Como prevenir abusos e proteger o meu site XOOPS?

  • Identifique-se para criar novos tópicos neste fórum
  • Visitantes anônimos não podem postar neste fórum
 
Administração  Membro   Postagens: 2360

Vamos analisar algumas possibilidades no XOOPS e o modo de prevenir abusos.

* O XOOPS gera suas páginas de forma dinâmica com ajuda do cache estático criado pelo Smarty. Agora vamos supor que alguém gostou de seu portal e decide copiar ele inteiro para o disco rígido para ler offline. Isso seria possível usando um programa de offline browser. Este programa acessaria seu portal e automaticamente iniciaria até 12 seções diferentes baixando tudo, de imagens a texto incluindo aí arquivos .zip e animações Flash. Isso pode causar duas coisas: sobre carga do portal e consumo excessivo de banda(oque te trará uma boa surpresa de conta do hospedeiro).

A solução para isso é bloquear alguns programas e bloquear qualquer "coisa" que navegue rapidamente demais em seu site(mais de 1 requisição por segundo do mesmo IP)

Para isso usariamos o Protector e além disso usaremos o arquivo .htaccess (so funciona em servidores Apache). Para se criar este arquivo basta abrir um editor de textos como o bloco de notas e digitar o conteúdo abaixo, salvar então como htaccess.txt e enviar a raiz do site(local onde esta o mainfile.php). depois pelo programa de FTP renomear o arquivo para .htaccess (repare no ponto no início do nome).
 

RewriteEngine on.

RewriteCond %{HTTP_USER_AGENT} ^Teleport [OR]

RewriteCond %{HTTP_USER_AGENT} ^Teleport\ Pro [OR]

RewriteCond %{HTTP_USER_AGENT} ^Telesoft [OR]

RewriteCond %{HTTP_USER_AGENT} ^The.Intraformant [OR]

RewriteCond %{HTTP_USER_AGENT} ^toCrawl/UrlDispatcher [OR]

RewriteCond %{HTTP_USER_AGENT} ^True_Robot [OR]

RewriteRule ^.*$ - [L]


Este seria somente um exemplo de alguns programas malignos. Um arquivo .htaccess mais completo sera descrito no final. Com estes dois componentes temos um portal um pouco mais seguro quanto a indisponibilização de serviço.

* Um erro muito comum de utilizadores do XOOPS e de outros CMS é usar senhas fracas. Senhas como 123mudar, minhasenha, senha123, são absolutamente ridículas. Existe pela internet dezenas de programas para testar senhas, seja de documentos do Word ou de contas de email ou de sites. Estes programas são capazes de testar até 25.000 senhas por segundo. Um invasor mais determinado pode encontrar a senha de um ou mais utilizadores de seu portal e usar suas contas.

Uma providência inicial é como administrador você nunca permitir senhas menores que 7 dígitos. NUNCA! Senhas de 8 dígitos usando letras e números são aceitaveis, por enquanto. A preferência seria por nunca usar palavras seja no nosso idioma ou em outro. Pois é muito facil encontrar na internet dicionários, para se testar palavras como senhas. Mude sua senha de administrador cada 2 meses, e na tela de admin do XOOPS coloque como tamanho mínimo de senhas 8 dígitos.

* Outro erro grave é permitir comentários ou envios em HTML nos formulários do XOOPS.

Se o HTML estiver habilitado seja em que módulo for, oque impediria o usuário malicioso de colocar um iframe ou uma taga div com tamanho de 1024px 3000px ? Isso tomaria toda a tema dando a impressão que o portal foi totalmente invadido. Apesar do sistema de filtragem do XOOPS filtrar a maioria do HTML malicioso ainda assim é possível por exemplo colocar uma imagem grande ou usar uma tag e obter um resultado desagradável.

* Mantenha Atualizado. Alguns utilizadores mantem versões antigas do XOOPS rodando em seus portais porque ou tem preguiça de atualizar ou a atualização de um sistema cheio de hacks e mods daria muito trabalho. Mas as vezes versões antigas do XOOPS tem novos problemas de segurança que nem são divulgados completamente porque são versões antigas e a maioria das pessoas tem certeza que não é mais usada. Uma prova disso é o problema do XML-RPC descoberto a pouco tempo e que afeta todas as versões do XOOPS anteriores a 2.0.13, também afeta outros scripts como o Wordpress, phpAdsNew, Media Manager, RunCMS

 

  Pesquisa avançada






Entrada

Codinome:


Senha:





Perdeu a senha?  |Cadastre-se!


Quem nos visita
Há 19 visitantes neste momento... (8 na seção Fóruns)

Associados: 0
Anônimos: 19

outros...

Banner XOOPS Cube