Новая версия MaxSite CMS

Мне очень понравилась Ваша CMS, но подскажите, как обстоят дела с безопасностью? Хотелось бы поиспользовать, но есть опасения...

Вот основные позиции.

1. Сессия хранится в зашифрованной куке. Можно указать свой ключ шифрования.

2. Все пароли шифруются md5 с добавлением вашей уникальной фразы, + дополнительное преобразование. Если указать свою секретную фразу, то сломать пароль будет довольно проблематично.

3. Каждый раз, когда к сайту получает доступ залогиненный автор/админ, всегда проверяется корректность указанного в сессии пароля и логина.

4. Время сессии устанавливается отдельно. Это гарантирует, что любой посетитель через указанное время будет иметь другую сессию.

5. Каждый php-файл сопровождается проверкой на «включенность» CodeIgniter. Таким образом явно вызвать php-файл не удасться.

6. Работают только POST-данные. GET отсекаются. Таким образом, чтобы «взломать» сайт злоумышленнику придется создавать форму для POST-запросов. Это хоть и не 100% защита, но жизнь кое-кому усложнит.

7. Каждый POST-запрос проверяется на корректность сессии. Если сессия истекла или неверная, то данные не принимаются.

8. При желании можно ввести проверку на referer. Если запрос будет отправлен с дургого сайта, то всё рубится (die). Это примерный аналог antiXSSatak для WordPress.

9. Разделение комментаторов и авторов/админов. Комюзеры не имею возможности войти в админ-панель. Их данные хранятся вообще в другой таблице.

10. Разделение групп авторов. Разрешения выставляются для каждой группы индивидуальные.

11. Все запрос к БД выполняются с помощью т.н. Active Record, где автоматом происходит их экранирование и удаление всех нехорошестей.

12. Для большей защиты есть плагин, в котором модно указать IP с которых разрешен доступ в админку. Любые обращения с других IP будут сразу блокироваться на уровне инициализации системы.

Я понимаю, что абсолютно защищенной системы просто не существует, но пока проблем не было. Появятся, буду исправлять. Пока что этих пунктов хватает.

Максим, спасибо за хорошую CMS и за работу над ней! К сожалению поставил свой блог на ВордПресе и только всё настроил, влом пока заморачиваться переходом на ваш движок, пока только скачиваю новые релизы и по мере появления свободного времени мучаю на локалхосте! Наверно в недалёком будущем перейду на Вашу систему, уж очень ВП монстроподобен :(

Я вижу что ваш движек максим, становиться все лучше и лучше, у вас в планах есть сделать его платным? А то замел тенденцию, все хорошие бесплатные вещи, со временем начинают продавать..

Спасибо за подробнейший ответ теперь мне намного спокойней с вашего позволения задействую вашу CMS в своем проекте. имею блог на вордпресс - единственное что в нем привлекает - бесплатность и распостраненность, обилие виджетов, плагинов, тем. Но ваш движок уже вполне самодостаточен, а идущие в комплекте плагины и виджеты - покрывают мои потребности с лихвой. спасибо огромное! попробую в ближайшем будушем осилить свой шаблон для нее по вашей инструкции.

Попробую на выходных посмотреть MaxSite CMS 0.21. Ищу замену для своего сайта на snews. Како-то он кривенький оказался И плагины не отдельно, а намертво к код вбиваются.

Единственное, что хорошо в snews так это поддержка php4 и быстрая развертка, но в свете окончания поддержки php4 надеюсь, что хостеры начнут шевелиться и переходить на php5.

Добрый день.

Установил MaxSite CMS, но добавляется только один пост. После создания второго, заголовок записи появляется в "Последние записи", но сама запись не открывается. Выдает ошибку 404 - страница не найдена.

В чем может быть проблема?

Мой ICQ 1965712, почта securein(значок)ya.ru

Отключите глобальное кэширование.

Посмотрел инструкцию по созданию шаблона (http://max-3000.com/page/1-delaem-svoj-shablon), по правде говоря очень "тяжело". Все правильно, расписано от А до Я, но сделано это не в расчете на обычного юзера. Увидеть бы инструкцию, в которой разбирается пошагово дефолтный шаблон и функции, используемые на каждом этапе.