Как создать онлайн кинотеатр. Часть 5. Защита от спама и взлома

Приветствую всех тех, кто читает данную статью на блоге! Прошу прощение за долгую публикацию урока, были очень большие проблемы с интернетом!
Эта статья последняя в создании онлайн кинотеатра, в следующих уроках мы будем говорить уже о раскрутке нашего портала.

В этой статье я расскажу как “спасти” свой сайт от спама и взлома. Также как дополнение к серии, в конце статьи я подготовил для Вас видео-урок по установке модулей на сайт. Давайте приступим.

Как защитить онлайн кинотеатр от спама

Сайты на движке DLE очень сильно страдают от атак спамеров. Даже если Ваш сайт был создан час назад, на нем уже могут появляться спамные комментарии со ссылками на другие ресурсы. Кроме комментариев, на DLE очень популярен спам в профилях. С помощью специальных программ, роботы регистрируются на сайте, и ставят ссылки на другие ресурсы в полях “О себе” и “Подпись”.  Поэтому очень важно сразу после создания сайта защитить его от спама. Способов защиты существует очень много, но большинство из них теряет актуальность из-за того, что спамеры постоянно совершенствуют свои программы. Для защиты своих сайтов я выполнил ряд действий, благодаря которым  уже давно забыл, что такое спам на dle. Вот что нам предстоит сделать:

  • Поставить регистрацию с подтверждением по e-mail
  • Включить функцию вопрос/ответ при регистрации
  • Запретить гостям комментировать сайт
  • Настроить фильтр слов, который будет блокировать комментарии содержащие ссылки

Теперь разберем каждый пункт отдельно.  Для начала выставим регистрацию с подтверждением по e-mail. Это снизит шанс регистрации робота на нашем сайте. Чтобы включить эту функцию делаем следующее: заходим в админку, раздел “Настройки системы”, подраздел “настройки для пользователей”:

Изменяете способ регистрации на расширенный, и сохраняете изменения. Теперь, когда человек будет регистрироваться на сайте, он должен будет подтвердить реальность своего почтового ящика, перейдя по ссылке из письма.

Теперь включим функцию вопрос/ответ. Это также понизит шанс регистрации робота. Для включения этой функции, в админке перейдите в раздел “Вопросы и ответы для защиты от спама”:

Затем нажимаете на кнопку “Добавить новый вопрос”, заполняете нужные поля и жмете сохранить:

После этого в разделе “Настройки системы” подраздел  “настройки для пользователей” включаем систему вопрос/ответ:

Теперь при регистрации нового пользователя, ему будет выводиться вопрос, дав на который ответ он сможет продолжить регистрацию.

Следующим шагом мы запретим гостям комментировать сайт. Дело в том, что основной спам в комментариях идет от гостей (незарегистрированных пользователей) сайта. Поэтому я рекомендую запрещать гостям комментировать новости. Сделать это можно следующим образом: зайдите в админку, раздел “настройка групп пользователей”. Напротив группы “гости” нажмите на выпадающий список и выберите “редактировать”:

Далее перейдите на вкладку “комментарии” и нажмите “нет” напротив “разрешить добавление комментариев”. Сохраните изменения:

Теперь, когда незарегистрированный пользователь захочет оставить комментарий к новости, ему будет показываться такое сообщение:

Последним шагом будет настройка фильтра слов, который будет блокировать ссылки в профилях и комментариях. Как по мне, так это лучшее решение для защиты от спама. Для того чтобы настроить фильтр слов зайдите в админку, раздел “Фильтр слов”:

В поле “введите слово”, прописываете название доменной зоны, например .ru. Заметьте, что слова нужно добавлять по одному, а не через запятую!

Тип замены выбираете любое вхождение. Без учета регистра. Область поиска — комментарии и профиль пользователя. В графе действия ставите “отклонить добавление текста”. Все эти действия проделываете с другими словами (.com, .su, http и т.д.) и сохраняете изменения.  Теперь, когда пользователь захочет оставить ссылку в комментарии или профиле, ему будет показываться вот такое окно:

Вот и все! Выполнив все эти действия, Вы забудете про спам на сайте! А теперь перейдем к защите движка от взлома.

Как защитить онлайн кинотеатр от взлома

В последних версиях движка лазеек для хакеров ПОКА не обнаружено. Разработчики учли свои недоработки в предыдущих версиях и значительно улучшили безопасность движка. Но стоит помнить, что хакеры не дремлют, и в любой момент могут найти дыру, с помощью которой можно завладеть админ. панелью сайта. Но даже когда способов взлома не обнаружено, необходимо хотя бы минимально защитить свой сайт. Для защиты мы проделаем следующие действия:

  • Переименуем файл админки
  • Усилим метод авторизации в админке
  • Выставим максимальное количество ошибочных авторизаций
  • Повысим контроль изменения ip
  • Научимся делать резервные копии базы данных

Рассмотрим каждый пункт отдельно. В первую очередь мы переименуем файл админ. панели, который по умолчанию назван admin.php. Это действие понизит шансы взлома админ. панели. Для того чтобы переименовать файл, в админке перейдите в раздел “настройки системы”, подраздел “настройки безопасности скрипта”:

В графе “файл админ. панели” пропишите желаемое имя к данному файлу и нажмите “сохранить”.  Затем с помощью любого ftp клиента (total commander, например) перейдите в корневую папку сайта (public_html) и переименуйте файл admin.php.  Теперь у злоумышленника будет меньше шансов получить доступ к админке сайта.

Следующим шагом мы усилим метод авторизации в админ. панели. Это действие при каждой новой сессии в админке, будет требовать ввод пароля. Это сделает невозможным вход в админ. панель при краже куков (специальных файлов, в которых содержаться Ваши пароли, логины и прочая информация). В подразделе “настройки безопасности скрипта”, выставите расширенный метод авторизации, и сохраните изменения:

Здесь же выставьте максимальное количество ошибочных авторизаций и поставьте высокий уровень контроля ip адреса. Количество ошибочных авторизаций рекомендую выставить 3. Если человек три раза неправильно введет логин или пароль, то он не сможет получить доступ к админке в течение 20 минут.  Это позволит предотвратить подбор паролей злоумышленниками.

И последнее что мы сделаем – это настроим резервную копию базы данных. Если вдруг Ваш сайт взломают, то у Вас всегда будет возможность быстро восстановить данные. Как говориться есть два типа людей: те, кто сделал резервную копию базы данных, и те, кто потерял сайт.

Итак, для того чтобы сделать копию базы данных, делаем следующее: в админке заходим в раздел “управление базой данных”:

В пункте “сохранение резервной копии” выбираете  метод сжатия и жмете сохранить базу данных. Файл сохранился в папке backup, которая находится в корневом каталоге сайта. Рекомендую делать backup базы данных раз в три дня, чтобы всегда иметь под рукой свежую копию своей информации.

На этом все! Как и обещал, выкладываю видео по установке модулей на онлайн кинотеатр. В этом видео-уроке будет установлен модуль мини-чат. Приятного просмотра:


Буду благодарен если Вы подпишитесь на мой блог. Если статья понравилась, не забывайте делиться ею в социальных сетях.

Ваш комментарий

  1. Я выставил расширенный метод авторизации и теперь не могу попасть в админку
    требует логин и пароль а я не помню где мне его взять опять

    • Кирилл Тараненко:

      Кнопка «забыли пароль», и пишите ящик, который указывали при установке движка

  2. Ну схема защиты такая же. как и собственно для блога.Я как раз использовал подобную процедуру на блоге на движке вордпресс, когда боролся со спамерами.

  3. Я отключил регистрацию на сайте, ни к чему она на онлайн кинотеатре. И поставил хак, запрещающий ссылки в комментах