21 июня 2015 в 0:46
Доброе время суток.
В логах часто начинают сканировать друпаловские админ.пути, поэтому чуток добавил примитивной безопасности.
Добавив в корень друпала файл .htpasswd (внутри прописано имя пользователя и сгенерированный пароль)
а вниз друпаловского .htaccess добавлено несколько строчек
<FilesMatch "^admin$">
AuthName "Dialog prompt"
AuthType Basic
AuthUserFile /your_path/.htpasswd
Require valid-user
</FilesMatch>
AuthName "Dialog prompt"
AuthType Basic
AuthUserFile /your_path/.htpasswd
Require valid-user
</FilesMatch>
Надеюсь понятно,что /your_path/ это точный путь к файлу .htpasswd с именем/паролем
Что имеем в итоге: при присутствии в урле текста admin сервер требует авторизации.
С уважением к друпаллерам.
Комментарии
также в урле, кроме admin можно фильтровать паролем и другие важные переменные, например edit
< FilesMatch "^(admin|edit|phpmyadmin|wp-admin)$">
ну это шутка юмора такая
в моих логах видно, что кроме друпала автоматически сканируют также всякие разные cms: netcat | bitrix и пр.
а что разве нет плагина авторизации через соц сети?
включил авторизацию через соц. сети
а через обынчый пароль логин отключил
ах да мы ж про прямой доступ к скриптам...
а что ж тогда крики что друпал весь такой секюрный. а тут не доглядели.
вот так номер...
а такую секюрность через http auth и в wordpress могу сделать...