DLE — простейшая защита админки

dle safe list - DLE — простейшая защита админки

Вот какую картинку я увидел однажды в админке в разделе неудачных входов в админку, что заставило меня задуматься о защите. Тут чуть менее 50 попыток и все с одного IP и он не мой. В сети за этим IP числятся разные грязные делишки и поэтому я его заблокировал в этом разделе:

dle safe filter - DLE — простейшая защита админки

CMS DLE за последние годы набрала высокую популярность. Огромная доля сайтов в сети стоят именно на DLE и это привело к росту объема спама и попыткам взлома этих движков. В данной статье расскажу как можно защитить свою админку от взлома!

Блокировать IP, на место которых придут еще с десяток таких же не выход. Стандартными средствами можно защититься уведя админку на другой адрес.

Новый адрес админ панели

В разделе настройка системы — безопасность можно изменить адрес админки, но для этого необходимо будет переименовать и файл admin.php в корне скрипта, который является этой админкой с таким же названием. Например administrator.php. Далее в картинках:

dle admin safe - DLE — простейшая защита админки

Убираем авторизацию в старой админке

Недавно наткнулся на интересную статейку, смысл которой заключается в совместном использовании пунктов 1 и 2. Все, что нужно, так это переименовать админку, но при этом оставить старый — файл admin.php, который не будет отличаться от нового ничем, кроме отсутствия функции авторизации.

Таким образом, скрипты автоподбора паролей будут вечно пытаться войти в несуществующую админку.

  • Выполнить первый шаг по переименованию админки, как в файле, так и в интерфейса сайта ;
  • Вернуть назад файл admin.php со всем имеющимся в нем кодом не удаляя новый
  • Открыть admin.php найти и удалить строку:
if ($is_loged_in == FALSE) {

Строка выше отвечает за ошибки авторизации и выводит соответствующий текст. В том же файле найти и удалить строку чуть ниже:

} elseif ($is_loged_in == TRUE) { 

Это логическое продолжение удаляемой строки выше. И в самом низу закрывающие блок скобки и переменные:

}$db->close ();GzipOut ();

Это также логическое продолжение условия:

( если авторизация = ошибка ){ выполнять код здесь }
иначе если ( авторизация = не ошибка ){ выполнять это }

Таким образом мы сохранили дизайн страницы авторизации, функционал срабатывания перезагрузки при нажатии на кнопку, но вырезали функционал авторизации, как таковой, в принципе. Страница будет перезагружаться имитируя проверку введенных данных, но все напрасно.

Есть одно но — логи будут продолжать заноситься в базу данных, причем попытку входа будут показывать как с новой страницы, а не admin.php.

dle logs new auth page - DLE — простейшая защита админки

Это нормально, поскольку в старом файле вырезан лишь код проверок, но не все остальное и оно не знает, что это фальшивая страница.

Блокируем админку по IP

Собственно способ этот только для тех, у кого либо статический ip, либо у динамического меняются только последние числа. Иначе ставить бессмысленно. Сменится ip — мы заблокированы!

block ip admin - DLE — простейшая защита админки

Не стоит беспокоиться о том, что с другого ip мы уже никогда не войдем — блок записывается в файл: engine/data/config.php в переменную. Достаточно будет просто стереть цифры, не ошибиться с кавычками и перезалить файл назад на сервер!

'admin_allowed_ip' => 'xx.xx.xx.xx'

Читайте также

Похожие записи

DLE — быстрый переезд на хостинг не используя инсталятор
Установка движка DLE на хостинг происходит через специальный файл — инсталятор, в котором необходимо заполнить все поля (имя базы данных,...
DLE — монетизируем загруженные в новостях файлы через отдельный домен
Как много у вас загруженных файлов (приложений к постам) не считая картинок? У меня много и придумал способ их монетизировать!...
DLE — мой первый модуль, как написать свой модуль Datalife Engine
Как ни пытался уйти с DLE из-за того, что он платный, а на рынке существует куча бесплатных аналогов, не получается...
DLE на HTTPS — основные проблемы и их решение
Столкнулся с рядом проблем, когда наконец-то решился перебраться на https. Не появлялись некоторые картинки, видео, а в адресной строке писалось,...
DLE — Модуль форума SimpleBB 1.1
Полноценный форум с единой регистрацией и авторизацией, единым акаунтом и ссылками на профиль от dle \»user/username/\» на движке SimpleBB 1.1...

Комментарии

  1. @Руслан пишет:
    28.07.2014 в 00:30

    У меня блокируется админка при входе. Что мне делать? Даже смена пароля через БД не помогло. С чем это может быть связно?

  2. @devarts пишет:
    28.07.2014 в 00:44

    Цитата: Руслан
    У меня блокируется админка при входе. Что мне делать? Даже смена пароля через БД не помогло. С чем это может быть связно?

    Как именно блокируется, что пишет, что вы делали?

  3. @RastaMan пишет:
    07.12.2014 в 22:15

    Только что проверил, у меня тоже много попыток авторизации, и с нескольких ip.
    А как проверить что это за ip? Найти какую нибудь информацию о нем возможно?

  4. @devarts пишет:
    08.12.2014 в 07:26

    Цитата: RastaMan
    Только что проверил, у меня тоже много попыток авторизации, и с нескольких ip.
    А как проверить что это за ip? Найти какую нибудь информацию о нем возможно?

    Только вбив в поиск этот IP. Тот IP, что я смотрел, упоминался на нескольких сайтах, как подозрительный и нехороший)

  5. @Дуччы пишет:
    25.07.2016 в 02:16

    А не лучше капчу на админку ещё добавить,
    тогда и перебирать будет сложнее ?

  6. @devarts пишет:
    07.08.2016 в 00:47

    Цитата: Дуччы
    А не лучше капчу на админку ещё добавить,
    тогда и перебирать будет сложнее ?

    Ее нужно добавить и для этого нужны знания, а здесь мы ее просто перенесем в другое место

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *