[justify]Раздел «Безопасность» является мощным инструментом для защиты сайта от разного рода нападений, начиная от SQL-инъекций и заканчивая загрузкой сторонних скриптов в директорию сайта. Данный раздел поможет отследить, выявить и при необходимости заблокировать нападающего, а так же любого другого пользователя или посетителя проекта.<br>
<br>
[color=green][b]Вкладка «Главная»[/b][/color]<br>
Предоставляет статистику по пользованию сайтом. Для просмотра статистики нажмите на значение (Информация) возле соответствующего файла статистики, при этом информация отобразится ниже списка файлов статистики.<br>
Для скачивания информации в виде txt файла нажмите на значение (Скачать).<br>
Для очистки файла статистики нажмите на значение (Удаление объекта).<br>
Для просмотра пути хранения и названия файла статистики на сервере нажмите на иконку (i) слева от названия соответствующей статистики.<br>
<br>
[b][i][color=orangered]Статистика модифицированных файлов[/color][/i][/b]<br>
В зависимости от указанного в настройках времени (Вкладка «Конфигурации», параметр «Время проверки файлов <br>
на модификации, в минутах») система проверяет все системные файлы на удаление, изменения, добавления новых.<br>
Сбор данной статистики полезен в плане безопасности: можно отследить описанные выше действия с файлами.<br>
<br>
[b][i][color=orangered]Статистика динамических ошибок[/color][/i][/b]<br>
Отслеживает ошибки скриптов и сервера. Записывает подробную информацию (описание ошибки, скрипт, строка и время возникновения ошибки) в лог-файл статистики на сервере.<br>
<br>
[b][i][color=orangered]Статистика запрещённых действий[/color][/i][/b]<br>
Отслеживает запрещённые действия. Некоторые методы передачи информации нельзя использовать, но в свою очередь они не являются критическими в плане безопасности системы. Допустим использование HTML кода в адресной строке браузера при передаче запросов, или попытка встраивания JavaScripts, IFrame и т.д. Записывает подробную информацию (ip-адрес нападавшего, данные о его браузере, описание действия, время его совершения) в лог-файл статистики на сервере. <br>
<br>
[b][i][color=orangered]Статистика входов пользователей[/color][/i][/b]<br>
Отслеживает все входы пользователей на сайт. Фиксирует:<br>
[li] был ли вход успешным;<br>
[li] IP-адрес вошедшего;<br>
[li] Ник;<br>
[li] браузер;<br>
[li] дата и время.<br>
<br>
[b][i][color=orangered]Статистика всей поступающей информации[/color][/i][/b]<br>
Отслеживает все действия производимые посетителями на сайте (Глобальные переменные POST, GET, COOKIE, FILES, SESSION), в общем буквально всё, что пользователи делают, какую информацию запрашивают, что отсылают и т.д. <br>
Сбор статистики полезен в плане безопасности: можно детально отследить, что делал тот или иной IP на сайте.<br>
<br>
[b][i][color=orangered]Статистика нападений[/color][/i][/b]<br>
Основная информационная панель системы безопасности. Отслеживает нападающих и их действия. Записывает подробную информацию (ip-адрес нападавшего, данные о его браузере, описание атаки, время ее совершения) в лог-файл статистики на сервере.<br>
<br>
[b][i][color=orangered]Статистика входов администраторов[/color][/i][/b]<br>
Отслеживает все входы администраторов на сайт. Фиксирует:<br>
[li] был ли вход успешным;<br>
[li] IP-адрес вошедшего;<br>
[li] Ник;<br>
[li] браузер;<br>
[li] дата и время.<br>
<br>
[b][i][color=orangered]Статистика статистических ошибок[/color][/i][/b]<br>
Отслеживает ошибки сервера. Записывает подробную информацию (описание ошибки, ссылка и время возникновения ошибки) в лог-файл статистики на сервере.<br>
<br>
[b][i][color=orangered]Структура файлов[/color][/i][/b]<br>
Отображает всю структуру файлов в директории сайта: папки, содержащиеся в них файлы.<br>
Обновляется в зависимости от настройки: Время проверки файлов на <br>
модификации, в минутах (указывается во вкладке «Конфигурации»).<br>
<br>
[color=green][b]Вкладка «Блокирование»[/b][/color]<br>
Можно заблокировать любого посетителя проекта по IP Адресу или маске сети IP, по используемому браузеру, а так же по имени пользователя, зарегистрированного на сайте. Количество заблокированных посетителей неограниченно. <br>
<br>
[b][i][color=orangered]Заблокированные IP Адреса[/i][/b][/color]<br>
В данном подразделе расположен список заблокированных IP-адресов. Адреса записываются в виде 255.255.255.255.<br>
При необходимости, можно блокировать целые подсети. Используется следующая маска: 255.***.***.***<br>
<br>
[b]Пример 1:[/b]<br>
IP: 77.245.112.0<br>
Маска сети: 255.255.***.***<br>
Будет заблокирована вся маска, включительно до 77.245.***.***<br>
<br>
Также можно заблокировать злоумышленника направлено по хэшу браузера.<br>
<br>
[b]Пример 2:[/b]<br>
Браузер: Opera/9.64 (Windows NT 6.0; U; ru) Presto/2.1.1<br>
Хэш браузера: 83897c6b59842b5554ba4e0d20bf201a<br>
<br>
Хэш можно увидеть в письмах, отправляемых по средствам обратной связи, а так же в профиле пользователя.<br>
При помощи блокировки по хэшу браузера можно направлено отсеять злоумышленника, при этом пользователи с его подсети не пострадают.<br>
<br>
[b]Для блокировки пользователя по IP необходимо заполнить[/b]:<br>
[li] [b][i]IP-адрес[/i][/b] – заполнять обязательно;<br>
[li] [b][i]Маска сети[/i][/b] – выбирается обязательно;<br>
[li] [b][i]Хэш браузера[/i][/b] – заполняется при необходимости;<br>
[li] [b][i]Время, указывается в сутках[/i][/b] – количество дней блокировки;<br>
[li] [b][i]Причина блокировки[/i][/b] – можно указать причину блокировки, которая будет показана пользователю при входе на сайт.<br>
<br>
[b][i][color=orangered]Заблокированные пользователи[/i][/b][/color]<br>
В данной секции расположен список заблокированных по «Ник» пользователей сайта.<br>
Для того чтобы заблокировать пользователя проекта по «Ник», необходимо заполнить:<br>
[li] [b][i]Ник[/i][/b] – заполняется обязательно;<br>
[li] [b][i]Время, указывается в сутках[/i][/b] – количество дней блокировки;<br>
[li] [b][i]Причина блокировки[/i][/b] – можно указать причину блокировки, которая будет показана пользователю при входе на сайт;<br>
[li] [b][i]Отправить уведомление на e-mail[/i][/b] – можно заполнить шаблон письма, которое после блокировки будет отправлено заблокированному пользователю.<br>
<br>
[color=green][b]Вкладка «Логин и пароль»[/b][/color]<br>
Для повышения безопасности можно установить дополнительные логин и пароль для входа в систему администрирования.Так же можно ограничить вход в систему администрирования проектом по определённому IP-адресу или маске сети IP. Данный способ защиты является самым оптимальным и исключает любой несанкционированный вход в панель администрирования.<br>
[li] [b][i]Сообщение при входе с некорректным IP[/i][/b] – сообщение, появляющееся при попытке входа в панель администрирования с недопустимого IP-адреса. <br>
[color=blue][b]Совет:[/color][/b] замените сообщение на что-нибудь нейтральное, чтобы не давать злоумышленнику дополнительной информации о защите.<br>
[li] [b][i]Сообщение при ошибочном вводе логина или пароля[/i][/b] – сообщение, появляющееся при вводе некорректного логина и/или пароля администратора. <br>
[color=blue][b]Совет:[/color][/b] замените сообщение на что-нибудь нейтральное, чтобы не давать злоумышленнику дополнительной информации о защите. <br>
[li] [b][i]Маска сети для входа в панель администратора[/i][/b] – диапазон IP-адресов, с которых разрешен доступ в систему администрирования. Если IP-адрес динамичный (модемное соединение) диапазон адресов можете узнать у своего провайдера(ов).<br>
[li] [b][i]Допустимые IP Адреса администратора[/i][/b] – в данном окне перечисляется список IP-адресов, с которых разрешен доступ в систему администрирования. Используется при соединениях с постоянным или динамичным IP-адресом. <br>
[li] [b][i]Дополнительные логин и пароль администратора[/i][/b] – дополнительная защита системы администрирования, исключающая любой несанкционированный доступ в панель управления сайтом. Авторизационные данные запрашиваются до ввода основного логина и пароля администратора. Этот метод называется HTTP-аутентификация.<br>
[hr][color=red][b][i]Внимание![/b]<br>
HTTP-аутентификация возможна только при запуске РНР как Apache-модуля или в режиме FastCGI с установленным модулем Mod Rewrite. Заметьте, эта функция не работает на Microsoft IIS-сервере и с CGI-версией PHP.[/i][/color][hr]<br>
[color=green][b]Вкладка «Конфигурации»[/b][/color]<br>
В данной вкладке устанавливаются основные настройки системы безопасности. Пояснения по некоторым настройкам:<br>
[li] [b][i]Максимальный размер файлов статистики, в байтах[/i][/b] – если установленный размер достигнут, то файл упаковывается в gZip архив, название которого генерируется в соответствии с датой упаковки. <br>
Создаётся новый файл. Актуально для всех файлов статистики, которые отображаются во вкладке «Главная».<br>
[li] [b][i]Промежуток времени копирования базы данных, в минутах[/i][/b] – система может создавать резервные копии базы данных в автоматическом <br>
режиме. Промежуток между созданиями копий БД указывается в минутах. Копия базы данных упаковывается в gZip-архив и получает название в соответствии с временем создания.<br>
[li] [b][i]Автоматическое копирование базы данных?[/i][/b] – создавать резервные копии БД или нет.<br>
[li] [b][i]Показывать сообщения об ошибках?[/i][/b] – отвечает за отображение системных ошибок PHP. Рекомендуем отключить (повышает уровень <br>
безопасности), если сайт работает в нормальном режиме. Если сайт работает в режиме отладки (допустим: тестирования, создания своих модулей, блоков), то рекомендуем включить отображение, чтобы отследить ошибки и их причины. При отключённом режиме ошибки не показываются, даже если они есть.<br>
[li] [b][i]Показывать сообщения об JavaScripts ошибках?[/i][/b] – по аналогии с ошибками PHP (см. пункт выше).<br>
[li] [b][i]Блокировать нападающих?[/i][/b] – пользователь или IP автоматически попадают в список заблокированных, после чего доступ на сайт невозможен.<br>
<br>
[color=green][b]Возможные проблемы и их решения[/b][/color]<br>
[li] Управление безопасностью может быть заблокировано в результате чрезмерного увеличения размеров лог-файлов. Рекомендуется периодически очищать журналы от устаревших сообщений. <br>
[li] Дополнительные логин и пароль не подходят – удалите дополнительные логин и пароль из файла /config/config_secure.php <br>
[li] Заблокирован доступ администратора по IP – удалите свой IP-адрес из файла /config/config_blocker.php.[/justify]