1.2.1 Защищаем админку XenForo

Извиняюсь за некропост, но необходимо ли менять chmod на тот же .htpasswd?
Ибо, все делаю с ювелирной точностью,а при появлении окна пишу логин с паролем - не принимает ни в какую.
Значит ли это, что тут passwd не работает?
--- добавлено : 21 мар 2014 в 06:07 ---
Все разобрался, мой косяк, не правильно путь указывал.

Еще вопрос появился, можно ли этот файл passwd закинуть на другой сервер и к нему указать путь к htaccess? Проверить пока нет возможности.
Или это лишнее?

 

Сформулируйте точнее. Слишком непонятно, что Вы имеете ввиду под passwd и "закинуть на другой сервер".

 

Извиняюсь, я имел ввиду, что разумно ли загрузить .htpasswd на сервер другого хостинга и указать адресс к нему в .htaccess на своем сервере.
Но потом понял, что ерунду сморозил..

 

А как запретить по АЙПИ определенную директорию? а не файл

 

3 способ for 1.3.2
Файлы для правки:

Код:

install\data\templates.xml (3 hits)
    Line 12474:                 <a href="admin.php" class="acp adminLink"><span class="itemLabel">{xen:phrase admin_control_panel_short}</span></a>

    Line 12498:                 <a href="admin.php?users/moderated" class="userModerationQueue modLink">

    Line 14581: <a href="admin.php?options/list/boardActive">{xen:phrase reopen_via_admin_control_panel}</a>]]></template>

install\templates\install_complete.php (1 hit)

    Line 9: <p class="text"><a href="../admin.php" class="button primary">Войти в панель управления</a></p>

install\templates\upgrade_complete.php (1 hit)

    Line 9: <p class="text"><a href="../admin.php" class="button primary">Войти в панель управления</a></p>

js\xenforo\full\xenforo.js (1 hit)
    Line 8144:                 XenForo.AutoComplete.defaultUrl = 'admin.php?users/search-name&_xfResponseType=json';
js\xenforo\xenforo.js (1 hit)
    Line 361: null)XenForo.AutoComplete.defaultUrl=c("html").hasClass("Admin")?"admin.php?users/search-name&_xfResponseType=json":"index.php?members/find&_xfResponseType=json";return XenForo.AutoComplete.defaultUrl};XenForo.AutoComplete.defaultUrl=null;XenForo.UserTagger=function(a){this.__construct(a)};XenForo.UserTagger.prototype={__construct:function(a){this.$textarea=a;this.url=a.data("acurl")||XenForo.AutoComplete.getDefaultUrl();this.acResults=new XenForo.AutoCompleteResults({onInsert:c.context(this,"insertAutoComplete")});

library\XenForo\Link.php (1 hit)

    Line 223:         $outputLink = 'admin.php' . ($append !== '' ? '?' : '') . $append;

library\XenForo\ViewRenderer\HtmlAdmin.php (1 hit)

    Line 52:             $this->_response->setRedirect('admin.php?tools/run-deferred&redirect=' . urlencode($redirectTarget), 303);

Но ни один из этих способов не способен защитить от взлома, это только прикрытие админки, а делов можно наворотить и без неё.
Можно добавить что всегда выходите с форума через кнопку Выход, ибо тогда куки затираются и xss уже не будет так действовать.
Так же будьте осторожны с личными сообщениями, можете так же поймать xss.

 

Друзья, воспользовался первым вариантом с IP , не работает нивкакую! Подскажите что не так делаю может, файл htaccess в корне сайта ..расширение его txt,пробовал менять разрешение , пишу туда айпи свои а заходит все равно с любых.Вообще все перепробовал даже в файл admin.php дописывал чтобы авторизовываться с одного айпи конкретно все равно пускает со всех ... выручайте ,друзья!

 

.htaccess точку перед именем файла поставь, вот так ".htaccess" имя файла должно выглядеть.

 

library/XenForo/Link.php - нет такого!

 

xF 1.3.4 = данный файл есть.

 

Класно тебе) Обновлять не хочу - уже все настроено) чето да слетит

 

а как для 1.4.2 третий способ сделать?
а в navigation_visitor_tab нет admin.php что бы заменить
некоторые админ вкладки не пашут.

 

Помимо ограничений доступа к админку путем .htaccess еще есть какие-нибудь способы дополнительной безопасности?

 

Плагины добавляющие двухфакторную авторизацию.

 

а саму базу как можно защитить? и файлы проверить на бэкдоры? (включая то что стандартный проверщик может быть скомпроментирован)

 

http://docdoc.ru/illness/paranoiya

 

не особо приятно когда в файлах и базе роятся разные люди с неясными целями, как на этом форуме

 

Так не надо назначать админами «людей с неясными целями», нет? Вы ищете решение проблемы не на том уровне.

 

да батенька вам реально нужно к доктору..
1. вы спросили как защитить админку вам ответили.
2. вы не удосужились изучить админку иначе бы не было вот этих возгласов

так, как через админку вы не можете управлять базой, не можете менять файлы.
3. не давайте никому никаких прав будете сам себе админ.
4. даже дав кому-то админа или модера вы можете зайти и выставить галочки на то что он будет видеть в админке.

ну и продолжать можно долго.. боюсь только смысла нету никакого.

 

Чем вам форум-то не угодил?

 

Кто понял намек, тот молодец. Либо ваш XF взломали , либо аккаунты сбрутили.