RealAdmin.ru

Исправляем ошибку в Modx: Каталог ядра в открытом доступе

MODX,Безопасность
Категория: Сайтострой
21 фев 2017 г. в 20:19

Часто в панели администрирования MODX можно увидеть предупреждение с заголовком «Каталог ядра в открытом доступе». Согласно нему следует, что содержимое каталога «core» доступно для чтения. Это является уязвимостью, поэтому следует прислушаться к рекомендациям движка.

Каталог ядра в открытом доступе

А движок рекомендует следующее. В корне «core» каталога лежит конфигурационный файл Apache — ht.access. Внутри него прописаны правила, которые запрещают просмотр содержимого каталога и удалённый доступ к файлам. Чтобы активировать конфигурационный файл, следует переименовать его в .htaccess.

В большинстве случаев надпись «Каталог ядра в открытом доступе» при такой защите не пропадает. Проблема в том, что многие хостинговые площадки используют связку Apache + Nginx, где Apache отвечает за отдачу содержимого html страницы, а Nginx — статичных файлов. Modx для проверки закрытия доступа к каталогу «core» проверяет доступность файла «core/docs/changelog.txt», за отдачу которого отвечает Nginx. И так как на Nginx правила из htaccess не действуют, он благополучно отдаёт его содержимое.

То есть текстовые файлы остаются всё равно доступны, что не является критичным, а значит сообщение можно игнорировать. Либо переимновать файл «changelog.txt», тем самым обманув движок. Сообщение будет скрыто.

Посмотрите похожее — 6
Комментарии — 2
  1. avatar Webersant 13 сентября 2017, 02:22 #
    Да, все верно. Добавлю, что и картинки будут доступны, хотя им там вроде делать нечего. Помимо этого текстового файла, там еще не один десяток других наберется. По факту, убирая ошибку таким способом, делаем так, чтобы эта ошибка просто не мозолила глаза. Саму причину не решаем, но хостинг не перестроить, только менять.
    1. avatar Simkin Andrew 13 сентября 2017, 13:41 #
      По факту, убирая ошибку таким способом, делаем так, чтобы эта ошибка просто не мозолила глаза.
      Не совсем — текстовые файлы и изображения не несут опасности. А вот доступ к исполнению PHP из вне при этом полностью закрыт. Так что всё в порядке.
    © REALADMIN.RU   2017 г.
    Страница сгенерирована: 0,1018 s | 10 mb.
    На каком уровне Вы играете в шахматы?
    О П Р О С
    Home Question Top