[Mod] .htaccess защита файла!

Тема в разделе "Shop-script", создана пользователем alexmar, 19 фев 2011.

  1. alexmar

    alexmar Постоялец

    Регистр.:
    16 авг 2008
    Сообщения:
    51
    Симпатии:
    5
    Написан код в htaccess для shop-script, который защищает сам файл и другие блокировки, сжатия, оптимизация.
    Это полезно для всех пользователей Шопа и защита сайта, магазина от различных вариантов взлома, инъекций.

    Если найдены ошибки - корректируем

    #Защищаем .htaccess файл
    <files .htaccess="">
    order allow,deny
    deny from all
    </files>
    #Сжимаем элементы с помощью mod_deflate
    <ifmodule mod_deflate.c="">
    <filesmatch .(js|css)$="">
    SetOutputFilter DEFLATE
    </filesmatch>
    </ifmodule>
    #Это уже для всех сетевых вирусов и сканеров. Теперь любой запрос с адресом /_vti_bin будет автоматически перенаправляться на Microsoft:
    redirect /_vti_bin http://www.microsoft.com
    redirect /scripts http://www.microsoft.com
    redirect /MSADC http://www.microsoft.com
    redirect /c http://www.microsoft.com
    redirect /d http://www.microsoft.com
    redirect /_mem_bin http://www.microsoft.com
    redirect /msadc http://www.microsoft.com
    RedirectMatch (.*)\cmd.exe$ http://www.microsoft.com$1
    #Включаем отслеживание сим-ссылок
    Options +FollowSymLinks
    #Запускаем url_rewriting
    RewriteEngine On
    #Блокируем все ссылки, содержащие <script>
    RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
    #Блокируем все скрипты, которые пытаются изменить переменные PHP Globals:
    RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
    #Блокируем все скрипты, которые пытаются изменить переменную _REQUEST:
    RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
    #Перенаправляем все подобные на страницу с ошибкой 403 - запрещено
    RewriteRule ^(.*)$ index.php [F,L]
    #Сжимаем компоненты сайта путем включения Gzip
    AddOutputFilterByType DEFLATE text/html text/plain text/xml application/xml application/xhtml+xml text/javascript text/css application/x-javascript
    BrowserMatch ^Mozilla/4 gzip-only-text/html
    BrowserMatch ^Mozilla/4.0[678] no-gzip
    BrowserMatch bMSIE !no-gzip !gzip-only-text/html
     
    kuzmit42, cherepinfo и latteo нравится это.
  2. cherepinfo

    cherepinfo Создатель

    Регистр.:
    22 май 2009
    Сообщения:
    23
    Симпатии:
    0
    На сколько я помню в магазине нет фаила htasses, в главной директории, разве он не защищен без него, тогда вопрос в другом как его использовать так что бы защититься и одновременно реализовать чпу ???
    Спасибо.
     
  3. alexmar

    alexmar Постоялец

    Регистр.:
    16 авг 2008
    Сообщения:
    51
    Симпатии:
    5
    Пока для защиты сайта, магазина, это создаётся файл .htasses и туда прописывается код, который был указан выше.
     
  4. darkangel66

    darkangel66 Создатель

    Регистр.:
    20 дек 2007
    Сообщения:
    17
    Симпатии:
    8
    Ребят вообще то .htaccess файл называется..
    и для функционирования его , должны быть включены соответствующие опции в веб сервере (апаче скорее всего).
     
  5. alexmar

    alexmar Постоялец

    Регистр.:
    16 авг 2008
    Сообщения:
    51
    Симпатии:
    5
    Дополнительная защита по фтп. Ложим файл в корень сайта.
    У Меня установлено 4 дня, пока работает и нет спама, удачи.

    Единственное что вам нужно будет сделать после установки на сервер это удалить директорию install, а так же поставить CHMOD 777 на каталоги:
    cfg
    product_pictures
    templates_c
     

    Вложения:

    • ftp.rar
      Размер файла:
      108 байт
      Просмотров:
      33
  6. andre901

    andre901 Создатель

    Регистр.:
    12 май 2008
    Сообщения:
    48
    Симпатии:
    40
    спасибо за код. От себя добавлю ещё вот что ещё один пароль на админку поставил после взлома своего магазина.
    Разрешение доступа в директорию по паролю (работает совместно с файлом .htpasswd) или по определённому ip пользователя.

    - по паролю:
    Нужны два файла .htaccess и .htpasswd

    В файле .htaccess пишем:

    AuthName "Danger! Adminka!" (текст предупреждающей надписи)
    AuthType Basic
    require valid-user (войдёт любой, кто ввёл правильный пароль)
    AuthUserFile /home/site.ru/www/adminka/.htpasswd (абсолютный путь к .htpasswd)

    В файле .htpasswd указывается пароль. Создать этот файл можно с помощью htpasswd.exe, которая расположена в директории bin сервера.
    Создание файла .htpasswd:
    1. в командной строке перейдите в директорию bin
    2. введите: htpasswd -cm .htpasswd admin
    3. утилита запросит ввод пароля два раза, введите его
    4. если всё сделали успешно, то увидите Adding password for user admin
    5. файл .htpasswd сгенерируется в папке bin.

    Затем заливаем оба файла в нужную директорию, и при входе в неё будет запрашиваться логин и пароль. Ваша директория защищена!