Решение проблемы "Каталог ядра в открытом доступе" в Modx Revolution. Каталог ядра в открытом доступе modx

Решение проблемы "Каталог ядра в открытом доступе" в Modx Revolution

Всем привет. Коротенькая статья, посвященная решению проблемы «Каталог ядра в открытом доступе», которая появляется в админке Modx Revolution в версии 2.4.0. Связана эта ошибка с безопасностью, а с ней лучше не шутить. Поэтому эту проблему нужно решить.

Решение проблемы

1. Заходим в админку Modx Revo и видим такое

2. Открываем Файл менеджер или воспользуемся диспетчером файлов самого Modx Revo

3. Идем в папку core/

5. Открываем этот файл и заменяем содержимое на

IndexIgnore */* <Files *.*> Order Deny,Allow Deny from all </Files>

6. Очищаем кэш и смотрим страницу приветствия в админке. Ошибки не обнаружено.

Чем грозит, если оставить без внимания эту ошибку

Насколько это опасно для безопасности я точно не знаю, но даже ради нее (безопасности) эту ошибку надо исправить, а не просто выключить виджет, который отображается ошибку «Каталог ядра в открытом доступе». Но есть еще, по крайней мере, один нюанс, ради которого нужно исправить эту ошибку. Вы не сможете поставить «Использовать дружественные URL» в разделе системных настроек «Дружественные URL».

У вас просто будет зависать админка при включении этого параметра. Так что не ленитесь и устраните проблему, тем более что это делается в несколько кликов. На этом все, если что-то не работает пишите в комментариях, попробуем разобраться вместе.

P.S. еще столкнулся с проблемой, пока писал эту статью. Если вы заметили у меня отличается по дизайну 4-ый пункт. Это не текст, а картинка. Оказывается редактор и сама админка очень чувствительны к названию файла, которые указаны в 4-ом пункте. Если в статье имеется название данного файла, то она просто не сохраняется. Минут 20 не мог понять из-за чего у меня не сохраняется статья.

bayguzin.ru

не открываются ресурсы / modx.pro

Здравствуйте! Перенесли сайт на хостинг Timeweb. К сожалению, так решило руководство...((( Обнаружены ошибки:

1. Каталог ядра в открытом доступе «MODX обнаружил, что ваш основной каталог (частично) доступен для общественности. Это не рекомендуется из соображений безопасности. Если ваша установка MODX выполняется на веб-сервер Apache, вам следует по крайней мере настроить файл .htaccess внутри каталога с файлами ядра: /home/c/cx13714/humanitar/public_html/core/. Это можно легко сделать, переименовав уже имеющийся там файл ht.access в .htaccess. »

2. Конфигурационный файл открыт для записи! «Ваш сайт является уязвимым для хакеров, которые могут нанести серьёзный вред вашему сайту. Пожалуйста, сделайте конфигурационный файл доступным только для чтения! Файл находится в /home/c/cx13714/humanitar/public_html/core/config/config.inc.php »

По факту не работает всё, что связано с разделом ресурсов. При переходе в редактор конкретной страницы сайт не может обработать этот запрос, пишет, что страница недоступна (код ошибки HTTP ERROR 500).

Содержимое .htaccess:

RewriteEngine On RewriteBase / # The Friendly URLs part RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule ^(.*)$ index.php?q=$1 [L,QSA] #from_vasiliy_naumkin RewriteCond %{REQUEST_URI} ^/config.core.php* RewriteRule ^(.*)$ [R=404] RewriteCond %{REQUEST_URI} ^/core/* RewriteRule ^(.*)$ [R=404] php_flag register_globals Off php_value default_charset utf-8 AddType 'text/html; charset=utf-8' .html .htm .shtml core/.htaccess:# deny access to _all_ files in the core, including changelog.txt and error.log # line below if for Apache 2.4 <ifModule mod_authz_core.c> Require all denied </ifModule> # line below if for Apache 2.2 <ifModule !mod_authz_core.c> deny from all Satisfy All </ifModule> <Files *.*> Order Deny,Allow Deny from all </Files> # section for Apache 2.2 and 2.4 IndexIgnore * manager/.htaccess:RewriteEngine Off Подскажите, пожалуйста, в чем причина? Где искать?

modx.pro

Версии MODX 2.4.0-pl и 2.3.6-pl / modx.pro

Для обновления и установки доступны новые версии MODX: 2.4.0-pl и 2.3.6-pl.

2.4.0-pl

Зависимости пакетов, которые заключаются в том, что установка пакета блокируется, пока не установлено требуемое. Документация здесь.
Всякие разные улучшения UI
Героические усилия @markwillis82 по покрытию движка тестами
Новые индексы в БД для увеличения производительности
Все изменения здесь

Объявление в официальном блоге. Обновляться на эту версию пока не рекомендуется, как минимум из-за этого бага.

Картинки по работе зависимостей:

Никакой автоустановки или обновления версий, как мы пишем сейчас в ресолверах, пока нет.

2.3.6-pl

При установке через web-интерфейс можно сразу отключить сжатие файлов
Закрыта потенциальная XSS уязвимость в процессорах создания и обновления ресурсов
Исправлена ошибка с исчезанием пагинации при выборе категории элементов в некоторых combo-боксах
Улучшено окошко настройки устанавливаемого дополнения
Улучшено отображение картинок в превьюшках админки
Версия CMS показывается при наведении курсора на логотип MODX в админке
Все изменения можно посмотреть в changelog

Объявление в официальном блоге.

Новые версии уже доступны на modhost.pro. Пользуясь случаем, я выделил кнопку обновления оранжевым цветом и сделал так, чтобы в диалоге сразу выбиралась последняя стабильная версия.

Не забывайте про бэкапы при обновлении!

Обновлено 21.08.2015

В комментариях обнаружили баг с показом окошка свойств элемента при перетаскивании его в шаблон. Вот ссылка на pull-request с исправлением.

modx.pro

Блог Евгения "Айтишника" - «Каталог ядра в открытом доступе»

06 февраля 2017, 03:39

При первой установке MODX Revolution, пользователь видит сообщение об ошибке безопасности системы.

Решается данная проблема просто.

В папке core корня сайта, лежит файл ht.access, его переименовываем в .htaccess (точка в начале обязательна). И открываем его для редактирования.

В зависимости от того, какой Apache 2.2 или 2.4 у Вас на сервере используется, находите строчки

# line below if for Apache 2.4 или # line below if for Apache 2.2

Если у Вас Apache 2.2, закомментируйте или удалите строчки ниже # line below if for Apache 2.4, а если Apache 2.4 закомментируете или удалите под # line below if for Apache 2.2 соответственно.

У меня получился такой файл:

# deny access to _all_ files in the core, including changelog.txt and error.log# original borrowed from owncloud# line below if for Apache 2.4<ifModule mod_authz_core.c>Require all denied</ifModule># line below if for Apache 2.2#<ifModule !mod_authz_core.c># deny from all# Satisfy All#</ifModule># section for Apache 2.2 and 2.4IndexIgnore *

После сохранения файла и очистки кеша ошибка обычно пропадает. Но не у всех. Например, на моем сервере, где установлена VestaCP, эта ошибка подобным способом не скрылась.

Дело в этом, что на большинстве серверов используется связка Apache и NGINX. В это случае, все картинки и текстовые файлы идут через NGINX. Таким образом файл /core/docs/changelog.txt, который проверяется на доступность этим виджетом, не вызывает ошибку 403, соответственно ошибка остается.

Проверить работу правил прописанных в .htaccess можно попробовав открыть файл http://ваш_сайт/core/cache/logs/error.log, если Вы видите ошибку 403 или 404, можете удалить или переименовать файл /core/docs/changelog.txt.

blog.it-specials.ru