Закрываем служебные директории MODX

Добро пожаловать в базу знаний

База знаний

Закрываем служебные директории MODX

Вариант 1 (с помошью панели)

Для этого закрываем доступ к каталогам /manager/, /core/, /connectors/ в разделе "Ограничение доступа" панели.
Подробнее об этом -> тут

Вариант 2 (добавить файлы вручную)

1. Создаём файл .htpasswd . Примеры генераторов .htpasswd

- https://htmlweb.ru/service/htpasswd.php

- https://wpschool.ru/tools/htpasswd-generator/

Получим файл с содержимым, например:

mozg:$apr1$67DGTaqb$m58NDMBT2w5z1

, где mozg — имя пользователя, а $apr1$67DGTaqb$m58NDMBT2w5z1 — хешированный пароль MD5/SHA1.

2. Размещаем .htpasswd в директории сайта выше /www/domain.ru/,например, непосредственно в корневой каталог аккаунта /var/www/userXXXX/data/.

3. В файл .htaccess, распологающийся в директориях manager, core, connectors (если файла нет, то его нужно создать) добавляем/изменяем следующие записи:

• /manager/.htaccess

RewriteEngine Off

AuthType Basic
AuthName "Thats protected Area!"
AuthUserFile /var/www/userXXXX/data/.htpasswd
Require valid-user
<Files .htpasswd>
deny from all
</Files>

• /core/.htaccess

IndexIgnore */*
<Files *.*>
Order Deny,Allow
Deny from all
</Files>

AuthType Basic
AuthName "Thats protected Area!"
AuthUserFile /var/www/userXXXX/data/.htpasswd
Require valid-user
<Files .htpasswd>
deny from all
</Files>

• /connectors/.htaccess

AuthType Basic
AuthName "Restricted Access"
AuthUserFile /var/www/userXXXX/data/.htpasswd
Require valid-user
<Files .htpasswd>
deny from all
</Files>

Теперь при попытке входа в админку необходимо будет сначала пройти базовую авторизацию.

В конец каждого из редактируемых .htaccess можно добавить:

ErrorDocument 401 "401 Authorisation Required"

В таком случае при указании некорректных данных в консоли браузера увидим ошибку:

Failed to load resource: the server responded with a status of 401 ()

Код ответа на статус ошибки HTTP 401 Unauthorized клиента указывает, что запрос не был применён, поскольку ему не хватает действительных учётных данных для целевого ресурса. Этот статус похож на 403, но в этом случае возможна повторная аутентификация.