Команда разработчиков MODX постоянно проводит аудит кода и исправляет проблемы безопасности разрабатываемой системы управления. Тем не менее, абсолютно защищенных сайтов не существует. При их создании необходимо самому приложить определенные усилия для повышения уровня безопасности интернет-проекта.
Ядро приложения должно располагаться в максимально недоступном для доступа извне месте. Лучший вариант решения проблемы – перенести каталог с ядром MODX (core) за пределы корневого web-каталога, то есть выше по дереву файловой системы: к примеру «/core» вместо «/public_html/core». При этом все остальные папки должны быть доступны из Интернет.
После перенесения каталога нужно отредактировать конфигурационные файлы, указав в них новый путь до ядра MODX:
По окончании желательно перезапустить установку сайта как при обновлении.
Второе по важности изменение – перенесение админки сайта, что помешает ботам быстро опознать сайт как созданный с помощью MODX. Возможность обнаружения, конечно, остается, но станет значительно сложнее.
Административная панель сайта на MODX по дефолту находится по адресу http://site.ru/manager. Переместить системную папку несложно – достаточно переименовать сам каталог (например, из manager в mysecuresite), а затем указать новый путь в файле конфигурации core/config/config.inc.php.
О базовой аутентификации в Apache.
Как закрыть служебные директории MODX Revolution в Apache.
Всегда обновляйте MODX до последней стабильной версии. Это уменьшит вероятность взлома сайта через уже известные уязвимости.
Требование регулярно обновляться относится не только к самому движку, но и к дополнениям MODX. Для повышения безопасности старайтесь выбирать только проверенные временем дополнения.
В случае, если над вашим сайтом работает несколько человек одновременно (особенно это касается контент-менеджеров), стоит задуматься над установкой минимально необходимых прав доступа для них.
Маловероятно, что сотрудникам, которые занимаются информационным наполнением сайта, понадобится доступ к системным настройкам, шаблонам, чанкам и сниппетам.
Регулярно выполняйте резервное копирование как самого сайта, так и базы данных. Только в этом случае появится возможность быстро восстановить сайт после атаки злоумышленников или случайных некорректных действий с вашей стороны.
Архивы должны создаваться постоянно в автоматическом или ручном режиме и сохраняться на другом физическом носителе, нежели сам сайт. Таких архивов следует создавать несколько, причем держать их необходимо в разных местах.
Кстати, через месяц, 31 марта, отмечается международный день резервного копирования (День бэкапа), призванный привлечь общественное внимание к вопросам обеспечения сохранения информации, а также распространить информацию о необходимости защиты от потери данных.
Если вы только начинаете разворачивать сайт, желательно воспользоваться возможностью расширенной установки MODX Revolution. В этом случае изначально произвести перемещение ядра и смену адреса панели будет значительно проще.
Усилив систему безопасности своего сайта, не забывайте и о регулярном мониторинге: проверяйте журналы ошибок на предмет подозрительных сообщений, список пользователей, изменения критически важных файлов.