Безопасность

Вход в админку

Обязательно переименовать название файла входа в админку. По умолчанию файл admin.php в корневой директории вашего сервера

Обязательные условия: - название файла должно быть не короче 7 символов. - в названии файла не должно присутствовать admin

Оптимально файл админки это набор случайных латинских символов. Например: hflkdhkwe.php, ~~ddwluty.php и т.д.

Сохраняйте ваш URL входа в админку в надёжном месте!

Смена пароля

Смена пароля каждые 30 дней обязательна.

При входе в админку система будет перенаправлять вас на форму изменения пароля, если пароль не менялся более 30 дней.

Сложность пароля

При смене пароля в админке система будет проверять сложность введённого пароля.

Поменялся IP

При входе в админку с новым IP система заблокирует доступ до ввода кода подтверждения.

Код подтверждения будет выслан на E-mail, который введен в учетной записи админстратора. Вводите в вашей учетной записи реальный E-mail

Htpasswd на файл админки

Если злоумышленник попадёт в вашу админку, то он может сделать что угодно. Крайне рекомендуем установить эту защиту.

Смотрите этот раздел: Htpasswd на файл админки

Двухфакторная аутентификация

Рекомендуем использовать. Смотрите раздел: Обучение - Двухфакторная аутентификация

Настройки

Основные

Использовать дополнительный пароль для входа в админку - не включайте опцию до тех пор, пока не зададите дополнительный пароль. В противном случае в админку войти не сможете.

Как задать дополнительный пароль: 1) Откройте файл api/a_save.inc.php 2) Введите пароль по примеру: $_adminsafecode = '456jkhlfrGDJ77'; 3) Сохраните файл и замените его на сервере. 4) Теперь можете включить опцию и входить в админку, введя в появившемся поле Дополнительный пароль заданный вами пароль. Важно! Основной пароль входа и дополнительный пароль должны отличаться.

Отправлять оповещение о входе в админку - при включенной опции на системный E-mail будет отправляться уведомление с указанием IP, с которого был осуществлен вход, логин вошедшего админа и дата.

IP доступа в админпанель - доступ только с введенного IP. Оставьте поле пустым, если у вас IP меняется или введите маску по примеру: 62.200.*.* Если необходимо ввести несколько IP, используйте разделитель: | Пример: 70.198.15.00|80.180.10.20|90.200.22.77

Символы капчи - пустое поле - система автоматически выводит сочетание латинских букв, цифр и символов. Можете ввести любые комбинации латинских символов 0-9 и/или AZ Например: - выводить только цифровой код. Введите в поле цифры: 0123456789 - выводить только код определенных букв. Введите в поле к примеру: ABCFRTPKFasw - выводить только код определенных букв и цифр. Введите в поле к примеру: QWERTY123

Запись логов действий в админпанели - опция ведения логов действий. Некоторые: пишется только добавление, изменение, удаление и важные операции. Все: пишутся все действия.

Запись логов входов в панель управления - логи входа администратора и пользователей. Некоторые: пишутся только логи за день. Все: пишутся все логи.

Ограничение входа в админ-панель с одинаковым логином, но разным IP одновременно - Отключено: нет запретов. Включено: уведомление и разовое разлогинивание при входе в админку.

Лог загрузки файлов - включение, выключение опции логов загрузки файлов.

Разрешенные расширения закачиваемых файлов - глобальная настройка. Для каждого модуля существуют собственные настройки, но если в глобальных настройках расширение отсутствует, то загрузка файла с этим расширением невозможна. Каждое расширение разделять знаком: | без пробелов. Пример: jpg|gif|bmp|png|rar|zip|doc|pdf|xls|ppt|flv|wmv|swf

Ограничение по размеру закачиваемых файлов - в Kb. 1024Kb=1M

Директория файлов - пример: Ym/d - Год месяц день. По умолчанию файлы в директории: file/upload

Проверка реферала - важная опция. Рекомендуется включить. Проверяется, с какого сайта идет запрос. Исключает подмену данных.

Разрешать JS скрипты для алиасов доменов - включите, если хотите, чтобы выводились все данные авторизованного пользователя при переходе на алиас.

Алиасы домена - оставить поле пустым, если по умолчанию используется один домен. Алиасы вводить с разделителем: | без пробелов. Пример: awebcom.com|darkweb.biz Первым должен быть введен ваш основной лицензионный домен.

Ограничение коэффициента нагрузки системы - распределение нагрузки на систему при возможных DDOS атаках. Только для Unix/Linux систем. Оптимальные значения от 5 до 10, если ваш сайт под DDOS атакой. 0 или пусто - не ограничивать. Выставите 0, если сайт работает в штатном режиме.

Домен Cookie - Эта опция устанавливает домен, к которому следует сделать привязку cookie. После изменения этой настройки обязательно очистить Cookie браузера и обновить кэш.

Префикс Cookie - любые латинские символы и нижний дефис в конце. Пример: aw_

Возможность изменения названия следующих файлов - регистрации, входа в аккаунт пользователя. Система автоматически попытается изменить название файлов. После изменения названия проверьте корректность изменения. Если название не изменено, измените название файла вручную через FTP.

Ограничения для менеджеров

Эти настройки действуют только для добавленных админов, менеджеров. Не относятся к основному админу.

Ограничение входа в админку по времени - опция ограничивает вход в админку по времени. Примеры: 8:30-18:00, вход в админку возможен с 8:30 до 18:00 часов. 22:30-2:05|5:00-13:15, с 22:30 до 2:05 и с 5:00 утра до 13:15 вечера. Не ограничивать - оставьте поле пустым.

Ограничение входа в админку по дням недели - выберите дни недели, по которым вход в админку разрешен.

Ограничение добавления информации по времени - опция ограничивает добавление любой информации по времени. Информация будет отправлена на модерацию, независимо от настроек групп и настроек модулей. О настройках читайте: "Ограничение входа в админку по времени". Настройки идентичны.

Ограничение добавления информации по дням недели - опция ограничивает добавление любой информации по дням недели. Информация будет отправлена на модерацию, независимо от настроек групп и настроек модулей. О настройках читайте: Ограничение входа в админку по дням недели. Настройки идентичны.

Last updated 1 year ago