Обезопасить созданный на MODX сайт
Добрый вечер, уважаемые пользователи MODX!
Пару месяцев назад открыл для себя MODX Revo, чему несказанно рад. До этого работал с разными CMS в т.ч. Joomla и Wordpress, но после знакомства с MODX сразу же про них забыл по объективным причинам, как и большинство в этом сообществе.
Сейчас делаю простой интернет-магазин. Недавно начал переносить верстку и на свежей установке MODX мое внимание привлекло следующее:
Скрин
Полез за решением проблемы и тут же наткнулся на статью в офф. документации:
Hardening Modx Revo
В связи с этим у меня возник ряд вопросов:
1) Всегда ли вы меняете расположение папки core, путь к админке (manager) и папке connectors в своих проектах или не делаете этого? Или есть более быстрое решение (допустим, в виде extras)?
2) Как часто, исходя из опыта, в Рунете «хакали» ваши сайты на MODX?
3) Влияет ли перенос и правка путей на установленные extras?
Я конечно понимаю, что безопасность всегда не помешает, но насколько это актуально для MODX? Тем более, изменение структуры этих папок потом также может добавить новых проблем при переносе сайта и т.п.
Исходя из своего опыта, сайты на Joomla часто заражались вирусами. Как обстоят дела с MODX я еще не знаю, поэтому хотелось бы узнать ваше мнение на сей счёт и рекомендации.
Пару месяцев назад открыл для себя MODX Revo, чему несказанно рад. До этого работал с разными CMS в т.ч. Joomla и Wordpress, но после знакомства с MODX сразу же про них забыл по объективным причинам, как и большинство в этом сообществе.
Сейчас делаю простой интернет-магазин. Недавно начал переносить верстку и на свежей установке MODX мое внимание привлекло следующее:
Скрин
Полез за решением проблемы и тут же наткнулся на статью в офф. документации:
Hardening Modx Revo
В связи с этим у меня возник ряд вопросов:
1) Всегда ли вы меняете расположение папки core, путь к админке (manager) и папке connectors в своих проектах или не делаете этого? Или есть более быстрое решение (допустим, в виде extras)?
2) Как часто, исходя из опыта, в Рунете «хакали» ваши сайты на MODX?
3) Влияет ли перенос и правка путей на установленные extras?
Я конечно понимаю, что безопасность всегда не помешает, но насколько это актуально для MODX? Тем более, изменение структуры этих папок потом также может добавить новых проблем при переносе сайта и т.п.
Исходя из своего опыта, сайты на Joomla часто заражались вирусами. Как обстоят дела с MODX я еще не знаю, поэтому хотелось бы узнать ваше мнение на сей счёт и рекомендации.
Комментарии: 13
Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
2) Один раз на сайте, который создавал, но не поддерживал (т. е. версия устарела на пару лет), но, судя по всему, изначально был получен доступ по FTP, а уж потом — инъекция.
3) Нет, если они написаны правильно и используют системные переменные для указания пути, а не относительные ссылки.
Касательно этого скрипта — подскажите, есть ли к нему где-то мануал по установке? Хотелось бы узнать поподробней как он работает.
И еще интересует — перенос core, переименование connectors и manager достаточно? Или что-то еще дополнительно делаете для рядовых проектов?
Скрипт спросит у вас root-пароль от БД, имя пользователя и адрес, по которому будет доступен сайт (например, mysupersite.dev — этот адрес с IP нужно будет добавить в hosts вашего компьютера, если домен вымышленный).
Уровнем выше создается файл pass.txt со всеми логинами, паролями, новыми именами ядра, коннекторов и менеджера. Кстати, для скриптов, стилей и картинок я использую или каталог src (а не assets), или в корне создаю соответствующие: styles, scripts, images.
Подразумевается, что вы используете Nginx, а не Apache. Остальные параметры вроде бы идентичны по статье «Правильный хостинг для MODX Revolution 2»
Перемещают обычно только core — выносят на уровень выше. А manager и connectors обычно просто переименовывают.
И еще вот совет
Был кипишь, когда AgelNash в открытую выложил дыру. Но потом вроде затихло.
А вообще лучше перебдеть.
В 2012г. принимал хозяйство одной вебстудии, порядка 200 сайтов на Joomla! Так, вот там контент-менеджеры сайты собирали из шаблонов и дополнений из файловых помоек. Постоянно вылетали из Яндекса. Наверное с год я перебирал всё это безобразие…