Скрываем config.core.php
Я давненько на своих сайтах меняю адрес админки и папки /connectors/
Мне нравится, что MODX позволяет это делать и очень сложно обнаружить, что сайт работает на нём. Но тут Николай Ланец смутил меня тем, что MODX можно определить еще и по файлу /config.core.php в корне. Да, он не выдаёт никакой информации, но показывает белый экран, а веб-сервер отдаёт ответ 200.
Чуть-чуть поискать и вариант решения найден — нужно просто прописать правило для веб-сервера, чтобы он отправлял нужный заголовок.
Кстати, так же можно закрыть и папку /core/, чтобы вместо ошибки 403 Forbidden отдавалась ошибка 404 — типа «не знаю никакого core, вы что? Тут таких нет...»
Вот, что нужно прописать в .htaccess (если у вас Apache)
Теперь, сервер будет показывать 404 страницу при попытке просмотреть файлы из /core/ или файла /config.core.php
Надеюсь, знатоки подскажут, как сделать это для nginx. И вообще — как вы думаете, правильно ли так закрывать папку /core/ или лучше вернуть 403 Forbidden?
Мне нравится, что MODX позволяет это делать и очень сложно обнаружить, что сайт работает на нём. Но тут Николай Ланец смутил меня тем, что MODX можно определить еще и по файлу /config.core.php в корне. Да, он не выдаёт никакой информации, но показывает белый экран, а веб-сервер отдаёт ответ 200.
Чуть-чуть поискать и вариант решения найден — нужно просто прописать правило для веб-сервера, чтобы он отправлял нужный заголовок.
Кстати, так же можно закрыть и папку /core/, чтобы вместо ошибки 403 Forbidden отдавалась ошибка 404 — типа «не знаю никакого core, вы что? Тут таких нет...»
Вот, что нужно прописать в .htaccess (если у вас Apache)
RewriteCond %{REQUEST_URI} ^/config.core.php*
RewriteRule ^(.*)$ [R=404]
RewriteCond %{REQUEST_URI} ^/core/*
RewriteRule ^(.*)$ [R=404]Теперь, сервер будет показывать 404 страницу при попытке просмотреть файлы из /core/ или файла /config.core.php
Надеюсь, знатоки подскажут, как сделать это для nginx. И вообще — как вы думаете, правильно ли так закрывать папку /core/ или лучше вернуть 403 Forbidden?
Комментарии: 66
Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
:D
ну ок, а как быть? от индексации-то надо закрыть, сеошники орут
Только если найдется «добрый» человек с мотивом «век меня помнить будете» и разместит где-нибудь ссылки. Робот ходит только по ссылкам — внешним, внутренним. Ещё подглядывает в карту сайта.
периодически сталкивался со случаями, когда админка закрыта дополнительной http авторизацией.
Папка /connectors/ переименовывается так же как и папка админки?
Если стоит компонент Tickets, то MODX палится исходным кодом, так как в нём появляется код
Вот как с этим быть?)
Fi1osofbusiness-vs-crisis.ru/manager/
business-vs-crisis.ru/core/
business-vs-crisis.ru/core.config.php
Даже где-то писал по этому поводу. При чем советую папки manager/, core/ и т.п. не переименовывать, а просто симлинки на них делать на новые УРЛ-ы. Все равно если кто будет на уровне PHP, он сможет добраться до кастомных папок где бы они ни были. А так главная задача — маскировка — выполнена, и проблем с нарушением структуры нет.
Fi1osofА если серьезно: она же не идет из коробки, у каждого своя фавиконка.
— Так, класс, успокоились. Иванов, хватит дергать за косички Курбанбаеву! Лучше ответь мне, на какой системе работает этот сайт? Садись, 4. Почему? Думал 2 секунды.
:)
Fi1osofНа счет шуток про школу: шути. Знаний правда у тебя все равно не прибавится от этого? И, если я не шучу над твоим кодом, это не значит, что у тебя там все ОК. Хочешь пройдусь по какому-нибудь твоему пакетику? Как когда пришлось переписывать почти все, что ты в консоль дописал и объяснять тебе почему так ни в коем случае нельзя делать? Ты просто реально уже начинаешь раздражать. Гонору дофига, а толку нефига. Был бы какой-то специалист вменяемый, а то переписал пару пакетиков и все, звезду поймал.
Я только за.
Fi1osofFi1osofБольше времени на тебя не потрачу, по тому что увидел уже достаточные выводы сделал.
Fi1osofFi1osofFi1osofFi1osofУ меня так прописано:
То есть просто подмена, а не какие-либо редиректы.
А можно еще и скомбинировать это с пропуском по IP, через директиву satisfy. Кто в разрешённом списке — ходит без авторизации, а у других запрашивается логин-пароль.
Очень удобно, рекомендую.
В robots.txt эти папки не указаны.
Все системные папки переименованы кроме assets (Thumbof тупит иногда если сменит папку)
В яше запретил индексацию yandex.countr а то он все линки при переходе отправляет индексацию.
1 сайт Индексирован 1к страниц
2 сайт Индексирован 2.2к страниц
Можно ограничить доступ по IP — в принципе этого достаточно, учитывая что почти у каждого есть возможность использовать статический IP / VPN со статическим IP.
Или ограничить по паролю, как говорил Василий.
Я остановился на этом — в htaccess:
RewriteCond %{REQUEST_URI} ^/config.core.php*
RewriteRule ^(.*)$ [R=404]
RewriteCond %{REQUEST_URI} ^/core*
RewriteRule ^(.*)$ [R=404]
Переименовал каталоги — manager и connectors с правкой путей к ним в config.inc.php
berlinadesign.ru — здесь cms через Wappalyzer не определяется
Как в данном случае скрыты следы CMS для Wappalyzer и ей подобным сайтам?
Для того что бы robots.txt можно было сделать ресурсом modx, а не статичным файлом на modhost
Илья, пожалуйста добавь в инструкцию и поправь название немного.
Не могу решить такой вопросик — установил modx на сервер, на котором находятся еще 2 сайта. (не modx )
Так как доменного имени пока нету, прописал в файле hosts строку доступа через ip. — ip название сайта. Вобщем
сайт открывается и работает нормально. НО, если обратится к любому файлу в директории core, то сервер отдает этот файл на скачивание. Причем при той же конфигурации, но на локальном сервере ответ нормальный 403 forbidden.
Еще есть сайт на другом хостинге, но там есть доменное имя, и там все нормально, при доступе к core выдается 403 ошибка.
Может кто знает в чем проблема, почему при закрытом доступе в .htaccess файлы из core отдаются на скачивание?
P.S. Безопасник Ланец как всегда отличился. Отдал не только ошибку, но еще и внедрил раскрытие путей.
P.P.S. Только сейчас заметил, что тема стара как мир. Простите за АП, но в ленте комментариев вылезло.
Прикольный костыль))