Форум

Правда сейчас довольно много народу под VPN сидят... Их можно потерять

Юрий Олейников, интересно.

Годные замечания. Юрий Олейников, спасибо!

Дмитрий Харитонов,
ну значит не срабатывает правило - проверьте в чём дело

у меня такое правило
location ^~ /bitrix/modules { internal; }

если что тут для nginx хороший конфиг - его юзаю
https://github.com/Wladimir-N/ispconfig

если точнее тут

https://github.com/Wladimir-N/ispconfig/blob/debian12/Bitrix

Дмитрий Харитонов,
очень странно ...
у Вас аппач?
посмотрите ./bitrix/modules/.htaccess
там должно быть Deny for All
соответственно, через него не должны были взламывать, 403 на любой скрипт в /bitrix/modules/ должен отдавать

Да не - я не так критично, что прям нельзя ставить. Можно и нужно, но учитывая принципы работы.

В целом модуль полезен, это бесспорно. К тому же с тенденцией последних лет - то одна волна взломов, то другая.
Думаю на 90% сайтов можно смело ставить в текущем виде, а доработаете - так и на все 100% с должной настройкой.

В тоже время другому клиенту на сайт "визитку", я с удовольствием модуль установил - там я спокоен.

Алексей,  не пойму - что Вы мне предлагаете делать?

Я указал, что для использования модуля нужно понимание принципа работы и возможные последствия.

Приведу конкретный кейс - у меня на обслуживании есть клиент с it форумом, где сигнатрура echo сплошь и рядом.
Поиском по сайту нашлось более 12 страниц результатов.
Ставим модуль, активируем защиту.
Поиск по echo сразу даёт Hacker, stop! Пишу пост с echo - получаю "Hacker, stop!" причём на чисто белом полотне.
Рядовой пользователь будет несколько обескуражен ...
Ну и соответственно все эти посты которые были сделаны с вхождением echo с модулем никогда не были бы опубликованы.
И это уже не просто моё мнение - это факты.
К этому форуму, кстати, и непосредственно к этому посту - это тоже относится.

По итогу от такой "защиты" получаем только вред... Без модуля в данном кейсе значительно лучше.

Это я всё вообще к Вашему совету "...После лечения (или в процессе лучше) модуль ставьте..."
И да - думаю это ответ к Вашему заявлению почему за 3 года взломов не догадались сделать такую мощную защиту. Одно лечим - другое калечим :)

Алексей, если сайт уже заражён - Ваш модуль как мёртвому припарка.
Если чист, достаточно обновится до актуальных версий.
Лечить нужно не следствия, я причины.

Думаю смысла продолжать дискуссию нет, Вы что то совсем уж нервно реагируете на замечания.

То код поправить, то в гитхабе посмотреть...

Я так полагаю основные клиенты для Вашего модуля это обычные пользователи, врят ли обладающие такими компетенциями.
А те что обладают, вряд ли доведут сайт до такого дырявого состояния.

Алексей, Вы публикуете в маркете готовое решение в виде модуля, где нет возможности поправить сигнатуры и рекомендуете зайти поправить в коде?!

Хм... Забавно

PS
Допилите эту возможность, дел то на полчаса максимум.
Я придерживаюсь идеологии "не навредить", поэтому и предупреждаю о возможных последствиях.