dvictor написал:

Есть возможность запретить доступ через .htaccess ?

При теперешней "размазанной" структуре не понятно как это сделать правильно (по кр. мере внятной инструкции чти и где закрыть нет).

Vladislav, так в том-то и проблема, что в основном это нужно для админки Shop-Script и хотелось-бы иметь возможность делать это просто. Если делать сложно, то можно и к каждому нужному файлу доступ ограничить. Проблема только в том, что будет много ошибок, долго, трудно, ресурсоемко для сервера и даже не хочется думать о том, что IP иногда приходится менять.

dvictor написал:

Интересно, кто нибудь предложит решение ? Или у всех доступ к админ панеле открыт ?

Ну, что значит открыт?
Вход по логину и паролю, но хотелось-бы закрыть вообще наглухо по IP (кстати фиксированный IP не так уж много у кого) или доп. пароль на папку.

dvictor написал:

www.po.kiev.ua написал:

dvictor написал:

Интересно, кто нибудь предложит решение ? Или у всех доступ к админ панеле открыт ?

Ну, что значит открыт?
Вход по логину и паролю, но хотелось-бы закрыть вообще наглухо по IP (кстати фиксированный IP не так уж много у кого) или доп. пароль на папку.

Хотелось бы конечно через .htaccess, ИМХО, так надежнее

Да вообще по безопасности достаточно много простых примочек не мешало-бы вставить в части доступа к админке и инсталлеру. Например Options -Indexes в корневой htaccess по умолчанию. Автоблокировку по IP при х набранных неправильных паролях на вход. Принудительный вход только через https в админку и инсталлер (опционально конечно). Через htaccess и сейчас можно настроить, но не все знают как и, например при использовании веб-сервиса, это невозможно т.к. невозможет доступ для редактирования файлов.
Но для начала хот-бы собрать все файлы админки в одну папку, которую можно закрывать паролем или по IP.

Отредактировано www.po.kiev.ua (2011-02-20 01:38)

В начале файла published/index.php добавляем:

if (!in_array ($_SERVER['REMOTE_ADDR'], array ('white.ip.address.1', 'white.ip.address.2'))){
    die ('You are not authorized to view this page.');
}

Да, можете и/или туда добавить — защита сработает на шаг раньше.

Например, так?

if (preg_match('/^213\.180.+$/', $_SERVER['REMOTE_ADDR']) == 0){
    die ('You are not authorized to view this page.');
}

Legonavt написал:

Я всё-таки считаю что это без проблем можно через .htaccess сделать.

Можно конечно, но не известно что проще написать. То, что выше привел rat в файл или

<Files "index.php">
  Order Deny,Allow
  Deny from all
  Allow from ххх.ххх.ххх.ххх
</Files>

Ну и с точки зрения накладных расходов в файле менее ресурсоемко - то что в файле обрабатывается только при обращении к файлу, то что в .htaccess обрабатывается при каждом запросе клиента к сайту.

Отредактировано www.po.kiev.ua (2011-04-19 14:07)

Newerhood написал:

этот способ хорош, когда фиксированный ip, а если ip плавает?

А если IP динамический, то закрывать доступ по IP не стоит. Ваш Кэп.

no_5 написал:

А как насчет инсталлера, к нему как ограничить доступ по IP ?

Проще папку /published/wbsadmin/ закрыть на хостинге доп. паролем.
Ну и при желании через /published/wbsadmin/.htaccess тоже можно.