Скачает зашшифровванный сайт и будет нормально работать у него. Файлы конфигов только заменит. Все верно. Если пользователь сможет исполнять свой PHP-код, он многое сможет сделать. Поэтому и говорит: пустили в админку — сайт отдали.
Скачает зашшифровванный сайт и будет нормально работать у него. Файлы конфигов только заменит. Показывать нужно либо записанное видео, либо демонстрация экрана, либо TeamViewer.
Смотря от каких и что защищать. К примеру, базу данных это точно не защитит. Выполнять Eval-скрипты и т.п. наверняка тоже можно будет.
Наверно такая шифровка и от кулц-хаккеров спасает?
Ясно, спасибо за совет, думаю из наиболее простых решений будет все же шифрование движка.
Сергей, уверен, что хватит знаний на то, чтобы понять какие функции можно ограничить, а какие нет, и что в итоге повлияет на работу сайта, а что нет? Сказали же: без шифрования движка практически никакой гарантии на защиту нет. Дали доступ в админку — дали доступ ко всему сайту априори. Есть еще вариант: фигачить еще одну админку с крайне ограниченным функционалом или вообще во фронте сделать личный кабинет партнера. Второй вариант наиболее надежный, так как из контекста web в запросах MODX-тэги вырезаются, и вообще права более ограниченные. Это больше мороки в выполнении, но зато надежность почти полная.
Есть такая мысль, хостить данные сайты на своем хостинге и соответственно ограничивать доступ к php по FTP соответственно к базе данных тоже ограничить, тогда и права в админке настроить только на использование предопределенных функций.
Не, если двиг при этом будет шифрован, то толку будет больше. Если не зашифровать, то практически нет смысла. Либо там в админке вообще ничего нельзя будет делать, либо она будет сломана на раз-два.
ionCube говорят вообще толковый. Ооочень сложно декодировать.