Calificación:
  • 3 voto(s) - 3.67 Media
  • 1
  • 2
  • 3
  • 4
  • 5
.HTACCESS (Para PHPost) evitar Hackers
#1
Hola les dejo un .htacess para el script PHPost para que puedan dejarlo 100% seguros contra ataques que posiblemente se pueden evitar con este archivito!

Código PHP:
## Manejo de errores de Apache. Cuando se produzca uno de estos errores, redirigimos a una pagina especial desarrollada por nosotros.
SetOutputFilter DEFLATE
ErrorDocument 401 
/404.html
ErrorDocument 403 
/404.html
ErrorDocument 404 
/404.html
Options All 
-Indexes
#Serve Alternate Default Index Page
DirectoryIndex index.php
## CARGAR SITIO MAS RAPIDO
AddOutputFilterByType DEFLATE text/html text/plain text/xml application/xml application/xhtml+xml text/javascript text/css application/x-javascript
BrowserMatch 
^Mozilla/4 gzip-only-text/html
BrowserMatch 
^Mozilla/4.0[678no-gzip
BrowserMatch bMSIE 
!no-gzip !gzip-only-text/html

RewriteEngine On
RewriteCond 
%{REQUEST_FILENAME} !-d
RewriteCond 
%{REQUEST_FILENAME} !-f
 
Options 
+FollowSymLinks
# Evitar escaneos y cualquier intento de manipulación malintencionada
# de la URL. Con esta regla es imposible lanzar ataques de inyección (SQL, XSS, etc)
RewriteCond %{HTTP_USER_AGENT} ^$ [OR]
RewriteCond %{HTTP_USER_AGENT} ^(-|\.|') [OR]
RewriteCond %{HTTP_USER_AGENT} ^(.*)(<|>|%3C|%3E)(.*) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(java|curl|wget)(.*) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(.*)(libwww-perl|libwwwperl|snoopy|curl|wget|winhttp|python|nikto|scan|clshttp|archiver|loader|email|harvest|fetch|extract|grab|miner|suck|reaper|leach)(.*) [NC,OR]
 
RewriteCond %{REQUEST_URI} ^(/,|/;|/<|/>|/'
|/`|/%2C|/%3C|/%3E|/%27|/////) [NC,OR]
RewriteCond %{HTTP_REFERER} ^(.*)(%00|%08|%09|%0A|%0B|%0C|%0D|%0E|%0F|%2C|<|>|'|%3C|%3E|%26%23|%27|%60)(.*) [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)(%00|%08|%09|%0A|%0B|%0C|%0D|%0E|%0F|%2C|%3C|%3E|%27|%26%23|%60)(.*) [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)('|-|<|>|,|/|\\|\.a|\.c|\.t|\.d|\.p|\.i|\.e|\.j)(.*) [NC,OR]
RewriteCond %{HTTP_COOKIE} ^(.*)(<|>|'|%3C|%3E|%27)(.*) [NC]
 
## Evitar que se liste el contenido de los directorios
Options All -Indexes
## Lo mismo que lo anterior
IndexIgnore *
# Protegerse contra los ataques DOS limitando el tamaño de subida de archivos
LimitRequestBody 10240000

#-#-#-#- PHPost .htaccess -#-#-#-#
# INDEX
RewriteRule ^$ index.php?do=home [QSA,L]
RewriteRule ^pagina([0-9]+)$ index.php?page=$1 [QSA,L]
RewriteRule ^index.php$ index.php?do=home [QSA,L]
RewriteRule ^cuenta.php$ inc/php/cuenta.php [QSA,L]
RewriteRule ^agregar.php$ inc/php/agregar.php [QSA,L]
#PERFIL
RewriteRule ^perfil/([A-Za-z0-9_-]+)$ inc/php/perfil.php?user=$1 [QSA,L]
RewriteRule ^perfil/([A-Za-z0-9_-]+)/([0-9]+)$ inc/php/perfil.php?user=$1&pid=$2 [QSA,L]
# POSTS
#RewriteRule ^posts$ index.php?do=posts [QSA,L]
RewriteRule ^posts/$ index.php?do=posts [QSA,L]
RewriteRule ^posts/([a-z]+)$ index.php?do=posts&action=$1 [QSA,L]
RewriteRule ^posts/pagina([0-9]+)$ index.php?do=posts&page=$1 [QSA,L]
RewriteRule ^posts/([A-Za-z0-9_-]+)/$ index.php?do=posts&cat=$1 [QSA,L]
RewriteRule ^posts/([A-Za-z0-9_-]+)/pagina([0-9]+)$ index.php?do=posts&cat=$1&page=$2 [QSA,L]
RewriteRule ^posts/([A-Za-z0-9_-]+)/([0-9]+)/(.*).html$ index.php?do=posts&cat=$1&post_id=$2&title=$3 [QSA,L]
# FOTOS
RewriteRule ^fotos/([A-Za-z0-9_-]+).php$ inc/php/fotos.php?action=$1 [QSA,L]
RewriteRule ^fotos/([A-Za-z0-9_-]+)$ inc/php/fotos.php?action=album&user=$1 [QSA,L]
RewriteRule ^fotos/([A-Za-z0-9_-]+)/([0-9]+)$ inc/php/fotos.php?action=album&user=$1&page=$2 [QSA,L]
RewriteRule ^fotos/([A-Za-z0-9_-]+)/([0-9]+)/([A-Za-z0-9_-]+).html$ inc/php/fotos.php?action=ver&user=$1&fid=$2 [QSA,L]
#EXTRAS
RewriteRule ^([A-Za-z0-9_-]+).php$ inc/php/ajax_files.php?action=$1 [QSA,L]
RewriteRule ^([A-Za-z0-9_-]+)/$ inc/php/$1.php [QSA,L]
RewriteRule ^([A-Za-z0-9_-]+)/([A-Za-z0-9_-]+)$ inc/php/$1.php?action=$2 [QSA,L]
RewriteRule ^([A-Za-z0-9_-]+)/([A-Za-z0-9_-]+)/$ inc/php/$1.php?action=$2 [QSA,L]
RewriteRule ^([A-Za-z0-9_-]+)/([A-Za-z0-9_-]+)/([0-9]+)$ inc/php/$1.php?action=$2&id=$3 [QSA,L]
Options +FollowSymlinks
#Protect against hotlinking
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www.)?bitpost.com.ar/ [nc]
RewriteRule .*.(gif|jpg|png)$ http://bitpost.com.ar/iplogs/hotlink.gif[nc]
<FilesMatch "\.(htaccess|ini|log|cfg|tpl)$">
Order Allow,Deny
Deny from all
</FilesMatch>
<Files 403.html>
order allow,deny
allow from all
</Files> 
con este archivo podran dejar 100% seguros el sitio con este script PHPost

donde dice bitpost lo cambian por su sitio y a la imagen del hostlink tambien Sonrisa

recuerden tambien evita las descargas de los archivos TPL Sonrisa Por un mundo sin Lammers! Gran sonrisa
#2
Estupendo aporte, amigo. Seguro que esto sirve para mejroar ese scrpt y nuestro hosting
WWW
#3
muchas gracias probare esto con mi sitio no es PHPost pero lo probare para que mi sitio no consuma tanta transferencia
WWW
#4
Genial, lo recomendare a PHPost para que lo agreguen en la Beta Guiño .
Cualquier duda, pregunta, comentario... Aquí estoy Guiño
#5
Mcuhas gracias, ya lo implemente y lo mas genial es que protege de hotlink y de DOS
#6
exelente garcias por este .HTACCESS tan detallado.
Crear tipo de nodo. Agregar campos CCK. Crear Vista. Enjuague. Y repita.
WWW
#7
Muy Bueno el .htaccess, seguro le servira a muchos.
#8
Cuidado , No es para joder la chamba pero con tu code cualquiera puede entrar al

/inc/php/mod-history.php

e /inc/class/ da errores

y /inc/smarty/cache/ es accesible

yp /inc/smarty/Smarty_Compiler.class.php

No te busco decir que tu code es malo si no busco como ayudarte a ti para que ayudes a la jente para el episodio de los hacks

La jente siempre coloca lo que 1 ve en internet si le ponen un code que te deja vivir mas de 50 años lo ponen sin saber que cambios te puede hacer a la web ni nada por eso hackean paginas porque ponen lo 1 que encuentran como exploit o bugs


#9
pues vendria bien unos parches para todos los users que usan ese script y que no quieren cambiarse
WWW
#10
(05-12-2011, 02:07 PM)papi escribió: pues vendria bien unos parches para todos los users que usan ese script y que no quieren cambiarse

Bueno voy a intentar subir los fix de seguridad de phpost llevo como fixes o revisiones 5


Posibles temas similares...
Tema Autor Respuestas Vistas Último mensaje
  PHPOST Instalar phpost desde cpanel manuelxd1010 2 346 02-11-2015, 11:17 PM
Último mensaje: manuelxd1010
  Registro con dificultades PHPOST shonyemi 9 576 31-07-2014, 03:58 PM
Último mensaje: Vicen
  PHPOST COMO TRANSFERIR phpost Kevin9908 6 853 30-07-2014, 08:30 PM
Último mensaje: Vicen
  Solucionado: Error 500 PHPost maikolik 16 1,200 14-07-2014, 06:02 AM
Último mensaje: AbaddonOrmuz
  PHPOST Instalar PHPOST en Skylium Boreas 13 1,059 13-06-2014, 06:30 PM
Último mensaje: Sergioks
  PHPOST Configurar htaccess para Skylium Boreas 5 620 12-06-2014, 01:25 PM
Último mensaje: patrickvp
  Solucionado: Problema con migración de PHPost piinbook 25 1,204 11-06-2014, 04:19 PM
Último mensaje: piinbook
Fotografía [TEMA PHPOST] NeoFrox bochoenprogreso 16 2,520 02-06-2014, 02:25 AM
Último mensaje: romero07
  Temas para PHPost Aero 11 4,431 01-02-2014, 02:02 AM
Último mensaje: jorge_e_c2012
  PHPOST Instalar PHPOST en Localhost Boreas 14 1,233 02-01-2014, 12:24 AM
Último mensaje: Dark Neo



Usuarios navegando en este tema: 1 invitado(s)