От автора: приветствую вас, друзья. Несмотря на название статьи, в ней мы, конечно же, не будем говорить о том, как взломать сайт на DLE. Я не хакер, а если бы и был таковым, то своих секретов бы не выдал :), собственно, как и любой серьезный хакер. Зато в данной статье мы немного поговорим о безопасности сайта на движке DLE. Начнем?
Итак, первое, что стоит отметить, так это то, что безопасность — это достаточно актуальный вопрос, особенно для DLE. Хотя с августа 2013 года в официальном списке уязвимостей DLE не опубликовано новых, однако это отнюдь не значит, что неофициально таковых нет. В любом случае, в вопросах безопасности сайта лучше перестараться, чем потом жалеть над взломанным сайтом.
Давайте рассмотрим несколько советов, которые могут помочь защитить ваш сайт. Начнем с самого, пожалуй, известного совета, которому нужно следовать всегда. На любом сайте. Заключается совет в том, что ваш пароль должен быть достаточно сложным. Это ни в коем случае не должно быть словом из словаря (то есть значимым словом типа password, admin, которые можно найти в обычном словаре).
Также в качестве пароля не стоит выбирать дату рождения или любую другую значимую дату. Не нужно использовать в качестве пароля email, адрес сайта или что-либо еще, связанное с сайтом.
В идеале пароль должен включать в себя: буквы, цифры, знаки препинания одновременно. Длина пароля желательна не менее восьми символов. Также желательны символы как в верхнем, так и в нижнем регистре. Такой пароль будет достаточно устойчив и подобрать его будет практически невозможно.
Хорошо, с паролем мы разобрались. Какие еще можно дать советы? Следующий будет касаться логина. Ни в коем случае не выбирайте в качестве логина такие слова как: admin, administrator, root, user. Также не стоит выбирать в качестве логина что-то связанное с вашим сайтом: домен, публичный email и т.п.
С логином также понятно. Теперь перейдем к средствам, которые предлагает нам сам DLE. Все они находятся в админпанели в меню Настройка системы — Настройки безопасности скрипта.
Первое, что нам предлагают, изменить имя файла админпанели. По умолчанию это не очень хорошо, поскольку это является стандартным адресом и позволяет различным ботам легко обращаться к админпанели с попытками подобрать к ней пароль и взломать ее.
DLE позволяет переименовать данный файл без дополнительных усилий. Переименуйте его на любое другое название, можно даже просто добавить цифру к нему и сохраните изменения здесь же, нажав кнопку Сохранить ниже. После этого не забудьте переименовать файл admin.php в корне сайта, дав ему новое имя. Теперь при обращении к прежнему адресу //site/admin.php будет возвращена ошибка и админпанель будет доступна по новому адресу.
Собственно, по такой же схеме вы можете воспользоваться и прочими предлагаемыми средствами, благо, каждая настройка описана и пояснена. Я вам советую обратить внимание на следующие настройки и по возможности использовать их:
Метод авторизации в админпанели — выбрать Расширенный метод
Список IP для которых разрешена авторизация в админпанели скрипта — указать IP-адрес(а) администратора
Ну и, конечно же, не забывайте главный совет: обновите вашу версию движка на актуальную, если в прежней были найдены уязвимости. На этом у меня сегодня все. Удачи!