Добрый день.
Квест по первичной настройке обеспечения безопасности в VM-Bitrix 7.2.2
На других ветках форума по данному вопросу отправляют в ТП хостинг провайдера, но в случае администрирования VM мы сами себе хостинг провайдеры.
GO!
Запускаем в админке сканер безопасности и получаем такой ответ:
1) Разрешено чтение файлов по URL (URL wrappers)
+ вопрос, будет ли работать Яндекс метрика и Гугл аналитика, Market Place с этой настройкой?
Ведь эта настройка сделает запрет подключения сайта к удалённым страницам, скриптам.
Если эта, сомнительная, возможность PHP не требуется - рекомендуется отключить, т.к. она может стать отправной точкой для различного типа атак
Моя попытка решить задачу:
Открываем php.ini из командной строки Linux:
Значение allow_url_fopen = On меняем на Off
Ребутну пожалуй apache:
Иду в админку проверять, предупреждение не пропало, а значит не работает. Ок, пожалуй укажу еще данный параметр в файле .htaccess сайта, открываем его из командной строки:
Значение php_flag allow_url_fopen = Пробовал поставить значение 0 (ноль) и Off
Пробовал установить сюда:
Сканер безопасности сообщил что вопрос актуален.
Подскажите, как пофиксить?
-----------
2) Включен вывод ошибок
Вывод ошибок предназначен для разработки и тестовых стендов, он не должен использоваться на конечном ресурсе.
Открываю php.ini из командной строки Linux:
Ищу строки display_errors, вижу что по умолчанию параметр соответствует предложенному решению, тоесть значение Off либо строки закомментированы и не обрабатываются
Поделитесь пожалуйста опытом
Квест по первичной настройке обеспечения безопасности в VM-Bitrix 7.2.2
На других ветках форума по данному вопросу отправляют в ТП хостинг провайдера, но в случае администрирования VM мы сами себе хостинг провайдеры.
GO!
Запускаем в админке сканер безопасности и получаем такой ответ:
1) Разрешено чтение файлов по URL (URL wrappers)
+ вопрос, будет ли работать Яндекс метрика и Гугл аналитика, Market Place с этой настройкой?
Ведь эта настройка сделает запрет подключения сайта к удалённым страницам, скриптам.
Если эта, сомнительная, возможность PHP не требуется - рекомендуется отключить, т.к. она может стать отправной точкой для различного типа атак
Скрытый текст |
---|
Что делать? Необходимо в настройках php указать: allow_url_fopen = Off |
Моя попытка решить задачу:
Открываем php.ini из командной строки Linux:
Код |
---|
nano /etc/php.ini |
Значение allow_url_fopen = On меняем на Off
Ребутну пожалуй apache:
Код |
---|
systemctl restart httpd.service |
Иду в админку проверять, предупреждение не пропало, а значит не работает. Ок, пожалуй укажу еще данный параметр в файле .htaccess сайта, открываем его из командной строки:
Код |
---|
nano /home/bitrix/www/.htaccess |
Значение php_flag allow_url_fopen = Пробовал поставить значение 0 (ноль) и Off
Пробовал установить сюда:
Сканер безопасности сообщил что вопрос актуален.
Подскажите, как пофиксить?
-----------
2) Включен вывод ошибок
Вывод ошибок предназначен для разработки и тестовых стендов, он не должен использоваться на конечном ресурсе.
Скрытый текст |
---|
Что делать? Необходимо в настройках php указать: display_errors = Off |
Открываю php.ini из командной строки Linux:
Код |
---|
nano /etc/php.ini |
Ищу строки display_errors, вижу что по умолчанию параметр соответствует предложенному решению, тоесть значение Off либо строки закомментированы и не обрабатываются
Поделитесь пожалуйста опытом
Мои посты и вопросы кажутся полезными? Плюсани + мне под аватаркой ;)
Thanx
Thanx