Хостинг от ERA Host
EraHost - бесплатный домен, дешевый хост
Menu

Варианты решения Ваших вопросов

  хостинг
<< Назад       Защита сайта

Вопрос: Одним из основных элементов защиты от взлома («cms*» или “цементирования” сайта) является отключение системных функций и * в настройках PHP. К сожалению, у нас не было необходимых доступов к файлу php.*, поэтому мы не смогли прописать безопасные настройки для PHP самостоятельно. Поэтому вам нужно обратиться в тех. поддержку хостинга и попросить их внести следующие изменения в файл php.*: allow_url_fopen=* allow_url_include=* expose_php=* *=* *shell_exec*ftp_exec*phpinfo* *apache_child_terminate* *escapeshellarg* *mysql_list_dbs*get_current_user*syslog*phpcredits* * *pcntl_signal_dispatch* * display_errors=* mail.*=* После того, как данный настройки будут применены, системные скрипты, шаблоны становятся защищены от несанкционированных изменений, также становится невозможной загрузка и выполнение вредоносного кода в системные каталоги, так как они уже сделаны “только для чтения”. Подробно данная защита от взлома описана на странице нашего сайта: http://*.*.*clients_faq** На виртуальном хостинге сайт может работать в режиме mod_php, и php.* файл будет не доступен для внесения изменений. В этом случае необходимо запросить тех поддержку переключить сайт в режим * или php* с собственным php.* файлом в пользовательском каталоге, после чего внести указанные выше параметры в данный файл. Просим обратить внимание на следующий момент: иногда тех. Поддержка виртуального хостинга предлагает внести указанные изменения в корневой .* через директиву php_value*php_flag. Параметр *, который является одним из основных элементом нашей защиты, можно задать только в php.*, через .* файл он не меняется. Поэтому крайне важно отключить указанные функции через php.* файл, а не .*. Если после указания списка отключенных функций в * сайт перестает работать, попробуйте указать минимальный набор функций *shell_exec*phpinfo Если на хостинге нет технической возможности внести данные настройки в php, то защита работать не будет и сайт останется уязвимым. Поэтому нужно либо перейти на тариф, который позволит выполнить данные настройки, либо перенести сайт на более функциональный хостинг.
Ответ:

Здравствуйте. Все эти настройки являются настройками по умолчанию и уже включены на хостинге, кроме конечно огромного списка запрещенных функций с котрыми ваш сайт работать не будет.

А кроме рекоимендаций они что то вообще делали? нашли уязвимый скрипт или причину заражения ?

кроме кого, судя по рекомендациям, они вообще не смотрели конфигурацию, т.к. определить режим работы php предельно просто. Для чего они пушут Вам про mod_php если явно видно что php рабоатет в режиме php-cgi

Ответ:

мы прописали Вам

&*;

сообщиет если перестанет работать что то на сайте

Вопрос: Перечень выполненных процедур *. Сайт просканирован на все виды вредоносного кода, вирусов и хакерских скриптов. Обнаружены и удалены хакерские скрипты и вставки вредоносного кода в следующих файлах: • ./wp*wp*.php • ./wp*.php *. Закрыта уязвимость в скрипте *wp*BlogPost*.php *. На сайте установлена защита от взлома “cms*” (“цементирование” сайта), закрывающая уязвимости в скриптах и исключающая возможность взлома сайта через атаки через веб. Подробно о данной защите можно прочитать на странице http://*.*clients_faq**, в частности выполнены следующие операции: • в целях повышения безопасности, запрещена запись во все директории, кроме *image*. Все файлы cms и шаблоны также сделаны “только для чтения”. Данная мера защищает от несанкционированных изменений файлов, а также загрузки в системные каталоги хакерских скриптов и шеллов. • во всех каталогах, разрешенных на запись, размещены специальные .* файлы, блокирующие обращения к скриптам. Данная мера исключает возможность несанкционированного выполнения скрипта .php, загруженного в каталоги *image* и т.п. • С сервера удалены все не использующиеся текстовые файлы .*, .log, которые содержат версии cms и плагинов. Информация, содержащаяся в этих файлах, помогает хакеру определить версию CMS и, как следствие, уязвимости и плагины. Поэтому оставлять подобные файлы на сервере небезопасно. • в корневом .* размещен код, предотвращающий типовые хакерские атаки на сайт: *SQL иньекции, удаленную загрузку файлов, попытки чтения системных файлов, файлов дампов, а также настроены защита от автоматического скачивания контента и ряд других правил безопасности. • в конфигурационный файл wp*.php сайта добавлены настройки, запрещающие изменение системных файлов и шаблонов через административную панель CMS. *. Доступ к административной панели CMS защищен дополнительной парольной защитой. Данная мера закрывает ряд уязвимостей в панели управления, административном каталоге и не позволяет авторизоваться злоумышленнику, даже зная логин и пароль администратора.
Ответ:

ну это уже что то . Гарантию на взлом дали? раньше давали несколько месяцев.

Вопрос: Гарантию дали при условии соблюдения рекомендаций. Написали что оба должны быть зелёным - http://*.useron.*.php
Ответ:

у нас нет доступа к http://recepty.useron.ru/revtest.php

Вопрос: Там написано: Экспресс-проверка защиты сайта Системные функции запрещены - безопасно, для отключения защиты поставьте символ "решетка" # перед строкой *=... в файле /***/php.* Защита не работает, так как системные файлы доступны для изменений: wp*.php, .* Все системные файлы должны быть сделаны "только для чтения" согласно инструкции из отчета. Верхнее горит зелёным а нижнее красным. Написали что для полной защиты нужно что бы оба зелёным были.
Ответ:

поставьте на эти файлы права *** в файловом менеджере панли управления

Вопрос: Окей, всё работает. Спасибо.
Ответ:


ok


<< Назад