Безопасность MODX Evolution

12
Powerbiz
На сайте с 08.12.2009
Offline
67
729

Привет, всем

Кто что делает для повышения безопасности сайтов на MODX Evolution?

LeonCrab
На сайте с 30.01.2007
Offline
189
#1

Обычно переходят на MODX Revo.

Помощь в создании сайтов на MODX, Laravel, Slim. В личку. Хостинг, которому я доверяю (https://beget.com/p181956).
Powerbiz
На сайте с 08.12.2009
Offline
67
#2

LeonCrab, это да, но он уступает в скорости и нагрузки.

Вот и интересует в связи с этим вопрос, как поднять безопасность на MODX Evo

Arsh
На сайте с 21.03.2007
Offline
199
#3
Powerbiz:
как поднять безопасность на MODX Evo

Можно поставить этот вопрос в общем виде:

- Как обеспечить безопасность CMS, которая более не поддерживается разработчиками?

Ответ: никак.

Можно что-то сделать серверными методами, позакрывать все, что можно, но я бы потратил эти усилия на переход на Revo. И ее настройку, чтобы обеспечивала нужную скорость и нагрузку.

yet_warm
На сайте с 26.05.2007
Offline
129
#4
Arsh:
Можно поставить этот вопрос в общем виде:
- Как обеспечить безопасность CMS, которая более не поддерживается разработчиками?

Сорри, с какого бодуна она не поддерживается разработчиками? 😕

LeonCrab:
Обычно переходят на MODX Revo.

Как показывает практика, от перемены мест слагаемых результат не меняется. 🚬

Powerbiz:
Кто что делает для повышения безопасности сайтов на MODX Evolution?

То же самое, что и с другими CMS в общем случае: устанавливать обновления, не использовать устаревшие и левые дополнения etc.

Powerbiz:
Вот и интересует в связи с этим вопрос, как поднять безопасность на MODX Evo

На сколько поднять? Сейчас совсем упала? Версия какая:)

Многие хотят попасть в рай, мало кто хочет для этого умирать.
Arsh
На сайте с 21.03.2007
Offline
199
#5
yet_warm:
с какого бодуна она не поддерживается разработчиками?

Как-то так в Вики

Версия Evo командой разработки больше не поддерживается
Powerbiz
На сайте с 08.12.2009
Offline
67
#6
yet_warm:
Сорри, с какого бодуна она не поддерживается разработчиками? 😕
Как показывает практика, от перемены мест слагаемых результат не меняется. 🚬

То же самое, что и с другими CMS в общем случае: устанавливать обновления, не использовать устаревшие и левые дополнения etc.
На сколько поднять? Сейчас совсем упала? Версия какая:)

Первый вопрос хоть и адресован не ко мне. Но Evo поддерживается сообществом.

Общие случаи установки обновлений это понятно, а что делать с использованием в Evo eval и почти прямых запросов к БД более интересный вопрос. Все таки в Revo этого нет, но у него производительность сильно уступает. Соответственно весь топик появился из мысли, каким образом повысить безопасность более шустрой ветки MODx, то есть кто что использует для этого, закрытие директорий, вынесение модулей за пределы веб директории и т.д.

Версия которая используется в данный момент 1.3.6.

yet_warm
На сайте с 26.05.2007
Offline
129
#7
Arsh:
Как-то так в Вики

Ну на заборе тоже много чего написано. Arsh, от же не раздел политика, нафик людям мозги пудрить?)

Последний релиз Revolution - 3 января 2017, Evolution - 4 сентября 2017.

Arsh
На сайте с 21.03.2007
Offline
199
#8
yet_warm:
Последний релиз

Так кто его сделал? Разработчики или энтузиасты?

LeonCrab
На сайте с 30.01.2007
Offline
189
#9

На данный момент Ево, по сути, поддерживается одним энтузиастом.

Система хороша, но... увы.. время и требования не стоят на месте. :(, хотя надо отдать должное, что и Рево "умеет" не все, о чем мечталось бы (Composer, PSR etc).

Добиться на Рево времени отклика сопоставимого с Ево реально. Защита у Рево реализована на порядок лучше, и это факт.

По поводу улучшения защиты Ево:

- не ставить непроверенные модули/плагины/сниппеты;

- не обновляться сразу после выхода новой версии, особенно если кол-во изменений было большое (случаи выхода сырых версии - не единичны);

- перед очередным обновлением ядра/модулей/сниппетов ... читать что в них поменяли, т.к. тоже возможны варианты с последующей неработостособностью...

- фильтровать данные, как в любом РНР-проекте.

yet_warm:
Последний релиз Revolution - 3 января 2017, Evolution - 4 сентября 2017.

Уже можно немного подправить дату последнего релиза - 01/11/2017 :)

Список изменений здесь: https://raw.githubusercontent.com/modxcms/revolution/v2.6.0-pl/core/docs/changelog.txt, в основном это улучшение и добавление функционала/исправление мелких недочетов и т.п... А вот в списке изменений Ево довольно часто встречаются записи такого вида: - refactor ajax.php, close SQL injection (64j) :(

Powerbiz
На сайте с 08.12.2009
Offline
67
#10

LeonCrab, спасибо большое. По ходу таки нужно новые проекты на Рево уже делать. Нужно маны почитать относительно повышения производительности.

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий