Безопасность DLE возможности и настройки админ панели

Раздел: DataLife Engine » Полезные статьи для DLE
Уважаемые друзья!

Рекомендую важную статью на тему: Безопасности скрипта Dle и ваших ресурсов или как это реализовать максимально эффективно.

Как известно в скрипте существуют пассивная система безопасности, которая позволяет контролировать и фильтровать входящие данные, поступающие на сервер. Также есть активная система безопасности, уровень которых вы можете настроить по вашему желанию. Управление настроек безопасности находится в админ панели.
Настройка системы -> Настройки безопасности скрипта

В первом пункте вы можно настроить Метод авторизации: Стандартный и Расширенный.
Стандартный позволяет авторизоваться где угодно на портале и вход в админ панель происходит автоматически с вашего компьютера.
Расширенный метод полностью запрещает не авторизованный доступ к странице admin.php, до тех пор пока вы не введете логин и пароль, и пока вы находитесь на портале, после закрытия браузера и повторного входа в админ панель, вам понадобится заново придется ввести свой логин и пароль. Для авторизации в админ панели используется HTTP аутентификация, что очень надежно и позволяет вводит логин и пароль достаточно просто, либо просто одним щелчком мышки, если пароль сохранен в браузере. Расширенный метод исключает вход в вашу админ панель в случае если злоумышленником были украдены cookies с вашего компьютера.

Следующим пунктом в настройках идет Контроль изменения IP адреса
Эта настройка позволяет контролировать изменения по IP пользователя с момента его последней авторизации, если он изменился, то автоматическая авторизация отключается и пользователю повторно нужно будет ввести свой логин и пароль.
Но ведь есть же расширенный метод авторизации, зачем нужна эта настройка ?
Дело в том что расширенный метод авторизации контролирует только админ панель, а контроль изменения IP адреса контролирует весь ваш веб-проект, сбрасывая авторизацию и непосредственно на веб-проекте.
Если установить средний уровень контроля, скрипт будет отслеживать только пользователей, которые имеют расширенные привилегии и имеют доступ к админ панели.
Высокий уровень контроля будет отслеживать всех зарегистрированных посетителей, независимо от их привилегий. Установка данной настройки, делает бессмысленным кражу ваших cookies, их не смогут использовать на другом компьютере.

Следующей пунктом настройкой. Сброс ключа авторизации при каждом входе.
Включение данной функции позволяет, при каждой успешной авторизации пользователя на веб-проекте, генерировать уникальный ключ, и при авторизации на другом компьютере будет использовать уже другой уникальный ключ, в результате более ранняя авторизация на первом компьютере, становиться автоматически недействительной и работать больше не будет.
Например; вы зашли на свой портал на другом компьютере и просто забыли сделать выход, теперь вам достаточно зайти на свой портал на другом компьютере, как оставленная вами авторизация у друга или в интернет кафе, станет автоматически недействительной.

Иногда случаются совсем критические случаи, одним из таких случаев является, то что злоумышленник элементарно знает ваш пароль, и казалось бы что против такого лома нет приема, но DataLife Engine способен с легкостью защитить вас о такой критической ситуации. Вы можете установить разрешение на использование вашего логина только с определенного IP адреса или подсети.

Для это вам достаточно зайти в ваш профиль и установить Блокировку по IP. Вы можете задать как ваш полный IP адрес, так и частичный.

Например; большинство людей имеет динамический IP адрес, и при каждом входе в интернет он меняется. Но как правило провайдер обладает только определенным диапазоном IP адресов и первые цифры у него одинаковы всегда, и в вашем IP адресе меняются только последние две цифры.
Например; если вы устанавливаете блокировку по IP на адрес 203.158.*.* тем самым вы блокируете вход, если для выхода в интернет используется не ваш интернет провайдер. Диапазон ваших динамических адресов, вы можете узнать, осуществив несколько раз выход в интернет и посмотрев как изменился ваш адрес, либо просто уточнив этот момент у вашего интернет провайдера. В случае если у вас стоит блокировка по IP, вам нужно получить доступ к порталу совсем с другого места, то вам необходимо запросить восстановление пароля на E-mail, после подтверждения будет сброшен не только пароль, но и блокировка по IP адресу.

Итак подводя итоги данной статьи мы хотим порекомендовать вам использование следующих пунктов и настроек:

1. Метод авторизации в админ панели: Расширенный метод
2. Контроль изменения IP адреса: Средний
3. Установка блокировки по IP
4. Не использование украденных копий скрипта, или статьи по безопасности становятся бессмысленными, так как большая часть взломанных копий скрипта несут в себе потайные входы на ваш веб-проект со стороны злоумышленников, причем это не наш призыв к покупке скрипта, а печальный анализ пиратских версий, это ведь сказывается на нашей репутации.

С уважением,
Безопасность скрипта DLE возможности и настройки в админ панели
SoftNews Media Group
Наш сайт DLE рекомендует полезную статью для прочтения winked
  • 100
Рубрика: Все для DLE » Полезные статьи
Ранее » Шаблоны для DataLife Engine« Далее Советы robots.txt для Datalife Engine DLE
Добавление комментарияОставить комментарий
  • № :4
  • 7 ноября 2013 12:42
Метод авторизации в админпанели
При включении расширенного метода авторизации в админпанели, каждая новая сессия в админпанели будет требовать повторного ввода пароля, что гарантирует невозможность входа в админпанель, в случае кражи ваших Cookies.
Внимание данный метод авторизации будет работать, если ваш PHP установлен как модуль Apache, поэтому перед включением рекомендуем вам уточнить режим работы PHP у вашего хостера

на хостинге engine/data/config.php найти место
'auth_metod' => '1', 
поменять на значение на 0 (ноль)
  • № :3
  • 6 ноября 2013 16:53
Включил "расширенный метод авторизации", всплываект окно и не могу попасть в админку. Ввожу правильный логин и парол и толку никакого, перекидывает после 3-й попытки на страницу Access Denied
Скриншет метода авторизации:

Как все вернуть на свои места?
  • № :2
  • 17 июня 2013 12:23
Там все есть, как это сделать
можно конечно добавить, админ панель движка DLE
Настройка системы -> Настройки безопасности скрипта
  • № :1
  • 17 июня 2013 01:03
Ничего полезного, хоть бы написали как вкл эту возможность