Рассмотрен способ перемещения конфиденциальных файлов из папки public_html на примере файла configuration.php
Одна из проблем безопасности Joomla! – защита от прямого доступа из Интернета файлов, содержащие исполняемый код или конфиденциальные данные, которые размещены в папке public_html.
Существуют различные способы защиты таких файлов, но большинство из них не оптимальны. Многие пользователи и группы разработчиков, таких как Gallery2 и Apache.org настоятельно рекомендуем не размещать внутри папки public_html файлы, которые содержат конфиденциальные данные.
Следующий метод самый простой и элегантный способ защиты таких файлов, которые по каким-либо причинам, должны храниться в public_html.
В этом примере, мы защитим файл configuration.php, пожалуй, наиболее конфиденциальный файл любого сайта на Joomla!
Даже в том случае, когда веб-сервер по каким либо причинам (например, из за неправильной настройки) покажет содержимое PHP файлов, никто не сможет увидеть содержимое настоящего файла конфигурации.
Вот что нужно сделать:
1. Переместите configuration.php в безопасный каталог вне public_html, и переименуйте его (например joomla.conf)
2. Создайте новый configuration.php файл, содержащий только следующий код:
require( dirname( __FILE__ ) . '/../joomla.conf' );
3. Убедитесь в том, что новый configuration.php файл защищен от записи, что-бы его нельзя было изменить через интерфейс администратора.
4. Теперь, если вам необходимо изменить настройки конфигурации Joomla!, сделайте это вручную в файле joomla.conf. Это немного неудобно, но зато надёжно.
Важные замечания!
В приведенном выше примере кода не должно содержаться пустых строк или каких-либо знаков (включая пробелы), перед началом тега .
В ином случае Вы можете увидеть вот такие ошибки:
Warning: Cannot modify header information - headers already sent by (output started at
/home/xxxxx/public_html/configuration.php:2) in /home/xxxxx/public_html/index.php on line 250
Обратите внимание, что в приведенном выше коде отсутствует закрывающий тег ?>
Это сделано умышленно для того, чтобы любые строки в конце файл не интерпретировались как HTML, что приведет к ошибке.
Метод, при котором упускается закрывающий PHP тег, является признанным для предотвращения таких конфликтов.
Это работает, потому что PHP автоматически останавливает интерпретатор в конце каждого файла.
Закрывающий тег PHP нужно ставить в том случае, когда в одном и том же файле после PHP кода идет HTML код.
