Первая строка index.php шаблона сайта <?php defined('_JEXEC') or die('Access denied'); ?>

В этой статье разберёмся с безопасностью при создании шаблона сайта. При сборке страницы сайта Joomla использует файл index.php шаблона, выбранного в качестве шаблона по умолчанию для запрашиваемой старицы сайта. Этот файл должен запускаться только при условии, что он вызывается в среде формирования страницы самой Joomla, иначе это может привести к непредсказуемым последствиям и стать угрозой в безопасности сайта.

Старт! Честный VDS/VPS, на котором «Лунная База» живет уже 20+ лет

Задумываетесь о том, чтобы поднять свой pet-проект, сайт клиента или настроить окружение для разработки? Уже пора подумать, где арендовать железо.

Лунная База хостится на FirstVDS более 20 лет. Мыслей о том, чтобы перебраться на другой хостинг, не было ни разу (хотя опыт работы с другими вариантами, конечно, есть).

Бывали разные ситуации, но они бывают на любом железе. Главное, что нужно понять: здесь нет маркетинговой шелухи и сказок про «мы всё сделаем за вас». Если вы берете VDS — вам дают полный root, возможность накатить любую ОС и не лезут в ваши конфиги.

Если в саппорт написать с вопросом по вашему коду и получить ответ: «Читайте документацию и разбирайтесь сами» или «Обратитесь к профильному специалисту» — это не повод обижаться. Это повод углубить свои знания в DevOps и сайтостроении! Бегите от тех, кто пообещает: «Мы всё чиним и настраиваем абсолютно бесплатно!». Никто никогда не работает «по доброте душевной» в ущерб себе, а бесплатный сыр в администрировании обычно заканчивается сломанной базой данных.

Что по факту: Гибкое масштабирование ядер и RAM, экономия по сравнению с физическими серверами и адекватная панель ispmanager, если она вам нужна.



Первая строка индексного файла index.php шаблона сайта <?php defined('_JEXEC') or die('Access denied'); ?> в Joomla 3

Итак, первой строчкой индексного файла index.php шаблона сайта должна быть строка:

<?php defined('_JEXEC') or die('Access denied'); ?>

Почему первой строчкой индексного файла index.php шаблона сайта должна быть строка <?php defined('_JEXEC') or die('Access denied'); ?>

Допустим, мы не будем писать эту строку в index.php шаблона сайта. К чему это приведёт? Что-то сломается?

Если этой сроки не будет, сайт продолжить работать и всё будет открываться как нужно, например главная страница сайта будет открываться по адресу:

https://site.ru/index.php

Тогда в чём смысл этой строки? Смысл в том, что этот файл может быть открыт не только внутри Joomla, используя роутер (маршрутизатор) Joomla, но и напрямую из папки шаблона, например так:

https://site.ru/templates/template_name/index.php

Ведь ни для кого не секрет того, как хранятся шаблоны сайта в Joomla. И при прямом доступе к этому файлу, без использования механизмов защиты Joomla, можно попробовать подать на вход этому файлу информацию, которая послужит ключём для взлома сайта. Поэтому, для того чтобы закрыть эту возможность, в Joomla встроен механизм проверки того, что файл шаблона index.php открывается из среды Joomla, а не напрямую. И, если файл открывается в среде Joomla, то переменной (на самом деле, константе) _JEXEC присваивается значение 1. Если же файл index.php открывается напрямую в обход Joomla, то константа _JEXEC оказывается не определена.

Именно это и происходит в первой строке:

  • если _JEXEC=1, то код в файле index.php выполнятся дальше;
  • если _JEXEC не определена (в процессе работы Joomla), то срабатывает условие die и работа скрипта прерывается (взлом не возможен).

Ещё раз приведу это условие:

<?php defined('_JEXEC') or die('Access denied'); ?>

Выводы

Таким образом, начиная код с проверки того, определена ли константа _JEXEC, можно использовать встроенную в Joomla систему защиты от возможных угроз, которые могут возникнуть при запуске скриптов напрямую, минуя логику проверок Joomla.

Самый честный хостинг за 20+ лет существования Лунной Базы

Задумываешься о том, чтобы поднять свой сайт в Интернете? Уже пора подумать о том, какой хостинг выбрать?

Лунная База хостится 20+ лет на firstDVS. При этом, мыслей о том, чтобы перебраться на другой хостинг не было. (Но, при этом есть опыт работы с другими вариантами.)

Бывали с firstDVS разные ситуации, но, они бывают на всех хостингах. Единственное, что тут важно понять, - это то, что никто ничего тебе не будет впаривать... Но, и работать за тебя тоже никто не станет. Если в саппорт ответили: «Читайте по ссылке и разбирайтесь сами...» или вообще «Обратитесь за помощью к специалисту», - это повод углубить свои знания в области сайтостроения, а не бежать к тем, что пообещают: «Мы всё чиним и всё делаем за своих клиентов абсолютно бесплатно!» Никто никогда ничего ни за кого "по доброте душевной" не делал, не делает и не будет делать!

Старт! Горячий старт на просторы интернета
Старт! Горячий старт на просторы интернета
Старт! Меню