS в заголовок любого сообщения с помощью параметра pagetitle в файле connector / index.php. | |||||||||||||||||||
19 | CVE-2017-9069 | 434 | | Exec Code | 18.05.2017 | 30.05.2017 | 6.5 | Нет | Пульт | Низкий | ??? | Частично | Частично | Частично | |||||
В MODX Revolution до 2.5.7 пользователь с разрешениями на загрузку файлов может выполнять произвольный код, загружая файл с именем .htaccess. | |||||||||||||||||||
20 | CVE-2017-9068 | 79 | | XSS | 18.05.2017 | 30.05.2017 | 4.3 | Нет | Пульт | Средний | Не требуется | Нет | Частично | Нет | |||||
В MODX Revolution до 2.5.7 злоумышленник может активировать Reflected XSS, вводя полезные данные в несколько полей на странице настройки, что демонстрируется параметром database_type. | |||||||||||||||||||
21 | CVE-2017-9067 | 22 | | Реж.Trav. | 18.05.2017 | 31.05.2017 | 4,4 | Нет | Местный | Средний | Не требуется | Частично | Частично | Частично | |||||
В MODX Revolution до 2.5.7, когда используется PHP 5.3.3, злоумышленник может включать и выполнять произвольные файлы на веб-сервере из-за недостаточной проверки параметра действия для настройки / индексации.php, он же обход каталога. | |||||||||||||||||||
22 | CVE-2017-8115 | 22 | | Реж. Trav. + Инфо | 25.04.2017 | 05.05.2017 | 5,0 | Нет | Пульт | Низкий | Не требуется | Частично | Нет | Нет | |||||
Обход каталога в setup / processors / url_search.php (также известная как страница поиска неиспользуемого процессора) в MODX Revolution 2.5.7 может позволить удаленным злоумышленникам получить информацию о системном каталоге. | |||||||||||||||||||
23 | CVE-2017-7324 | 94 | | Exec Code | 30.03.2017 | 2020-01-10 | 7,5 | Нет | Пульт | Низкий | Не требуется | Частично | Частично | Частично | |||||
настройка / шаблоны / findcore.php в MODX Revolution 2.5.4-pl и ранее позволяет удаленным злоумышленникам выполнять произвольный PHP-код с помощью параметра core_path. | |||||||||||||||||||
24 | CVE-2017-7323 | | Exec Code | 30.03.2017 | 2020-01-10 | 6,8 | Нет | Пульт | Средний | Не требуется | Частично | Частично | Частично | ||||||
Функции (1) обновления и (2) установки пакетов в MODX Revolution 2.5.4-pl и более ранние версии по умолчанию используют http://rest.modx.com, что позволяет злоумышленникам-посредникам подделывать серверы и запускать выполнение произвольного кода, используя отсутствие механизма защиты HTTPS. | |||||||||||||||||||
25 | CVE-2017-7322 | 295 | | Exec Code | 30.03.2017 | 2020-01-10 | 6.8 | Нет | Пульт | Средний | Не требуется | Частично | Частично | Частично | |||||
Функции (1) обновления и (2) установки пакетов в MODX Revolution 2.5.4-pl и ранее не проверяют сертификаты X.509 от серверов SSL, что позволяет злоумышленникам-посредникам подделывать серверы и запускать выполнение произвольного кода через созданный сертификат. | |||||||||||||||||||
26 | CVE-2017-7321 | 94 | | Exec Code | 30.03.2017 | 2020-01-10 | 7,5 | Нет | Пульт | Низкий | Не требуется | Частично | Частично | Частично | |||||
настройка / контроллеры / добро пожаловать.php в MODX Revolution 2.5.4-pl и ранее позволяет удаленным злоумышленникам выполнять произвольный PHP-код с помощью параметра config_key в URI-адресе setup / index.php? action = welcome. | |||||||||||||||||||
27 | CVE-2017-7320 | 79 | | DoS XSS Http R.Spl. | 30.03.2017 | 2020-01-10 | 4.3 | Нет | Пульт | Средний | Не требуется | Нет | Частично | Нет | |||||
setup / controllers / language.php в MODX Revolution 2.5.4-pl и ранее некорректно ограничивает параметр языка, что позволяет удаленным злоумышленникам проводить атаки типа Cookie-Bombing и вызывать отказ в обслуживании (исчерпание квоты cookie) или проводить HTTP Атаки с разделением ответа с результирующим XSS через недопустимое значение параметра. | |||||||||||||||||||
28 | CVE-2016-10039 | 22 | | Реж. Trav. Включение файла | 24.12.2016 | 2019-11-14 | 7,5 | Нет | Пульт | Низкий | Не требуется | Частично | Частично | Частично | |||||
Обход каталога в / connector / index.php в MODX Revolution до 2.5.2-pl позволяет удаленным злоумышленникам выполнять включение / обход / обработку локальных файлов с помощью созданного параметра dir, связанного с браузером / каталогом / getfiles. | |||||||||||||||||||
29 | CVE-2016-10038 | 22 | | Реж. Trav. Включение файла | 24.12.2016 | 29.12.2016 | 7.5 | Нет | Пульт | Низкий | Не требуется | Частично | Частично | Частично | |||||
Обход каталогов в /connectors/index.php в MODX Revolution до 2.5.2-pl позволяет удаленным злоумышленникам выполнять включение / обход / манипуляции с локальным файлом через созданный параметр dir, связанный с браузером / каталогом / remove. | |||||||||||||||||||
30 | CVE-2016-10037 | 22 | | Реж.Trav. Включение файла | 24.12.2016 | 2019-11-14 | 7,5 | Нет | Пульт | Низкий | Не требуется | Частично | Частично | Частично | |||||
Обход каталогов в /connectors/index.php в MODX Revolution до 2.5.2-pl позволяет удаленным злоумышленникам выполнять включение / обход / манипуляции с локальным файлом через созданный параметр id (он же dir), связанный с браузером / каталогом / getlist. | |||||||||||||||||||
31 | CVE-2015-6588 | 79 | | XSS | 29.08.2017 | 02.09.2017 | 4,3 | Нет | Пульт | Средний | Не требуется | Нет | Частично | Нет | |||||
Уязвимость межсайтового скриптинга (XSS) в login-fsp.html в MODX Revolution до 1.9.1 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через QUERY_STRING. | |||||||||||||||||||
32 | CVE-2014-8992 | 79 | | XSS | 22.12.2014 | 2019-10-22 | 4,3 | Нет | Пульт | Средний | Не требуется | Нет | Частично | Нет | |||||
Уязвимость межсайтового скриптинга (XSS) в manager / assets / fileapi / FileAPI.flash.image.swf в MODX Revolution 2.3.2-pl позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через параметр обратного вызова. | |||||||||||||||||||
33 | CVE-2014-8775 | 200 | | + Инфо | 03.12.2014 | 2019-10-22 | 5,0 | Нет | Пульт | Низкий | Не требуется | Частично | Нет | Нет | |||||
MODX Revolution 2.x до 2.2.15 не включает флаг HTTPOnly в заголовок Set-Cookie для файла cookie сеанса, что упрощает удаленным злоумышленникам получение потенциально конфиденциальной информации через доступ сценария к этому cookie. | |||||||||||||||||||
34 | CVE-2014-8774 | 79 | | XSS | 03.12.2014 | 2019-10-22 | 4.3 | Нет | Пульт | Средний | Не требуется | Нет | Частично | Нет | |||||
Уязвимость межсайтового скриптинга (XSS) в manager / index.php в MODX Revolution 2.x до 2.2.15 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через параметр context_key. | |||||||||||||||||||
35 | CVE-2014-8773 | 352 | | Обход CSRF | 03.12.2014 | 2019-10-22 | 6.8 | Нет | Пульт | Средний | Не требуется | Частично | Частично | Частично | |||||
MODX Revolution 2.x до 2.2.15 позволяет удаленным злоумышленникам обходить механизм защиты от подделки межсайтовых запросов (CSRF), (1) опуская токен CSRF или используя длинную строку (2) в параметре токена CSRF. | |||||||||||||||||||
36 | CVE-2014-5451 | 79 | | XSS | 06.11.2014 | 09.10.2018 | 4.3 | Нет | Пульт | Средний | Не требуется | Нет | Частично | Нет | |||||
Уязвимость межсайтового скриптинга (XSS) в manager / templates / default / header.tpl в MODX Revolution 2.3.1-pl и ранее позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через параметр «a» в manager /. ПРИМЕЧАНИЕ: эта проблема возникает из-за регрессии CVE-2014-2080. | |||||||||||||||||||
37 | CVE-2014-2736 | 89 | | Exec-код Sql | 24-04-24 2014 | 2019-10-22 | 7,5 | Нет | Пульт | Низкий | Не требуется | Частично | Частично | Частично | |||||
Множественные уязвимости SQL-инъекций в MODX Revolution до 2.2.14 позволяет удаленным злоумышленникам выполнять произвольные команды SQL через (1) идентификатор сеанса (PHPSESSID) для index.php или удаленным аутентифицированным пользователям выполнять произвольные команды SQL через параметр (2) user для Connectors / security / message.php или (3 ) id в manager / index.php. | |||||||||||||||||||
38 | CVE-2014-2311 | 89 | | Exec-код Sql | 11.03.2014 | 2019-10-22 | 7.5 | Нет | Пульт | Низкий | Не требуется | Частично | Частично | Частично | |||||
Уязвимость SQL-инъекции в modx.class.php в MODX Revolution 2.0.0 до 2.2.13 позволяет удаленным злоумышленникам выполнять произвольные команды SQL через неопределенные векторы. | |||||||||||||||||||
39 | CVE-2014-2080 | 79 | | XSS | 2014-03-01 | 30.07.2015 | 4.3 | Нет | Пульт | Средний | Не требуется | Нет | Частично | Нет | |||||
Уязвимость межсайтового скриптинга (XSS) в файле manager / templates / default / header.tpl в ModX Revolution до 2.2.11 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через параметр «a». | |||||||||||||||||||
40 | CVE-2010-5278 | 22 | 1 | Реж.Trav. | 07.10.2012 | 2020-01-10 | 4,3 | Нет | Пульт | Средний | Не требуется | Частично | Нет | Нет | |||||
Уязвимость обхода каталогов в manager / controllers / default / resource / tvs.php в MODx Revolution 2.0.2-pl и, возможно, ранее, когда magic_quotes_gpc отключена, позволяет удаленным злоумышленникам читать произвольные файлы через файл.. (точка, точка) в параметре class_key. ПРИМЕЧАНИЕ: некоторые из этих сведений получены из сторонней информации. | |||||||||||||||||||
41 | CVE-2010-4883 | 79 | 1 | XSS | 2011-10-07 | 29.08.2017 | 2,6 | Нет | Пульт | Высокая | Не требуется | Нет | Частично | Нет | |||||
Уязвимость межсайтового скриптинга (XSS) в manager / index.php в MODx Revolution 2.0.2-pl позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML с помощью параметра modhash. |
Руководства Боба | Электронная защита
Защита электронного оборудования
Если ты не видишь
изображения на этой странице, это из-за вашего блокировщика рекламы или антивирусной программы (или антивирусной программы
настройка файлов cookie для защиты от отслеживания).
Пожалуйста, отключите его или внесите в белый список бобов.com.
Дома на колесах содержат тонну электронного оборудования, хотя некоторые из них спрятаны там, где вы их никогда не увидите. Конечно, есть ваш телевизор и, возможно, музыкальная система, микроволновая печь и электронная панель управления, которая управляет вашим холодильником. Однако вполне вероятно, что у вас также есть дорогая электроника в вашем водонагревателе, печи, центре управления батареями, преобразователе, переключателе передачи, электрических ступенях и электронном центре управления.
Удар молнии, даже на некотором расстоянии, может мгновенно зажарить все это.Ущерб может достигать нескольких тысяч долларов. Если происходит сбой питания (а они довольно распространены в парках для домов на колесах), также может быть разрушительный скачок напряжения, который возникает при восстановлении электроснабжения.
Высокое и низкое напряжение также могут вызвать серьезные повреждения. Однажды холодным днем в Луизиане я однажды заметил дым, идущий от зарядного устройства для электрической зубной щетки. Зарядное устройство было разрушено, и когда я проверил парковочное напряжение, оно было 137 вольт. Управляющий парком сказал мне, что им нравится держать его на высоком уровне, чтобы было хорошо, когда все включают свои кондиционеры.
В другом парке моя была одной из пяти установок, использующих одну 30-амперную цепь. Типичное напряжение составляло около 105 вольт, и когда кто-то включал микроволновую печь, тостер или кофеварку, оно падало ниже 100 вольт для всех нас. Низкое напряжение не повредит электронике с нагревательными элементами, но вот электродвигатели — ад. Например, вы не хотите, чтобы компрессор вашего кондиционера работал от напряжения ниже 110 вольт.
Никакой сетевой фильтр не защитит вас полностью, если удар молнии ударит очень близко к вашей установке — они просто недостаточно быстрые.К счастью, вероятность того, что это произойдет, крайне мала.
Мне нравятся протекторы Progressive Industries. Лучшие из них защищают от высокого и низкого напряжения, а также от скачков напряжения. Они также защищают вас от неправильно подключенных силовых столбов. Это случается не очень часто, но иногда электроснабжение парка не заземлено должным образом (подвергая вас риску поражения электрическим током), или они подключили обе линии питания к одной ноге, давая всему на этой ноге 220 вольт, которые все зажгут. на этой стороне через несколько секунд и, возможно, начнется пожар.Эти протекторы недешевы, но если они вам когда-нибудь понадобятся, они сэкономят вам кучу денег.
Progressive производит два типа роскошных защитных устройств: проводные и автономные. Автономные устройства просты в использовании, так как вы просто подключаете их к любому концу шнура питания. Их также легко перенести на другую установку. Слева — модель на 30 ампер. Второй — для установок на 50 ампер.
Проблема с автономными моделями в том, что у них иногда отрастают ноги.Вы можете защитить их с помощью тонкого замка с тросиком, но этого не всегда достаточно. Альтернативой является модель с проводным подключением. Установить сложнее, но можно поставить там, где потенциальным ворам труднее добраться. Я использую 50-амперную версию ниже. Приятно иметь выносной дисплей. Он показывает используемые усилители и напряжение на каждой ноге, частоту (надеюсь, 60 Гц) и любые коды ошибок. Слева — модель на 30 ампер. Второй — для установок на 50 ампер.
Если вы думаете об установке одной из жестко подключенных моделей внутри вашей установки, имейте в виду, что они могут издавать раздражающий 60-тактный гул.Сначала я установил свой за блоком выключателя в спальне моей буровой установки. Корпус был сделан из очень тонкой фанеры, которая напоминала корпус гитары. Несмотря на то, что я использовал пенопласт с закрытыми ячейками, чтобы изолировать устройство от стены, и добавил немного звукоизоляционного материала в корпус, гул все еще оставался резонансным и был едва достаточно громким, чтобы я не мог уснуть по ночам. Это не разбудило меня, но уснуть было труднее. Большинство людей, вероятно, не беспокоились бы об этом, но в конце концов я переместил устройство в отсек под буровой установкой.
Заявление об ограничении ответственности : Я могу получить небольшую комиссию за вещи, приобретенные по ссылкам на этой странице.
Как партнер Amazon я зарабатываю на соответствующих покупках.
Будьте уверены, я не буду рекомендовать ничего, что я не использовал и не любил.
Спасибо, что посетили BobsGuides.com
modx взломан | Компьютерщик
MODX Site Hackers — растущая глобальная проблема!
Хакеров, атакующих сайты MODX, становится все более серьезной проблемой во всем мире.Сайты MODX становятся жертвами уязвимостей, которые открывают доступ хакерам. Получив доступ, они могут выполнять некоторые или все следующие действия с вашим сайтом:
- Совершайте мошенничество и воровство в отношении других, превратив свой сайт MODX в «фишинговый» сайт.
- Ваш сайт может использоваться для рассылки спама миллионам других пользователей.
- Поставьте под угрозу отношения с клиентами, разместив вредоносный код на вашем сайте MODX, который затем установит вредоносные вирусы на компьютеры ваших клиентов.
- Ваш веб-сервер, на котором находится ваш сайт MODX, можно использовать для взлома других серверов.
- и многое другое!
- Если на вашем сайте MODX уже есть вирус или вредоносное ПО? Не паникуйте — мы можем помочь!
Проверенная защита!
В The Computer Geek мы разработали проверенный набор решений, которые защитят ваш MODX-сайт и сделают его максимально устойчивым к взломам.
- Измените файл htaccess, чтобы поставить «преграды» для известных хакеров и хакерских ботов.
- Установите патчи безопасности, которые исправят несколько слабых мест MODX.
- Повысьте безопасность своей административной зоны.
- Выключите и удалите все уязвимые сценарии в вашей административной области.
- Повысьте уровень безопасности, чтобы обеспечить безопасность паролей хостинга / ftp / администратора.
- Установите скрипт, чтобы не только блокировать хакеров и хакерских ботов, но и ловить их.
- Установите наш пользовательский скрипт блокировки сайта. Мы разработали специальный скрипт, который позволяет вам блокировать / разблокировать все файлы вашего сайта из административной области Webssite Guardian.Этот сценарий блокирует ваши файлы, чтобы хакеры не могли получить к ним доступ и изменить их. Computer Geek — единственная компания, которая предлагает эту функцию блокировки.
[Примечание: доступно не на всех серверных платформах.]
Свяжитесь с компьютерными фанатами, чтобы обсудить, что мы можем сделать для защиты вашего сайта MODX. Мы будем рады бесплатно предоставить смету.
Какими бы ни были ваши потребности в MODX, они будут удовлетворены эффективным, качественным и дружелюбным обслуживанием!
Что такое MODX
MODx — это система управления контентом и платформа приложений с открытым исходным кодом.