1. Приветствуем Вас на неофициальном форуме технической поддержки XenForo на русском языке. XenForo - новый и перспективный форумный движок от бывших создателей vBulletin.

1.2.1 Защищаем админку XenForo

Тема в разделе "Советы, руководства и видео-уроки", создана пользователем Romchik®, 31 май 2011.

Загрузка
  1. Balverine

    Balverine Пользователь

    Регистрация:
    20.03.14
    Сообщения:
    2
    Симпатии:
    1
    Версия XF:
    1.2.0
    Извиняюсь за некропост, но необходимо ли менять chmod на тот же .htpasswd?
    Ибо, все делаю с ювелирной точностью,а при появлении окна пишу логин с паролем - не принимает ни в какую.
    Значит ли это, что тут passwd не работает?
    --- добавлено : 21 мар 2014 в 06:07 ---
    Все разобрался, мой косяк, не правильно путь указывал.

    Еще вопрос появился, можно ли этот файл passwd закинуть на другой сервер и к нему указать путь к htaccess? Проверить пока нет возможности.
    Или это лишнее?
     
    Последнее редактирование модератором: 28 мар 2014
  2. infis

    infis Местный Команда форума

    Регистрация:
    27.06.11
    Сообщения:
    5.446
    Симпатии:
    3.269
    Версия XF:
    1.5.9
    Сформулируйте точнее. Слишком непонятно, что Вы имеете ввиду под passwd и "закинуть на другой сервер".
     
  3. Balverine

    Balverine Пользователь

    Регистрация:
    20.03.14
    Сообщения:
    2
    Симпатии:
    1
    Версия XF:
    1.2.0
    Извиняюсь, я имел ввиду, что разумно ли загрузить .htpasswd на сервер другого хостинга и указать адресс к нему в .htaccess на своем сервере.
    Но потом понял, что ерунду сморозил..
     
    infis нравится это.
  4. хенк

    хенк Новичок

    Регистрация:
    06.06.14
    Сообщения:
    1
    Симпатии:
    0
    Версия XF:
    1.0.2
    А как запретить по АЙПИ определенную директорию? а не файл
     
  5. swap

    swap Активный пользователь

    Регистрация:
    14.10.11
    Сообщения:
    28
    Симпатии:
    21
    Версия XF:
    1.3.2
    3 способ for 1.3.2
    Файлы для правки:
    Код:
    install\data\templates.xml (3 hits)
        Line 12474:                 <a href="admin.php" class="acp adminLink"><span class="itemLabel">{xen:phrase admin_control_panel_short}</span></a>
    
        Line 12498:                 <a href="admin.php?users/moderated" class="userModerationQueue modLink">
    
        Line 14581: <a href="admin.php?options/list/boardActive">{xen:phrase reopen_via_admin_control_panel}</a>]]></template>
    
    install\templates\install_complete.php (1 hit)
    
        Line 9: <p class="text"><a href="../admin.php" class="button primary">Войти в панель управления</a></p>
    
    install\templates\upgrade_complete.php (1 hit)
    
        Line 9: <p class="text"><a href="../admin.php" class="button primary">Войти в панель управления</a></p>
    
    js\xenforo\full\xenforo.js (1 hit)
        Line 8144:                 XenForo.AutoComplete.defaultUrl = 'admin.php?users/search-name&_xfResponseType=json';
    js\xenforo\xenforo.js (1 hit)
        Line 361: null)XenForo.AutoComplete.defaultUrl=c("html").hasClass("Admin")?"admin.php?users/search-name&_xfResponseType=json":"index.php?members/find&_xfResponseType=json";return XenForo.AutoComplete.defaultUrl};XenForo.AutoComplete.defaultUrl=null;XenForo.UserTagger=function(a){this.__construct(a)};XenForo.UserTagger.prototype={__construct:function(a){this.$textarea=a;this.url=a.data("acurl")||XenForo.AutoComplete.getDefaultUrl();this.acResults=new XenForo.AutoCompleteResults({onInsert:c.context(this,"insertAutoComplete")});
    
    library\XenForo\Link.php (1 hit)
    
        Line 223:         $outputLink = 'admin.php' . ($append !== '' ? '?' : '') . $append;
    
    library\XenForo\ViewRenderer\HtmlAdmin.php (1 hit)
    
        Line 52:             $this->_response->setRedirect('admin.php?tools/run-deferred&redirect=' . urlencode($redirectTarget), 303);
    Но ни один из этих способов не способен защитить от взлома, это только прикрытие админки, а делов можно наворотить и без неё.
    Можно добавить что всегда выходите с форума через кнопку Выход, ибо тогда куки затираются и xss уже не будет так действовать.
    Так же будьте осторожны с личными сообщениями, можете так же поймать xss.
     
  6. Acti0n

    Acti0n Новичок

    Регистрация:
    06.05.14
    Сообщения:
    5
    Симпатии:
    1
    Друзья, воспользовался первым вариантом с IP , не работает нивкакую! Подскажите что не так делаю может, файл htaccess в корне сайта ..расширение его txt,пробовал менять разрешение , пишу туда айпи свои а заходит все равно с любых.Вообще все перепробовал даже в файл admin.php дописывал чтобы авторизовываться с одного айпи конкретно все равно пускает со всех ... выручайте ,друзья!
     
    Последнее редактирование: 7 июл 2014
  7. swap

    swap Активный пользователь

    Регистрация:
    14.10.11
    Сообщения:
    28
    Симпатии:
    21
    Версия XF:
    1.3.2
    .htaccess точку перед именем файла поставь, вот так ".htaccess" имя файла должно выглядеть.
     
  8. nomid17

    nomid17 Read only

    Регистрация:
    19.05.14
    Сообщения:
    26
    Симпатии:
    0
    Версия XF:
    1.3.1
    library/XenForo/Link.php - нет такого!
     
  9. patrig

    patrig Местный

    Регистрация:
    11.06.11
    Сообщения:
    183
    Симпатии:
    165
    Версия XF:
    1.4.0
    xF 1.3.4 = данный файл есть.
     
  10. nomid17

    nomid17 Read only

    Регистрация:
    19.05.14
    Сообщения:
    26
    Симпатии:
    0
    Версия XF:
    1.3.1
    Класно тебе) Обновлять не хочу - уже все настроено) чето да слетит
     
  11. fastbitch

    fastbitch Пользователь

    Регистрация:
    28.11.14
    Сообщения:
    13
    Симпатии:
    0
    Версия XF:
    1.4.2
    а как для 1.4.2 третий способ сделать?
    а в navigation_visitor_tab нет admin.php что бы заменить
    некоторые админ вкладки не пашут.
     
    Последнее редактирование: 5 дек 2014
  12. gunpowder

    gunpowder Активный пользователь

    Регистрация:
    17.09.13
    Сообщения:
    116
    Симпатии:
    1
    Версия XF:
    1.2.1
    Помимо ограничений доступа к админку путем .htaccess еще есть какие-нибудь способы дополнительной безопасности?
     
  13. Exile

    Exile Местный

    Регистрация:
    27.06.11
    Сообщения:
    999
    Симпатии:
    543
    Версия XF:
    1.4.4
    Плагины добавляющие двухфакторную авторизацию.
     
  14. gunpowder

    gunpowder Активный пользователь

    Регистрация:
    17.09.13
    Сообщения:
    116
    Симпатии:
    1
    Версия XF:
    1.2.1
    а саму базу как можно защитить? и файлы проверить на бэкдоры? (включая то что стандартный проверщик может быть скомпроментирован)
     
  15. Exile

    Exile Местный

    Регистрация:
    27.06.11
    Сообщения:
    999
    Симпатии:
    543
    Версия XF:
    1.4.4
  16. gunpowder

    gunpowder Активный пользователь

    Регистрация:
    17.09.13
    Сообщения:
    116
    Симпатии:
    1
    Версия XF:
    1.2.1
    не особо приятно когда в файлах и базе роятся разные люди с неясными целями, как на этом форуме
     
  17. Exile

    Exile Местный

    Регистрация:
    27.06.11
    Сообщения:
    999
    Симпатии:
    543
    Версия XF:
    1.4.4
    Так не надо назначать админами «людей с неясными целями», нет? Вы ищете решение проблемы не на том уровне.
     
    sonic нравится это.
  18. sonic

    sonic Местный

    Регистрация:
    08.10.10
    Сообщения:
    277
    Симпатии:
    213
    да батенька вам реально нужно к доктору..
    1. вы спросили как защитить админку вам ответили.
    2. вы не удосужились изучить админку иначе бы не было вот этих возгласов
    так, как через админку вы не можете управлять базой, не можете менять файлы.
    3. не давайте никому никаких прав будете сам себе админ.
    4. даже дав кому-то админа или модера вы можете зайти и выставить галочки на то что он будет видеть в админке.

    ну и продолжать можно долго.. боюсь только смысла нету никакого.
     
  19. FractalizeR

    FractalizeR XenForo Addicted Команда форума

    Регистрация:
    27.09.10
    Сообщения:
    1.085
    Симпатии:
    822
    Версия XF:
    1.3.2
    Чем вам форум-то не угодил? ;)
     
  20. gunpowder

    gunpowder Активный пользователь

    Регистрация:
    17.09.13
    Сообщения:
    116
    Симпатии:
    1
    Версия XF:
    1.2.1
    Кто понял намек, тот молодец. Либо ваш XF взломали , либо аккаунты сбрутили.
     

Поделиться этой страницей