- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Здравствуйте.
Прошу знающих людей посмотреть не ошибся ли я где в конфиге апача в плане безопасности.
На VPS (512 RAM/LAMP (debian) + nginx) будет 2 сайта, конфиг такой:
Вопрос заключается в следующем - до того как я добавил
<Directory />
Options FollowSymLinks
AllowOverride All
</Directory>
из гайда по настройке, у меня по запросам типа site1.ru/wp-includes/ выдавало всё содержимое этого каталога.
Но как я понимаю это строго неправильно и так быть не должно. После добавления указанных выше строк, по такому запросу выводит "forbidden", однако меня смущают 3 вещи:
1. В другом гайде пишут что такую настройку <Directory /> и т.д. использовать не надо т.к. апач начинает искать по всем папкам .htacess и это мол замедляет работу
2. По запросу site1.ru/wp-includes/*имя любого php файла* выкидывает не forbidden, а пустую страницу. Это нормально?
3. Опять же в первом гайде пишут что надо добавить
Надо это делать или нет? т.к. сайт то у меня лежит в /var/www/site1/
Заранее спасибо.
до того как я добавил ... из гайда по настройке, у меня по запросам типа site1.ru/wp-includes/ выдавало всё содержимое этого каталога.
Потому что до того как вы добавили - вы добавили (извините за каламбур) нечто (типа Options Indexes), разрешившее подобную глупость.
Но как я понимаю это строго неправильно и так быть не должно.
Это и правильно и неправильно. Есть ситуации, когда это надо - есть, когда не надо.
1. В другом гайде пишут что такую настройку <Directory /> и т.д. использовать не надо т.к. апач начинает искать по всем папкам .htacess и это мол замедляет работу
Совет вам простой и единственный: перестаньте читать всякие "гайды". Есть вопросы по опциям - обратитесь в документацию апача.
Нет желания нормально учиться - используйте примеры конфигов апача, которые вам дают разработчики CMS.
2. По запросу site1.ru/wp-includes/*имя любого php файла* выкидывает не forbidden, а пустую страницу. Это нормально?
И да. И нет. "Пустая страница" - скорее всего означает, что скрипт отработал. Если вы знаете, что прямого доступа через веб к этому файлу быть не должно - запретите его стандартными средствами веб-сервера.
3. Опять же в первом гайде пишут что надо добавить
Узнайте, что означают эти директивы - и на основе этого решите.
Удачи.
выключите модуль autoindex и наступит вам счастье.