DLE — простейшая защита админки
Вот какую картинку я увидел однажды в админке в разделе неудачных входов в админку, что заставило меня задуматься о защите. Тут чуть менее 50 попыток и все с одного IP и он не мой. В сети за этим IP числятся разные грязные делишки и поэтому я его заблокировал в этом разделе:
CMS DLE за последние годы набрала высокую популярность. Огромная доля сайтов в сети стоят именно на DLE и это привело к росту объема спама и попыткам взлома этих движков. В данной статье расскажу как можно защитить свою админку от взлома!
Блокировать IP, на место которых придут еще с десяток таких же не выход. Стандартными средствами можно защититься уведя админку на другой адрес.
Новый адрес админ панели
В разделе настройка системы — безопасность можно изменить адрес админки, но для этого необходимо будет переименовать и файл admin.php в корне скрипта, который является этой админкой с таким же названием. Например administrator.php. Далее в картинках:
Убираем авторизацию в старой админке
Недавно наткнулся на интересную статейку, смысл которой заключается в совместном использовании пунктов 1 и 2. Все, что нужно, так это переименовать админку, но при этом оставить старый — файл admin.php, который не будет отличаться от нового ничем, кроме отсутствия функции авторизации.
Таким образом, скрипты автоподбора паролей будут вечно пытаться войти в несуществующую админку.
Строка выше отвечает за ошибки авторизации и выводит соответствующий текст. В том же файле найти и удалить строку чуть ниже:
Это логическое продолжение удаляемой строки выше. И в самом низу закрывающие блок скобки и переменные:
Это также логическое продолжение условия:
Таким образом мы сохранили дизайн страницы авторизации, функционал срабатывания перезагрузки при нажатии на кнопку, но вырезали функционал авторизации, как таковой, в принципе. Страница будет перезагружаться имитируя проверку введенных данных, но все напрасно.
Есть одно но — логи будут продолжать заноситься в базу данных, причем попытку входа будут показывать как с новой страницы, а не admin.php.
Это нормально, поскольку в старом файле вырезан лишь код проверок, но не все остальное и оно не знает, что это фальшивая страница.
Блокируем админку по IP
Собственно способ этот только для тех, у кого либо статический ip, либо у динамического меняются только последние числа. Иначе ставить бессмысленно. Сменится ip — мы заблокированы!
Разработка модуля с админкой для DLE
В этой заметке будет рассмотрено создание модуля для CMS DLE с админской частью.
Модуль в DLE – это набор файлов расположенных в определённых директориях. Модуль будет состоять из 4 файлов:
1. engine/modules/aphorism.php
2. engine/data/aphorismconfig.php
3. engine/inc/aphorism.php
4.
Для подключения админки модуля в таблице префикс_admin_sections необходимо создать запись о новом стороннем модуле, запрос может выглядеть следующим образом:
Для того, что бы в шаблонах сайта распознаваля тэг
Файл engine/modules/aphorism.php содержит основные функции модуля:
Файл engine/data/aphorismconfig.php содержит конфигурацию модуля. Содержимое файла генерируется скриптом.
Файл engine/inc/aphorism.php содержит административную часть модуля:
7 комментариев
Олег
Oct 08, 2013 @ 16:27:31
А вот этот файл –
И еще вопрос. Как я понял, файл – engine/data/aphorismconfig.php сгенерится автоматом?
Georgy Spack
Oct 10, 2013 @ 00:44:47
Файл – engine/data/aphorismconfig.php сначало необходимо создать вручную, а содержимое в него пишется кодом из файла engine/inc/aphorism.php. По сути этот файл используется для конфигурации создаваемого модуля, если потребности в конфигурационном файле нет – его можно не создавать.
Олег
Oct 10, 2013 @ 07:53:31
Georgy Spack, большое спасибо! Но вот беда, почему то при создании файла aphorismconfig.php туда прописывается только часть массива, а именно – version и author. А вот элемента text почему то нет.
И еще вопрос все таки насчет тэга
Georgy Spack
Oct 10, 2013 @ 20:43:38
4.
62 строка в файле engine/inc/aphorism.php:
Найти name=»save_con1″ и заменить его на name=»save_con[text]»
После этого должно записывать полностью
Олег
Oct 11, 2013 @ 10:26:06
Georgy Spack, огромное спасибо! Все заработало.
Игорь
Apr 26, 2014 @ 20:07:40
Здравствуйте.
Подскажите пожалуйста как можно изменить урл запроса модуля admin.php?mod=aphorism на любой другой например admin.php?mod=name. Так как если в таблице в поле name задать любое другое имя кроме aphorism, то при выборе модуля пишет следующую фразу: Файл выбранного раздела админпанели не найден. Подскажите как это исправить.
Georgy Spack
Jun 18, 2014 @ 22:07:34
В запросе:
INSERT INTO `префикс_admin_sections` (`name`, `title`, `descr`, `icon`, `allow_groups`) VALUES
(‘aphorism’, ‘Афоризм’, ‘Высказывания знаменитых людей’, ‘aphorism.png’, ‘1’);
‘aphorism’ – это и есть наименование модуля, меняйте этот параметр он соответствует GET-параметру mod.
dle вход в админку
Неправильно что-то сделала. Не там ввела.) Либо какая-то другая проблема. Смотреть нужно.
И ещё: когда починишь и войдёшь в админку, тогда проверь.
Чтобы не было лишних администраторов добавлено. Т.е. чтобы была только ты админом.
Если есть и другие администраторы, то и у них тоже нужно изменить пароли. Проверить настройки групп пользователей.
Также ещё бы я сменил бы все пароли от панели управления сайтом + от phpmyAdmin (но при этом придётся подредактировать конфиг файл музол). Также хорошо бы проверить все файлы сайта на вирусы и шеллы.
Дата публикации: 2016-04-06
От автора: приветствую вас, друзья. В этой небольшой обзорной статье мы рассмотрим, как устроена админка DLE, где находится вход в админку DLE и как попасть в админ панель. Как вы понимаете, статья в первую очередь ориентирована на тех, кто только-только начал свое знакомство с CMS DLE.
Итак, вы установили движок DLE на хостинг или локальный сервер. Как теперь попасть в админку DLE? Все просто, для этого достаточно обратиться к главной странице вашего сайта и дописать к адресу строку admin.php, после чего перейти по новому адресу. Например, адрес моего сайта — dle.loc, соответственно, админ панель DLE находится по следующему URL — dle.loc/admin.php
При попытке войти в админку DLE, мы вполне логично увидим форму авторизации, где должны ввести логин и пароль администратора, придуманные нами на этапе установки DLE. Давайте авторизуемся. После успешной авторизации мы попадаем в святая святых нашего сайта — панель управления DLE.
Бесплатный курс «Основы создания тем WordPress»
Изучите курс и узнайте, как создавать мультиязычные темы с нестандартной структурой страниц
Стоит отметить, что админка DLE построена достаточно логично и интуитивно понятно. Если пытаться сравнивать с админками прочих CMS, то админка DLE будет чуть более сложна, чем админка WordPress, но более проста и понятна по сравнению с админкой Joomla. Внешний вид админ панели DLE также достоин похвалы, работать с админкой довольно приятно и удобно.
В правом верхнем углу мы можем увидеть данные по нашему профилю, где можно изменить E-mail, имя, пароль и прочие аналогичные данные. Также рядом есть доступ к двум наиболее часто используемым функциям при управлении сайтом — добавление новости и Редактирование новостей. Поскольку DLE — это новостной движок, то вполне логично, что функции управления новостей вынесены для удобного к ним обращения.
Давайте попробуем добавить первую новость, или статью, если угодно, на наш сайт. Для этого жмем кнопку Добавить новость и заполняем предлагаемую форму для добавления новости. По сути, нам достаточно указать название статьи, выбрать категорию для нее, а также заполнить краткое и полное описание добавляемой статьи.
Сохраним новость и посмотрим, появилась ли она на главной странице сайта. Статья появилась и это замечательно, поскольку так же легко и просто вы можете добавлять и другие ваши статьи и новости.
Давайте также изменим название сайта. Сделать это можно в разделе Настройки скрипта — Настройка системы. В поле Название сайта впишем желаемое название.
Теперь во вкладке браузера в качестве названия сайта мы увидим то, что нам нужно. Как видим, все действительно удобно, логично и понятно устроено в админке DLE. В следующих статьях мы познакомимся с другими возможностями DLE, ну а на этом текущую статью мы, пожалуй, будем завершать. Если вы хотите познакомиться с DLE поглубже и научиться создавать сайты на этом движке, тогда обязательно обратите внимание на наш курс Создание сайта на CMS DLE. Ну а я на этом с вами прощаюсь. Удачи!
Бесплатный курс «Основы создания тем WordPress»
Изучите курс и узнайте, как создавать мультиязычные темы с нестандартной структурой страниц
Хотите научиться создавать сайты на CMS DLE?
Посмотрите видео по созданию сайта на CMS DLE с нуля!
Вот какую картинку я увидел однажды в админке в разделе неудачных входов в админку, что заставило меня задуматься о защите. Тут чуть менее 50 попыток и все с одного IP и он не мой. В сети за этим IP числятся разные грязные делишки и поэтому я его заблокировал в этом разделе:
CMS DLE за последние годы набрала высокую популярность. Огромная доля сайтов в сети стоят именно на DLE и это привело к росту объема спама и попыткам взлома этих движков. В данной статье расскажу как можно защитить свою админку от взлома!
Блокировать IP, на место которых придут еще с десяток таких же не выход. Стандартными средствами можно защититься уведя админку на другой адрес.
Новый адрес админ панели
В разделе настройка системы — безопасность можно изменить адрес админки, но для этого необходимо будет переименовать и файл admin.php в корне скрипта, который является этой админкой с таким же названием. Например administrator.php. Далее в картинках:
Убираем авторизацию в старой админке
Недавно наткнулся на интересную статейку, смысл которой заключается в совместном использовании пунктов 1 и 2. Все, что нужно, так это переименовать админку, но при этом оставить старый — файл admin.php, который не будет отличаться от нового ничем, кроме отсутствия функции авторизации.
Таким образом, скрипты автоподбора паролей будут вечно пытаться войти в несуществующую админку.
Строка выше отвечает за ошибки авторизации и выводит соответствующий текст. В том же файле найти и удалить строку чуть ниже:
Это логическое продолжение удаляемой строки выше. И в самом низу закрывающие блок скобки и переменные:
Это также логическое продолжение условия:
Таким образом мы сохранили дизайн страницы авторизации, функционал срабатывания перезагрузки при нажатии на кнопку, но вырезали функционал авторизации, как таковой, в принципе. Страница будет перезагружаться имитируя проверку введенных данных, но все напрасно.
Есть одно но — логи будут продолжать заноситься в базу данных, причем попытку входа будут показывать как с новой страницы, а не admin.php.
Это нормально, поскольку в старом файле вырезан лишь код проверок, но не все остальное и оно не знает, что это фальшивая страница.
Блокируем админку по IP
Собственно способ этот только для тех, у кого либо статический ip, либо у динамического меняются только последние числа. Иначе ставить бессмысленно. Сменится ip — мы заблокированы!
Сброс пароля от админ.панели DLE
Как узнать имя базы?
Узнать имя базы данных, с которой работает сайт, можно в конфигурационном файле dbconfig.php, который находится в директории ./engine/data/ от корня сайта. Местоположение корня сайта можно увидеть в разделе Сайты. Он имеет вид Имя_сайта/public_html.
На скриншоте видно, что в нашем случае корнем сайта является директория dle/public_html, соответственно, файл будет находиться по следующему пути:
Теперь нам нужно открыть этот файл любым удобным способом, например, через Файловый менеджер, и найти в нём следующие строки:
Редактирование базы данных
После того, как мы узнали имя базы, нам нужно попасть в саму базу данных. Сделать это можно через phpMyAdmin в разделе MySQL. Находим нужную базу данных в списке и напротив неё нажимаем иконку PMA. Возможно, сразу phpMyAdmin не откроется, так как Ваш браузер блокирует всплывающие окна, поэтому разрешите использование всплывающих окон.
Перед нами база данных, с которой работает наш сайт. Нам нужно найти таблицу с пользователями нашего сайта. Её название имеет следующий вид – Префикс_users. В нашем случае она называется dle_users. Найдём её в списке и нажмём на неё:
Перед нами появилась информация из таблицы dle_user, в которой указана информация о всех зарегистрированных пользователях вашего сайта. Вам нужно найти строку с логином Вашей учётной записи, в нашем случае это учётная запись admin. Теперь откроем эту строку для редактирования, нажав на иконку с карандашом в левой части строки:
Теперь приступим к самой смене пароля. Для этого находим строку с названием password:
И поменяем в ней 2 строки: в поле Значение удаляем все текущие символы и вводим туда желаемый пароль, например BegetNewPass, а в поле Функция выбираем из списка MD5.
В итоге поля должны выглядеть следующим образом:
Теперь необходимо нажать кнопку Вперёд, расположенную в нижней части страницы, после чего мы попадем обратно на страницу с общей информацией о таблице.
Теперь снова необходимо нажать на кнопку редактирования строки – карандаш слева перед началом строки.
После всех выполненных действий пароль успешно изменился. Для проверки перейдите на страницу авторизации в админ.панель Вашего сайта и введите логин Вашего аккаунта и новый пароль.
Если у Вас что-то не получилось или возникают сложности, обратитесь в техническую поддержку с подробным описанием проблемы и уже сделанных Вами действий. Наши специалисты обязательно помогут Вам.
Dle loc admin php
Доброго времени суток. Есть сайт на DLE. Я не могу понять логина администратора и расположение админки.
Дело в том, что когда просматриваешь исходный код страницы, то там прописал название админки «odmin.php». Захожу по нему и выдает ошибку 404. Хорошо, может это стеб, и тогда иду по стандартному адресу admin.php и там выдает такую же ошибку. Собственно, адрес скрыт или я чего-то не понимаю.
Окей, попробуем узнать логин админа. Заходим на страницу статистики по сайту и видим, что там удалена таблица вывода активных пользователей. Заходим в форму обратной связи и опять таки видно, что поле с именем получателя нету. Начинаю смотреть добавленные новости и вижу, что их публикует только редактор…
Собственно, как можно узнать адрес админки и логин (или имя) администратора на сайте?
Адрес админки смотреть можно по файлам на сервере, логин админа в таблице БД.
Восстановить пароль админа можно, например, так
Там может быть приписано любое название, хотя такого файла может и не быть физически на хостинге, об этом ТС так же написал
Просо по логам авторизации кто-то постоянно в неё долбится с разных IP адресов и придумывая банальные логины. Так было до тех пор, пока я не скрыл админку и не скрыл имя администратора. А этой темой решил узнать, возможно ли ещё как-то узнать эту инфу не являюсь администратором сайта, чтобы в дальнейшем такого не происходило.