Меню
Автор:
Фильтры
Что нового
Реклама

Правила безопасности для файлов DLE - nginx (1 Viewer)

Mr.S

Mr.S

Гуру
Owner
SkripTers TEAM
SEOшники
Регистрация
25 Дек 2019
Сообщения
91
Реакции
72
В каждом "нормальном" шаблоне под DLE есть файлы .htaccess которые должны защищать ваши файлы в шаблоне, к сожалению они работают только под Apache. И тем у кого сайт работает на nginx можно легко взять любой файл шаблона зная его адрес.
К примеру по адресу можно спокойно скачать оригинальный файл.

Кому нужно делюсь правилами под nginx, дабы такого небыло:
Код: 
location ~* /templates/.+\.tpl {
        deny all;
    }
location ~* (engine/cache) {
        deny all;
    }
location /backup/ {
        deny all;
    }
location ~ /\.ht {
        deny  all;
    }

     location /uploads/ {   
        location ~\.(php)$ {
          return 403;
        }
     }
     location /uploads/fotos/ {   
        location ~\.(php)$ {
          return 403;
        }
     }
     location /templates/ {   
        location ~\.(php)$ {
          return 403;
        }
     }
     location /language/ {   
        location ~\.(php)$ {
          return 403;
        }
     }
 
Не подскажете где прописывать эти правила?
 
в заблуждение вводишь )))) так как может там для каждого хоста свой конфиг быть ))) на одном хосте стоит dle на другом битрикс на третьем wp а на четвертом самопис ))))
 
Gara сказал(а):
в заблуждение вводишь )))) так как может там для каждого хоста свой конфиг быть ))) на одном хосте стоит dle на другом битрикс на третьем wp а на четвертом самопис ))))
Нажмите, чтобы раскрыть...
я с nginx не работал, знаю лишь, что нужно в конфиг с названием nginx.conf кидать.
 
Ужс, проверил и вправду скачиваются файлы шаблонов. В каком из этих файлов нужно добавить ваш код?
Screenshot 48
 
etc/nginx/nginx.conf гугл пишет здесь, добавил в самый конец файла ваш кодсайт полетел. nginx перезагрузил в злужбах - отлючился пока не удалил код не включался
 
Решил так
В папку /templates/Default/ добавил .htaccess с содержимим
Код: 
Order allow,deny
Deny from all

<FilesMatch "\.(css)$|^$">
   Order deny,allow
   Allow from all
</FilesMatch>
теперь при переходе выдает

Forbidden​

You don't have permission to access /templates/Default/main.tpl on this server.
 
Так значит у тебя связка Apache+Nginx, и поэтому у тебя была ошибка
 
Не работает код, не в основном конфиге не в тех что в vhosts-resources жаль конечно
 
serials сказал(а):
Не работает код, не в основном конфиге не в тех что в vhosts-resources жаль конечно
Нажмите, чтобы раскрыть...
Всё гораздо проще чем кажется. Откройте конфигурацию nginx нужного сайта
Там найдите строки вроде include /etc/nginx/*.conf; таких
Создайте файл без расширения в любом месте системы с содержимым который указал @Mr.S в первом посте, скопируйте путь к нему и ниже добавьте аналогичную строчку, перезагрузите nginx и вы молодец. Наслаждайтесь 403 Forbidden :skripka:
 
heroma сказал(а):
Всё гораздо проще чем кажется. Откройте конфигурацию nginx нужного сайта
Там найдите строки вроде include /etc/nginx/*.conf; таких
Создайте файл без расширения в любом месте системы с содержимым который указал @Mr.S в первом посте, скопируйте путь к нему и ниже добавьте аналогичную строчку, перезагрузите nginx и вы молодец. Наслаждайтесь 403 Forbidden :skripka:
Нажмите, чтобы раскрыть...
А я что написал? так и написал что инклудом не работает (vhosts-resources), что в основном конфиге ;)
 
Конфига может быть два. Один из них под SSL. Править нужно в обоих. И правило добавлять в самый верх правил :eek:
 
heroma сказал(а):
значит проблема в ваших руках ;)
Нажмите, чтобы раскрыть...
Ну конечно как иначе, у меня не один конфиг работает, я говорю что дело именно в коде и возможно в моей ситуации, другие конфиги работают, и по сео и под поисковые плагины и под списки, а вам поумничать я так понимаю важнее и собой восхищатся )))
 
Для ответа нужно войти/зарегистрироваться

Пользователи, просматривающие данную тему

Всего: 1 (пользователей: 0, гостей: 1)
Верх