Clone wiki

CMS / Админка. Безопасность

Настройки безопасности позволяют снизить риск взлома сайта или его повреждений, в следствии злонамеренных действий пользователей. Встроенные механизмы защиты AtomM CMS позволяют отразить лишь несущественные атаки, так как атаку серьезного опытного хакера невозможно даже предвидеть. И как правило сильные атаки отражаются уже на уровне сервера, а не движка.

Настройки безопасноси можно найти в Админка -> Безопасность -> Параметры безопасности. Этот раздел админки имеет следующие настройки:

  • Отслеживать попытки SQL инъекций через адресную строку - Эта настройка определяет, надо ли блокировать попытки SQL инъекций через адресную строку и вести лог этих попыток. Запись лога ведётся в /sys/logs/antisql.dat. При обнаружении опасности, пользователя перенаправляет на главную страницу и делается запись в логе.

  • Анти DDoS защита - определяет, будет ли система предотвращать DDoS атаки. Иными словами система просто отслеживает аномально частые запросы пользователей и если они превышают предел, пользователь блокируется по IP адресу. При этом создается файл /sys/logs/anti_ddos/IP_адрес.dat. Снять бан можно удалив этот файл.

  • (DDoS) Максимально допустимое кол-во запросов - максимально допустимая частота запросов. При превышении этого придела происходит бан по IP.

  • Вести ли лог действий - Эта настройка позволяет включить лог действий на сайте. Будут логироваться все действия пользователей, такие как добавление, редактирование, удаление материалов. Этот лог можно посмотреть в Админка -> Безопасность -> Лог действий.

  • Максимально допустимый объем логов - максимальный объем лога действий.

  • Защита от перебора пароля - при активации этой настройки в форму авторизации передаётся с сервера копия секретного ключа. И при их не совпадении, дальнейшие действия не производятся. Это позволяет уменьшить риск брутфорса (перебора), в некоторых случаях даже нормальным - честным пользователям выдается предупреждение. Это небольшое неудобство, но вам решать использовать ли эту функцию. Для ее работы необходимо, чтобы в форме авторизации была метка {{ context.form_key }}.

Updated