MaxHub
Служба Заботы MaxSite CMS

Безопасность Maxsite CMS

Вопросы-ответы / 22 декабря 2016

Можно ли изменить адрес входа в Админку вместо site.ru/admin на свой адрес как в Wordpress??

По уровню безопасности (взломы, атаки на сайт и тп.) Maxsite уступает или превосходит Wordpress??

Как можно защитить Maxsite от взлома и атак??

Комментариев: 18
  1. Можно ли изменить адрес входа в Админку вместо site.ru/admin на свой адрес как в Wordpress??

    Такое невозможно. Хотя... когда-то говорили, что и своё ЧПУ невозможно, а нет же, сделали. Думаю, что можно было бы сделать плагин admin-ЧПУ. Но вот вопрос - надо ли? Ведь можно просто запретить доступ по IP к админке и менять больше ничего не нужно.

    По уровню безопасности (взломы, атаки на сайт и тп.) Maxsite уступает или превосходит Wordpress??

    Пока особых дыр в движке не нашли (может и нашли, но сообщений об этом пока не поступало). Если не ставить дырявые плагины, то можно считать сайт в безопасности. Конечно, во многом безопасность движка связана с тем, что им пользуются меньше людей, чем WP. Там просто выгоднее эксплуатировать дыры в плагинах.

    Давеча вычищал с клиентского WP очередной "подарок" хакеров и не сказал бы, что WP прям пример для подражания в плане безопасности. Как по мне, большинство его "фич" безопасности появились в результате очередных взломов из-за корявой архитектуры приложения. Нужно ли всё это в максайте - большой вопрос.

    Как можно защитить Maxsite от взлома и атак??

    Ограничьте доступ к админке по IP и большинство вопросов отпадут сами собой. Если назовёте конкретные виды атак, которые вас беспокоят, то можно будет подумать что с этим делать.

  2. Если назовёте конкретные виды атак, которые вас беспокоят, то можно будет подумать что с этим делать.
    Ddos атаки, XSS атаки

  3. Ddos атаки

    На "детских" уровнях DDOS-атаки движок вполне справляется сам (конечно многое зависит от качества и продуманности разработки шаблона), например, за счёт включения глобального кеширования.

    Однако, при повышении объёма атаки даже полный переход на статичную версию сайта не поможет. Даже фильтрация атакующих пакетов на уровне сервера не помогает.

    На моей практике была такая атака клиентского сайта, которую удалось пережить только за счёт переезда "в облако". Правда стоило это клиенту несколько месячных доходов. Как вы понимаете, в такой ситуации о движке уже речи не было.

    XSS атаки

    Ещё в самом начале существования движка было несколько неприятных ситуаций, после которых Максим доработал движок должным образом и теперь про проблемы с xss-атаками давно не слышно. Хотя стоит заметить, что часть ответственности за безопасность лежит на шаблоне, а точнее на разработчике шаблона - при желании или кривых руках можно поломать даже самое надёжное изделие...

  4. Меняете в файле /application/controllers/maxsite.php

    75 строку

    elseif ($method == 'admin') $this->_view_i('admin', 'admin');

    на

    elseif ($method == 'что вам больше нравится') $this->_view_i('admin', 'admin');

    и правите ссылки на админ-страницу в шаблонах поиском с заменой

    Геморно, но можно

  5. Геморно, но можно

    Валерий, спасибо за подсказку - действительно так можно сделать. Вот только нужно предупреждать коллег, что такой метод сопряжён со сложностями во время обновления движка. Т.е. про автоматическое обновление можно забыть, ибо операцию правки нужно будет повторять после каждого обновления.

  6. Макс ЦМС действительно крутой движок, в нём есть и защита от спамеров, и защита по IP, единственно слабым местом, с которым я столкнулся, это логин admin и пароль 12345678, я сестре сделал сайт (поэтому такой слабый пароль), а недавно обнаружилось, что кто-то влез внутрь и вычистил все статьи. слава богу, что их было немного и можно написать их заново. Про бекапы мы знаем, но делать их мы, конечно, не будем.

    Ещё у меня ОЧЧень любопытный вопрос возникает, откуда спамеры узнают о сайте на макс цмс, узнают довольно оперативно и начинают атаковать в основном английской рекламой и постоянно выдумывают новую рекламу. Я в стоп-список постоянно что-то вношу новое, уже нельзя в комментах писать про доллары, сайты и другие обычные слова, коммент не опубликуется.

    И у меня подозрение, что это или плагин какой-то сдаёт инфу спамерам, или есть какое-то слабое место, мб футер, мб стоит там ставить nofollow.

  7. Спасибо за ответы.

  8. Narcoman, в комментариях спам, как я понимаю?

    PS nofollow рассчитан на честные ресурсы. Вы же надеетесь уговорить хулиганов )))

  9. да, в комментариях, фильтры, конечно, успешно сдерживают натиск, но сам вопрос интересен, откуда они берутся на маленьком сайте.

  10. вопрос интересен, откуда они берутся на маленьком сайте.

    Stahlwerk, у спамеров давно работаю роботы, которые ищут html-формы (тут движок не важен) и пытаются их проспамить. Я иногда такие чудеса заполнения форм наблюдаю, что только такая версия и приходит в голову.

  11. Часто регистрируется комьюзер с ником 12 и в поле сайт чем-то вроде копиватчес.

    Не пойму как отлавливать ник комьюзера средствами maxsite.

    За регистрацию отвечает mso_comuser_auth, но там нет никакого хука, обрабатывающего массив данных нового комьюзера.

  12. Если не обновлять движок до новой версии - уязвимости будут??

  13. Андрей, если он с одного айпи или диапазона, просто бань по айпи и всё

    Алишер, например, на 0,86 всё пока безопасно, обновления не были связаны с критическими уязвимостями, только улучшения и удобство)

  14. бань по айпи

    Комюзер не оставляет комментариев - негде взять ip.

  15. Можно еще по email определить - там в адресе сайт "сто шестьдесят три . ком"

  16. Скажите, а что с защитой админки от брутфорса? Для WP когда-то встречал плагин, который при 3-х кратном неправильном вводе пароля выбрасывает под формой ввода дополнительно капчу. Можно что-то подобное реализовать для MaxSite?

  17. Для WP когда-то встречал плагин, который при 3-х кратном неправильном вводе пароля выбрасывает под формой ввода дополнительно капчу. Можно что-то подобное реализовать для MaxSite?

    Александр Абрамович, готового плагина нет, но при желании, конечно, можно сделать такое.

  18. Если не ставить дырявые плагины, то можно считать сайт в безопасности.

    Какие плагины дырявые и содержат уязвимость??

Оставьте комментарий!

grin LOL cheese smile wink smirk rolleyes confused surprised big surprise tongue laugh tongue rolleye tongue wink raspberry blank stare long face ohh grrr gulp oh oh downer red face sick shut eye hmmm mad angry zipper kiss shock cool smile cool smirk cool grin cool hmm cool mad cool cheese vampire snake excaim question

Вход / регистрация или войти без комментирования
  Имя и сайт используются только при регистрации

Авторизация MaxSiteAuth. Войти через loginza

(обязательно)