Повышаем безопасность livestreet CMS

Безопасность livestreet XSSНаверное вы как и многие устанавливаете множество различных плагинов, но не имеете опыта чтобы разобраться с их кодом и понять на сколько они безопасны для использования, в этой статье я напишу два совета как увеличить безопасность сервера и сайта.
1. Защищаем сайт от возможных XSS уязвимостей.
В livestreet CMS 1.0.1 по умолчанию включен доступ к cookie авторизации пользователей через javascript, соответственно какой то вредоносный скрипт может позволить злоумышленнику от имени другого пользователя пользоваться сайтом. Я уже внес изменения в github livestreet CMS, так что в новой версии такой возможности у злоумышленников не будет. А сейчас можно сделать это вручную.

Откройте файл
classes/modules/user/User.class.php

найдите и замените строку
setcookie('key',$sKey,time()+Config::Get('sys.cookie.time'),Config::Get('sys.cookie.path'),Config::Get('sys.cookie.host'));

на такую
setcookie('key',$sKey,time()+Config::Get('sys.cookie.time'),Config::Get('sys.cookie.path'),Config::Get('sys.cookie.host'),false,true);

как вы видите добавились последние два параметра «false, true» это означает что мы данные будем получать через не через HTTPS и доступ к cookie будет только через HTTP исключая javascript.
2. Защищаем сайт от возможности исполнять загруженные php скрипты
Защита от загрузки phpВ некоторых плагинах используются слабые проверки на загружаемый контент, соответственно через такой плагин злоумышленник может загрузить php скрипт (shell) и управлять вашим сервером, загружать вирусы и так далее. Чтобы исключить возможность исполнения скриптов в каталоге uploads нужно создать файл .htaccess с содержимым
php_flag engine off

теперь скрипты не будут исполнятся, а будут скачиваться как обычный файл.
Потратьте немного времени и защитите ваш сервер, не по наслышке знаю в какие проблемы может вылиться, если о безопасности заранее не позаботится.

3 комментария

avatar
Спасибо большое за информацию. Подскажите пожалуйста данный файл .htaccess достаточно положить в корневую папку uploads? во все остальные подпапки его класть не надо?
avatar
Достаточно создать такой файл в каталоге uploads, после этого во всех подкаталогах php исполняться не будет.
avatar
Спасибо
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.