Я знаю список твоих плагинов, юзер, как активных так и неактивных

Безопасность LiveStreet CMS
Долгое время назад (пару младших версий движка) можно было узнать полный список активных плагинов на сайтах с Ливстрит всего лишь открыв по прямой ссылке файл plugins.dat из папки плагинов. Позже эту возможность прикрыли через два пути: во-первых теперь имя этого файла можно изменить на другое, во-вторых — файл закрыли для внешнего доступа из .htaccess. И все вроде как поутихли.

Ведь в каждом плагине есть его xml файл с описанием, которое мы видим на странице администрирования плагинов в т.ч. версия плагина. Так вот, зная какой именно плагин мы ищем, по прямому урлу можно открыть его plugin.xml — если есть — прочитать версию (и знать теоретические баги для данной версии) и знать наличие такого плагина на сайте.

Будь бдителен, %username%, ты же мужик — закрой доступ к файлам plugin.xml, допиши в конец твоего .htaccess код:

<Files "plugin.xml">
order allow,deny
deny from all
</Files>

Хотя я знаю ещё вагон и небольшую тележку способов узнать установленные плагины на сайтах с ЛС. Но об этом уже в другой раз.
5 комментариев
Serge Pustovit
Например, можно легко убедится что на оф. сайте ЛС стоит плагин seolib версии 1.6:
livestreet-точка-ru/plugins/seolib/plugin.xml
censured
Действительно работает! Правильно ли я понял, что нужно в каждом плагине создать фаил .htaccess с таким содержанием или можно обойтись всего одним?
Serge Pustovit
достаточно в корневом файле в конце добавить вышеуказанные строки. действие .htaccess распространяется и на дочерние каталоги.
censured
Большое спасибо!
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.