Просто ручная проверка может найти то, что никогда не найдет сканер.
Никто не запрещает проводить проверку сканером для личного спокойствия.
Хочу предупредить, что если ориентироваться на самую низкую цену - то есть риск, что аудит будет представлять собой сканирование обычным сканером безопасности, а, следовательно, риск пропустить "дыру" будет намного выше, чем при ручной проверке кода (что проверено на собственном опыте).
Также надо понимать, что любая веб-студия озвучит сумму намного больше, чем частный специалист - скажутся затраты на аренду, зарплаты и проч.
Возможно, есть еще дыры.
Нужно проверять весь код, все файлы.
Если разработчик скинул с шеллом - возможно, шелл залит намеренно и есть еще "мины".
Без детальной проверки ничего нельзя сказать.
Причем, шеллы могут прятаться в виде файла-картинки, а где-то в штацесс может быть правило, гласящее обрабатывать эту самую "картинку" как php-файл.
Согласен с kgtu5
Нужно проверять все вручную, антивирус для виндовс не расчитан на поиск шеллов и может не выявить их все.
Также добавлю, что даже если удалить шеллы, но не закрыть дыру, через которую они были залиты - сайт опять взломают.
Советую тс-у проверить - не подвержен ли баш на его сервере уязвимости шелл-шок.
Если все пропатчено - нечего волноваться.
Такое почти ежедневно в логах вижу....
Бесполезно бездумно увеличивать длину пароля.
25-30 символов за глаза хватит, если там используются не только цифры/буквы, но и спецсимволы, также полезно пароли иногда профилактически менять.
Хочу предупредить, что проверка сайта сканерами (как я понял, eiweb именно им (exploit-scanner - v1.4.5) и проводил проверку) не даст такой процент нахождений дыр, как ручной аудит кода, что не раз проверено личным опытом.
Если тс хочет быть уверен, что сайт не взломают - то лучше провести ручной аудит кода, но это стоит, конечно, дороже.
Советую в дополнение к антивирусу почаще пользоваться программой-песочницей.
Хорошая превентивная мера.
Не лезьте в бд.
Генерьте новый хеш и вставляйте его в файл htpasswd.
У Вас НЕТ пароля для авторизации в бд., он лежит в файле htpasswd в закодированном виде.
Вообще это не очень надежная система безопасности - легко брутится.
Желательно переписать при помощи пхп так, чтобы при заданном количестве попыток ввести пароль (то есть вводе неверного пароля заданное кол-во раз) доступ в админку закрывался на некоторое время.
Или, если нет программиста:
Допишите в штацесс-файл в админке следущее:
Order Deny,Allow
Deny from all
Allow from xxxxxxx
где xxxxxxx - Ваш ип-адрес.
Но - если он у Вас динамический-тогда не нужно это делать, а то замучаетесь менять айпишник.
Может, так?
User-Agent: *
Disallow: /*folder_three*
По идее -закроет доступ ко всему, где содержится слово "folder_three"
А бонусная программа?
Любому жаль, если бонусы сгорят из-за бездействия, это стимулирует покупку.
