ห้ามการเข้าถึงไฟล์ INI และ XML โดยตรง

10

เจ้าของเว็บไซต์บางคนไม่ต้องการให้ผู้คนโดยเฉพาะคู่แข่งรู้ว่าคุณลักษณะใดที่พวกเขามีในเว็บไซต์

เพราะข้อมูลสำคัญบางอย่างในภาษาหรือไฟล์การกำหนดค่าสามารถเข้าถึงได้โดยตรงจากเบราว์เซอร์เช่น

administrator/components/com_bank/language/en-GB/en-GB.com_bank.ini
administrator/components/com_bank/config.xml
components/com_bank/models/forms/transaction.xml

แม้ว่าจะมีเพียงช่างเทคนิคเท่านั้นที่รู้เกี่ยวกับ Joomla เท่านั้นที่สามารถค้นหาลิงก์เหล่านี้เข้าถึงและค้นหา (หรือคาดเดา) ว่ามีไซต์ใดบ้าง แต่เจ้าของเว็บไซต์ต้องการให้ทุกอย่างเป็นความลับ

ดังนั้นมีวิธีแก้ไขปัญหาด้านเซิร์ฟเวอร์หรือส่วนขยาย Joomla ใด ๆ เพื่อห้ามการเข้าถึงโดยตรงไปยังไฟล์ INI และ XML เหล่านี้หรือไม่

cms security

— Hung Tran
แหล่งที่มา

13

วางคำสั่งนี้ไว้ใน.htaccessไฟล์ของคุณ:

<FilesMatch ".(ini|xml)$">
  order allow,deny
  deny from all
</FilesMatch>

— Dmitry Rekun
แหล่งที่มา

ขอบคุณ! ผลลัพธ์ของสิ่งนี้คือข้อผิดพลาดที่ต้องห้าม 403 "ห้ามคุณไม่ได้รับอนุญาตให้เข้าถึง ... บนเซิร์ฟเวอร์นี้"

— Hung Tran

6

คุณสามารถขยายไฟล์. htaccess ของ Joomla ด้วย RewriteRule สำหรับไฟล์ประเภทนั้น

อาจเป็นเรื่องง่าย

RewriteRule \.xml$ index.php [L]
RewriteRule \.ini$ index.php [L]

กฎเหล่านี้ตรวจสอบว่าจุดสิ้นสุดของคำขอคือ ".xml" หรือ ".ini" และเขียนคำขอไปยัง index.php ใหม่ [L] หมายถึงกฎสุดท้าย

คุณควรใส่สิ่งนี้ในส่วน

## Begin - Custom redirects

— Harald Leithner
แหล่งที่มา

ฉันลองสิ่งนี้และผลลัพธ์ก็คือหน้าแรกของฉันโดยไม่มี CSS สไตล์โหลด

— Hung Tran

ไฟล์ css ของคุณลงท้ายด้วย xml หรือ ini หรือไม่!

— Harald Leithner

พวกเขาไม่ใช่นามสกุลของพวกเขาคือ. css ฉันทดสอบด้วยการติดตั้ง Joomla สด

— Hung Tran

3

ส่วนขยาย Joomla จะเป็นวิธีที่ผิดเนื่องจาก Joomla ไม่เกี่ยวข้องเมื่อคุณเข้าถึงไฟล์บนเซิร์ฟเวอร์โดยตรง

คุณสามารถบรรลุสิ่งที่คุณต้องการได้อย่างง่ายดายด้วย. htaccess หรือในการกำหนดค่าเซิร์ฟเวอร์ของคุณ สิ่งนี้ควรทำเคล็ดลับ:

<Files  ~ "\.xml$">
  Order allow,deny
  Deny from all
</Files>

นำมาจากhttp://www.ducea.com/2006/07/21/apache-tips-tricks-deny-access-to-certain-file-types/

— Bakual
แหล่งที่มา