Безопасность
Начиная с Elgg 3.0 в Elgg добавлено несколько настроек усиления безопасности. Вы можете включать/отключать эти настройки по своему усмотрению.
Содержание
Защита обновления
URL http://your-elgg-site.com/upgrade.php может быть защищен уникальным токеном. Это предотвратит возможность запуска этого файла случайными пользователями. Токен не требуется для вошедших в систему администраторов сайта.
Защита Cron
URL-адреса cron могут быть защищены уникальным токеном. Это предотвратит возможность запуска cron случайными пользователями. Токен не требуется при запуске cron из командной строки сервера.
Отключить автозаполнение пароля
Данные, введенные в эти поля, будут кэшироваться браузером. Злоумышленник, имеющий доступ к браузеру жертвы, может украсть эту информацию. Это особенно важно, если приложение часто используется на общих компьютерах, таких как интернет-кафе или терминалы аэропортов. Если вы отключите это, инструменты управления паролями больше не смогут автоматически заполнять эти поля. Поддержка атрибута autocomplete может быть специфичной для браузера.
Изменение адреса электронной почты требует пароль
Когда пользователь хочет изменить адрес электронной почты, связанный с его аккаунтом, ему также необходимо предоставить текущий пароль.
Изменение адреса электронной почты требует подтверждения
Когда пользователь хочет изменить адрес электронной почты, связанный с его аккаунтом, ему необходимо подтвердить новый адрес электронной почты. Это делается путем отправки электронного письма на новый адрес со ссылкой для подтверждения. После нажатия на эту ссылку будет использоваться новый адрес электронной почты.
Иконки, привязанные к сессии
Иконки сущностей могут быть привязаны к сессии по умолчанию. Это означает, что сгенерированные URL-адреса также содержат информацию о текущей сессии. Привязка иконок к сессии делает URL-адреса иконок не подлежащими совместному использованию между сессиями. Побочный эффект заключается в том, что кэширование этих URL-адресов поможет только активной сессии.
Уведомление администраторам сайта
Когда добавляется новый администратор сайта или когда администратор сайта удаляется, все администраторы сайта получают уведомление об этом действии.
Уведомления пользователю
Администратор сайта
Когда роль администратора сайта добавляется или удаляется из аккаунта, отправьте уведомление пользователю, чей аккаунт это затрагивает.
(Раз)блокировка
Когда аккаунт пользователя блокируется или разблокируется, сообщите об этом действии затронутому пользователю.
Минимальная длина имени пользователя
Вы можете настроить минимальную длину, которую должно иметь имя пользователя при регистрации.
Минимальные требования к паролю
Вы можете настроить несколько требований для новых паролей пользователей
длина: пароль должен быть длиной не менее x символов
строчные буквы: минимальное количество строчных (a-z) символов в пароле
заглавные буквы: минимальное количество заглавных (A-Z) символов в пароле
цифры: минимальное количество цифр (0-9) в пароле
специальные символы: минимальное количество специальных (таких как !@#$%^&*(), и т.д.) символов в пароле
Усиление доступа к файлу .htaccess
В файл .htaccess добавлен набор правил усиления доступа к файлам для предотвращения прямого доступа к файлам в определенных папках. Включение этих правил не должно вызывать никаких проблем, если все используемые вами плагины следуют рекомендациям по кодированию Elgg.
Примеры правил:
папка
vendor. Эта папка содержит только вспомогательные библиотеки, которые использует Elgg, и нет необходимости в прямом доступе к этой папке. Все необходимые зависимости загружаются изнутри Elggпапка
languages. Эта папка содержит основные языковые файлы Elgg. Эти файлы загружаются изнутри Elgg